当为Metasploit配置好数据库之后,就可以开始使用了。首先我们了解一下如何使用db_import命令导入数据。db_import命令的使用格式如下。
msf6 > db_import
Usage: db_import <filename> [file2...]
Filenames can be globs like *.xml, or **/*.xml which will search recursively
Currently supported file types include:
Acunetix
Amap Log
Amap Log -m
Appscan
Burp Session XML
……………………………………
Nikto XML
Nmap XML
OpenVAS Report
OpenVAS XML
Outpost24 XML
Qualys Asset XML
Qualys Scan XML
Retina XML
Spiceworks CSV Export
Wapiti XML
从db_import命令的帮助文件可以看到,它可以导入大部分常用渗透工具生成的数据。例如,这里以扫描工具Nmap为例,首先将Nmap扫描192.168.157.137的信息保存为report.xml。具体命令如下。
┌──(kali@kali)-[~]
└─$ nmap -oX /home/kali/Downloads/report.xml 192.168.157.137
接下来在Metasploit中使用db_import命令导入report.xml的内容。具体命令如下。
msf6 > db_import /home/kali/Downloads/report.xml
[*] Importing 'Nmap XML' data
[*] Import: Parsing with 'Nokogiri v1.11.1'
[*] Importing host 192.168.157.137
[*] Successfully imported /home/kali/Downloads/report.xml
然后我们可以使用services命令来验证是否已经导入192.168.157.137的扫描结果。services命令可以查看当前Metasploit中所有的服务扫描结果,如图1-10所示。
图1-10 Metasploit中的服务扫描结果
我们可以看出report.xml的所有信息已经导入Metasploit。