基于Metasploit自动化渗透测试

1.概述

在渗透测试工作中，往往会按照PTES标准进行。其中渗透攻击阶段往往也是耗时最多，工作量最多，重要性最高的环节。而为了提升效率，减轻渗透测试工作人员的工作量，在Metasplot框架中也早已加入了自动化模块。本文着重介绍利用自动化模块与Nmap联动的方式进行自动化渗透测试的方法。

2.方法论

1. 首先需要下载其自动化模块，并导入Metasploit框架中。以下为下载链接： https://github.com/hahwul/metasploit-db_autopwn
2. 导入自动化模块db_autopwn.rb

3.查看是否连接数据库。并载入自动化模块。

4.查看并创建工作组

5.在msf中使用nmap对网络进行嗅探并保存到数据库中

6.使用自动化模块对扫描结果进行自动化渗透攻击。

3.结束语

在实际渗透攻击中，工作环境、目标环境都充满了不确定性。以当前的技术研究，自动化渗透测试尚处于非常低级的状态，以完全的自动化渗透测试尚不足以完全满足工作需求。因此基于Metasploit的自动化渗透测试方式仅仅作为手工测试的补充，还是应以手工测试为主，切不可以此作为渗透测试的主要手段。