接下来将以Metasploitable2为靶机,一方面介绍Web服务环境的各种安全因素,另一方面了解Metasploit的使用方法。按照渗透测试的标准,我们应该首先进行主动扫描(这里跳过了客户交流阶段与被动扫描阶段)。在这个阶段,我们应该获取目标的一些有用信息,例如Web服务环境涉及的操作系统、服务器应用程序、语言解释器和Web应用程序等。
因为Kali Linux 2操作系统中默认已安装好Metasploit Community,所以本书的讲解将围绕这个版本展开。在Kali Linux 2操作系统中启动Metasploit的方法如图1-7所示。
图1-7 通过Applications启动Metasploit
另外,也可以在菜单栏上方的快速启动栏中输入msfconsole并按回车键启动Metasploit,如图1-8所示。
图1-8 通过快速启动栏启动Metasploit
但是msfconsole命令并不适合在真实的渗透测试中使用,因为没有数据库的配合,所以无法快速调用数据,也无法保存渗透测试过程中产生的数据。