kali linux metasploit的web渗透测试（一）

metasploit--据说是可以黑掉整个星球的一个工具

这个章节主要是介绍一下metesploit，介绍基本的常识，当然，其他地方也有很多介绍，所以有了解过这个工具的可以略过这个章节。

主要系统kali linux2016.2（因为本人的习惯一直是习惯用比较新的，所以kali使用的也是当前阶段最新的版本，本人感觉kali 2016.2比之前的版本流畅度提升很多，并且本人装的是windows跟kali的双系统）

Metasploit是一款开源的安全漏洞检测工具，同时Metasploit是免费的工具，因此安全工作人员常用Metasploit工具来检测系统的安全性。Metasploit Framework (MSF) 在2003年以开放源码方式发布，是可以自由获取的开发框架。它是一个强大的开源平台，供开发，测试和使用恶意代码，这个环境为渗透测试、shellcode 编写和漏洞研究提供了一个可靠平台。
　　这种可以扩展的模型将负载控制(payload)、编码器(encode)、无操作生成器(nops)和漏洞整合在一起，使 Metasploit Framework 成为一种研究高危漏洞的途径。它集成了各平台上常见的溢出漏洞和流行的 shellcode ，并且不断更新。

其核心中一小部分由汇编和C语言实现，其余由ruby实现。不建议修改汇编和C语言部分。

Metasploit目前提供了三种用户使用接口，一个是GUI模式，另一个是console模式，第三种是CLI（命令行）模式。原来还提供一种WEB模式，目前已经不再支持。目前这三种模式各有优缺点，建议在MSF console模式中使用。在console中几乎可以使用MSF所提供的所有功能，还可以在console中执行一些其它的外部命令，如ping。

metasploit 比较常用的是命令行模式下的渗透，在kali linux里面直接打开终端，先输入：


   这个意思是先开启postgresql服务，输入这个命令，没有任何回显，这是metasploit使用的数据库，用常用来保存扫描数据，每次开启metasploit都建议要先开启这个服务，当然不开启不会报错。

如果不想每次开机都这样，还可以配置随系统启动：

update-rc.d postgresql enable

然后输入msfconsole进入命令行操作



之后可以使用命令：db_status查看有没有连接上数据库，如图，则显示连接上了msf（数据库名称）