Metasploit渗透测试魔鬼训练营豆瓣.pdf
http://www.100md.com
2020年11月19日
 |
| 第1页 |
 |
| 第7页 |
 |
| 第11页 |
 |
| 第27页 |
 |
| 第34页 |
 |
| 第188页 |
参见附件(209039KB,496页)。
《Metasploit渗透测试魔鬼训练营》是首本中文原创Metasploit渗透测试著作,国内信息安全领域布道者和Metasploit渗透测试专家领衔撰写,极具代表性。以实践为导向,既详细讲解了Metasploit渗透测试的技术、流程、方法和技巧,又深刻阐释了渗透测试平台背后蕴含的思想。
内容简介
《Metasploit渗透测试魔鬼训练营》是Metasploit渗透测试领域难得的经典佳作,由国内信息安全领域的资深Metasploit渗透测试专家领衔撰写。内容系统、广泛、有深度,不仅详细讲解了Metasploit渗透测试的技术、流程、方法和技巧,而且深刻揭示了渗透测试平台背后蕴含的思想。
书中虚拟了两家安全公司,所有内容都围绕这两家安全公司在多个角度的多次“对战”展开,颇具趣味性和可读性。很多知识点都配有案例解析,更重要的是每章还有精心设计的“魔鬼训练营实践作业”,充分体现了“实践,实践,再实践”的宗旨。
《Metasploit渗透测试魔鬼训练营》采用了第二人称的独特视角,让读者跟随“你”一起参加魔鬼训练营,并经历一次极具挑战性的渗透测试任务考验。你的渗透测试之旅包括10段精彩的旅程。
全书共10章。第1章对渗透测试和Metasploit进行了系统介绍,首先介绍了渗透测试的分类、方法、流程、过程环节等,然后介绍了Metasploit的功能、结构和基本的使用方法。第2章详细演示了渗透测试实验环境的搭建。第3章讲解了情报收集技术。第4章讲解了Web应用渗透技术。第5章讲解了网络服务的渗透攻击技术。第6章讲解了客户端的渗透攻击技术。第7章讲解了社会工程学的技术框架和若干个社会工程学攻击案例。第8章讲解了针对笔记本电脑、智能手机等各种类型移动设备的渗透测试技术。第9章讲解了Metasploit中功能很为强大的攻击载荷模块Meterpreter的原理与应用。第10章,魔鬼训练营活动大结局,本章发起了一个“黑客夺旗竞赛”实战项目,目的是进一步提高读者的实战能力。
作者简介
诸葛建伟,国内信息安全领域的布道者,资深渗透测试技术专家,Metasploit领域的专家之一,实战经验非常丰富。在网络攻防、入侵检测、蜜罐、恶意代码分析、互联网安全威胁监测、智能终端恶意代码等领域都有深入的研究。国际信息安全开源组织The Honeynet Project团队正式成员,中国分支团队负责人;清华大学网络与信息安全实验室副研究员,狩猎女神科研团队技术负责人;蓝莲花(Blue-Lotus)CTF战队的合伙创始人与组织者,2013年带领战队在DEFCON CTF资格赛取得了全球第四、亚洲第中国历史战绩,闯入总决赛;活跃于新浪微博和看雪论坛等社区,出版了《网络攻防技术与实践》、《Metasploit渗透测试技术指南》、《数据包分析技术实战(第2版)》等多本信息安全相关的经典著作。
如何阅读和使用本书
学习与修炼渗透测试技术的唯一方法就是“实践,实践,再实践”,而为了让读者更好地践行这一原则,本书独特地采用了第二人称视角,让读者作为这次虚拟渗透测试之旅的主角,而让我们跟随“你”一起参加魔鬼训练营,并经历一次极具挑战性的渗透测试任务考验。你的渗透测试之旅包括如下十段精彩的旅程。
第1章魔鬼训练营-初识Metasploit我们将引领你进入渗透测试师的魔鬼训练营,你将了解到底什么是渗透测试,并熟悉渗透测试的过程环节:你也将接触到渗透测试中最为关键的安全漏洞与渗透攻击代码,并知晓从哪里可以搜索和获取这些宝贵资源:你还会见识到渗透测试之神器-Metasploit,回顾这匹“黑马王子”的发展历程,剖析其体系框架与内部结构,并学会如何初步使用这一神器进行简单的渗透攻击.
第2章赛宁vs.定v-渗送测试实验环境
本章将揭晓你在渗透测试修炼之旅中肩负的任务与挑战,同时帮助你建立起修炼渗透测试技术的实验环境。正所谓“磨刀不误砍柴工”,你的劳动付出将会给你带来更大价值的回报。
第3章 揭开“战争迷雾”--情报搜集技术
作为一名即时战略游戏的资深玩家,你非常清楚情报搜集对于对抗性游戏竞技的重要性,在渗透测试中亦是如此。你将应用在魔鬼训练营中学到的外围信息情报搜集技术、网络扫描与查点技术,以及网络漏洞扫描技术来探查目标环境,从而揭开笼罩在目标周边的
“战争迷雾".
第4章突破定v门户一Web应用渗透技术
定V公司门户网站是你实施渗透攻击的首站,这是考验Web应用渗透技术的时候。你能应用魔鬼训练营中传授的Web应用漏洞扫描探测技术来找出攻击点,并通过SQL注入、跨站脚本攻击、命令注人、文件包含与文件上传攻击技术突破定V门户网站吗?让我们拭目以待吧
第5章 定V门大敞,哥要进内网-网络服务渗透攻击在突破门户网站之后,你在定V公司DMZ区建立了渗透的前哨站,在侵入内网之前,你接到的任务是攻陷DMZ区所有的服务器。面对Oracle数据库服务、神秘的工业控制软件服务以及Ubuntu Samba网络服务,你在魔鬼训练营中学习实践的栈溢出和堆溢出等内存攻击技术是否过关了呢?
第6章定V网络主宰者-客户端渗透攻击
随着你在定V网络中的深入,你要成功渗透攻击目标所需的技术难度也在逐步提升。
对于常用的浏览器与Office应用软件,你在魔鬼训练营中学习了客户端渗透攻击技术,并实践了针对"USe-After-Free",漏洞的堆喷射利用和ROP攻击技术,以及针对栈溢出漏洞的SEH链伪造攻击技术。在定V内网中,你再次遭遇了神秘的工业控制软件,以及使用非常普遍的Adobe 阅读器,你能利用浏览器插件与应用软件文件格式中存在的漏洞,成为定V网络的主宰者吗?
第7章 甜言蜜语背后的危险--社会工程学
如果你的渗透测试之旅没有社会工程学的陪伴,那么终将留下无限的遗憾。在魔鬼训练营中,你了解到了社会工程学的前世今生,也接触到了社会工程学大师总结的技术框架。那么面对定V公司一众人等,你将如何设计,并结合哪些技术手段将他们玩弄于股掌之中呢?
第8章刀无形、剑无影-移动环境渗透测试
无线Wi-Fi网络与BYOD自带设备无疑是近年企业移动信息化的热点,殊不知也将为企业的网络安全引入一个薄弱点。你制订了一个“刀剑无形”的移动环境渗透计划,在定V公司旁边破解无线Wi-Fi网络口令并接入网络,攻击并控制他们的无线AP,然后对连入无线网的笔记本电脑和BYOD设备进行入侵,你能完成这一完美计划吗?
第9章俘获定V之心-强大的Meterpreter通过各种技术深度渗透定V公司网络之后,该到“俘获定V之心”的时候了。强大的攻击载荷Meterpreter为你提供了丰富的主机控制功能,也为你收割定V网络中的业务数据提供了灵活可扩展的后渗透攻击模块支持,而现在的问题是:你能否用好这个强大工具,来为你的渗透测试任务画上一个圆满的句号?
第10章 群狼出山-黑客夺旗竞赛实战
在你圆满地完成渗透测试任务挑战之时,团队也成功地搞定了一个渗透测试的大项目。团队的另类狂欢活动-参加黑客夺旗竞赛,相信作为一名崭露头角的渗透测试工程师,你也会在这种比拼智力与技能的竞技活动中,找到属于你的那一份热情与欢乐。
附录A 如何撰写渗透测试报告
借鉴渗透测试执行标准,为你提供一份如何撰写渗透测试报告的模板,让你能够在完成渗透测试之旅后,提交一份出彩的“游记”!
附录B 参考与进一步阅读
本书只是你渗透测试人生旅途的一站,如果要成为一名真正的渗透测试师,需要站在前人的肩膀上,博采众长,并在实践过程中不断提升技能和创新技术。
什么是渗透测试
“你以前使用过Metasploit这款渗透测试软件吗?”技术总监突然的提问将你从遐想中带回到魔鬼训练营中。
"Meta-s-ploit",你用蹩脚的英文拼读着这个陌生的单词,笑嘻嘻地回答:"俺支持国货,不用洋工具!”其他几位接受培训的新员工哄堂大笑,技术总监一脸愠怒的神情,正色道:“别给我嬉皮笑脸的,黑客技术没有国界,只有充分吸收国外的先进技术,才能让我们自己变得更强,知道吗!Metasploit是国外安全开源社区的一款渗透测试神器,我们的魔鬼训练营就是围绕这款软件设计各种渗透技术专题,你会马上见识到它的强大威力!
技术总监继续问道:“你们了解渗透测试的真正含义吗?
台下默然。
“或许你们中有些人搞过黑站,有人植过木马,但这些都算不上渗透测试,你们都没有接触过真正的渗透测试流程,也还不太清楚这个安全专业词汇背后的意义,那么就让我从这个词汇的源头开始,逐步为你们解开它的神秘面纱吧。”
Metasploit渗透测试魔鬼训练营豆瓣截图
您现在查看是摘要介绍页, 详见PDF附件(209039KB,496页)。