在线客服
Metasploit渗透测试魔鬼训练营图书
人气:86

Metasploit渗透测试魔鬼训练营

本书是Metasploit渗透测试领域难得的经典佳作,由国内信息安全领域的博学Metasploit渗透测试专家领衔撰写。内容系统、广泛、有深度,不仅详细讲解了Metasploit渗透测试的技术、流程、方法和技巧,而且深刻揭示了渗...
  • 所属分类:图书 >计算机/网络>信息安全  
  • 作者:[诸葛建伟] 等
  • 产品参数:
  • 丛书名:--
  • 国际刊号:9787111434993
  • 出版社:机械工业出版社
  • 出版时间:2013-09
  • 印刷时间:2013-09-01
  • 版次:1
  • 开本:12开
  • 页数:--
  • 纸张:胶版纸
  • 包装:平装
  • 套装:

内容简介

本书是Metasploit渗透测试领域难得的经典佳作,由国内信息安全领域的博学Metasploit渗透测试专家领衔撰写。内容系统、广泛、有深度,不仅详细讲解了Metasploit渗透测试的技术、流程、方法和技巧,而且深刻揭示了渗透测试平台背后蕴含的思想。

书中虚拟了两家安全公司,所有内容都围绕这两家安全公司在多个角度的多次"对战"展开,颇具趣味性和可读性。很多知识点都配有案例解析,更重要的是每章还有精心设计的"魔鬼训练营实践作业",充分体现了"实践,实践,再实践"的宗旨。

本书采用了第二人称的独特视角,让读者跟随"你"一起参加魔鬼训练营,并经历一次具有挑战性的渗透测试任务考验。你的渗透测试之旅包括10段精彩的旅程。

全书共10章。第1章对渗透测试和Metasploit进行了系统介绍,首先介绍了渗透测试的分类、方法、流程、过程环节等,然后介绍了Metasploit的功能、结构和基本的使用方法。第2章详细演示了渗透测试实验环境的搭建。第3章讲解了情报收集技术。第4章讲解了Web应用渗透技术。第5章讲解了网络服务的渗透攻击技术。第6章讲解了客户端的渗透攻击技术。第7章讲解了社会工程学的技术框架和若干个社会工程学攻击案例。第8章讲解了针对笔记本电脑、智能手机等各种类型移动设备的渗透测试技术。第9章讲解了Metasploit中功能最为强大的攻击载荷模块Meterpreter的原理与应用。第10章,魔鬼训练营活动大结局,本章发起了一个"黑客夺旗竞赛"实战项目,目的是进一步提高读者的实战能力。

编辑推荐

相关推书推荐:

《Web之困:现代Web应用安全指南》

《Metasploit渗透测试魔鬼训练营》 (首本中文原创Metasploit渗透测试著作!国内信息安全领域布道者和博学Metasploit渗透测试专家领衔撰写。)

《恶意软件、Rootkit和僵尸网络》 (恶意软件、Rootkit和僵尸网络领域经典入门书,译著双馨,10余家安全机构联袂推荐,Amazon五星畅销书)

《黑客免杀攻防》 (多方位揭示黑客免杀技术的常用方法、技术细节和思想原理,为反病毒工程师剖析恶意软件和遏制免杀技术提供具体方法和应对策略)

《Rootkit:系统灰色地带的潜伏者》 (原书第2版)(Amazon五星级畅销书,rootkit领域的重要著作,计算机安全领域公认经典)

《渗透测试实践指南:必知必会的工具与方法》 (Amazon五星级超级畅销书,美国国家安全局主管Keith B. Alexander将军(向奥巴马汇报)鼎力推荐!)

《BackTrack4:利用渗透测试保障系统安全》

首本中文原创Metasploit渗透测试著作!国内信息安全领域布道者和博学Metasploit渗透测试专家领衔撰写。

目录

前言

致谢

第1章魔鬼训练营——初识Metasploit

1.1什么是渗透测试

1.1.1渗透测试的起源与定义

1.1.2渗透测试的分类

1.1.3渗透测试方法与流程

1.1.4渗透测试过程环节

1.2漏洞分析与利用

1.2.1安全漏洞生命周期

1.2.2安全漏洞披露方式

1.2.3安全漏洞公共资源库

1.3渗透测试神器Metasploit

1.3.1诞生与发展

1.3.2渗透测试框架软件

1.3.3漏洞研究与渗透代码开发平台

1.3.4安全技术集成开发与应用环境

1.4Metasploit结构剖析

1.4.1Metasploit体系框架

1.4.2辅助模块

1.4.3渗透攻击模块

1.4.4攻击载荷模块

1.4.5空指令模块

1.4.6编码器模块

1.4.7后渗透攻击模块

1.5安装Metasploit软件

1.5.1在Back Track上使用和更新Metasploit

1.5.2在Windows操作系统上安装Metasploit

1.5.3在Linux操作系统上安装Metasploit

1.6了解Metasploit的使用接口

1.6.1msfgui图形化界面工具

1.6.2msfconsole控制台终端

1.6.3msfcli命令行程序

1.7小结

1.8魔鬼训练营实践作业

第2章赛宁VS.定V——渗透测试实验环境

2.1定V公司的网络环境拓扑

2.1.1渗透测试实验环境拓扑结构

2.1.2攻击机环境

2.1.3靶机环境

2.1.4分析环境

2.2渗透测试实验环境的搭建

2.2.1虚拟环境部署

2.2.2网络环境配置

2.2.3虚拟机镜像配置

2.3小结

2.4魔鬼训练营实践作业

第3章揭开"战争迷雾"——情报搜集技术

3.1外围信息搜集

3.1.1通过DNS和IP地址挖掘目标网络信息

3.1.2通过搜索引擎进行信息搜集

3.1.3对定V公司网络进行外围信息搜集

3.2主机探测与端口扫描

3.2.1活跃主机扫描

3.2.2操作系统辨识

3.2.3端口扫描与服务类型探测

3.2.4Back Track 5的Autoscan功能

3.2.5探测扫描结果分析

3.3服务扫描与查点

3.3.1常见的网络服务扫描

3.3.2口令猜测与嗅探

3.4网络漏洞扫描

3.4.1漏洞扫描原理与漏洞扫描器

3.4.2OpenVAS漏洞扫描器

3.4.3查找特定服务漏洞

3.4.4漏洞扫描结果分析

3.5渗透测试信息数据库与共享

3.5.1使用渗透测试信息数据库的优势

3.5.2Metasploit的数据库支持

3.5.3在Metasploit中使用PostgreSQL

3.5.4Nmap与渗透测试数据库

3.5.5OpenVAS与渗透测试数据库

3.5.6共享你的渗透测试信息数据库

3.6小结

3.7魔鬼训练营实践作业

第4章突破定V门户——Web应用渗透技术

4.1Web应用渗透技术基础知识

4.1.1为什么进行Web应用渗透攻击

4.1.2Web应用攻击的发展趋势

4.1.3OWASP Web漏洞TOP 10

4.1.4近期Web应用攻击典型案例

4.1.5基于Metasploit框架的Web应用渗透技术

4.2Web应用漏洞扫描探测

4.2.1开源Web应用漏洞扫描工具

4.2.2扫描神器W3AF

4.2.3SQL注入漏洞探测

4.2.4XSS漏洞探测

4.2.5Web应用程序漏洞探测

4.3Web应用程序渗透测试

4.3.1SQL注入实例分析

4.3.2跨站攻击实例分析

4.3.3命令注入实例分析

4.3.4文件包含和文件上传漏洞

4.4小结

4.5魔鬼训练营实践作业

第5章定V门大敞,哥要进内网——网络服务渗透攻击

5.1内存攻防技术

5.1.1缓冲区溢出漏洞机理

5.1.2栈溢出利用原理

5.1.3堆溢出利用原理

5.1.4缓冲区溢出利用的限制条件

5.1.5攻防两端的对抗博弈

5.2网络服务渗透攻击面

5.2.1针对Windows系统自带的网络服务渗透攻击

5.2.2针对Windows操作系统上微软网络服务的渗透攻击

5.2.3针对Windows操作系统上第三方网络服务的渗透攻击

5.2.4针对工业控制系统服务软件的渗透攻击

5.3Windows服务渗透攻击实战案例——MS08-067安全漏洞

5.3.1威名远扬的超级大漏洞MS08-067

5.3.2MS08-067漏洞渗透攻击原理及过程

5.3.3MS08-067漏洞渗透攻击模块源代码解析

5.3.4MS08-067安全漏洞机理分析

5.4第三方网络服务渗透攻击实战案例——Oracle数据库

5.4.1Oracle数据库的"蚁穴"

5.4.2Oracle渗透利用模块源代码解析

5.4.3Oracle漏洞渗透攻击过程

5.4.4Oracle安全漏洞利用机理

5.5工业控制系统服务渗透攻击实战案例——亚控科技KingView

5.5.1中国厂商SCADA软件遭国外黑客盯梢

5.5.2KingView 6.53 HistorySvr渗透攻击代码解析

5.5.3KingView 6.53漏洞渗透攻击测试过程

5.5.4KingView堆溢出安全漏洞原理分析

5.6Linux系统服务渗透攻击实战案例——Samba安全漏洞

5.6.1Linux与Windows之间的差异

5.6.2Linux系统服务渗透攻击原理

5.6.3Samba安全漏洞描述与攻击模块解析

5.6.4Samba渗透攻击过程

5.6.5Samba安全漏洞原理分析

5.7小结

5.8魔鬼训练营实践作业

第6章定V网络主宰者——客户端渗透攻击

6.1客户端渗透攻击基础知识

6.1.1客户端渗透攻击的特点

6.1.2客户端渗透攻击的发展和趋势

6.1.3安全防护机制

6.2针对浏览器的渗透攻击

6.2.1浏览器渗透攻击面

6.2.2堆喷射利用方式

6.2.3MSF中自动化浏览器攻击

6.3浏览器渗透攻击实例——MS11-050安全漏洞

6.3.1MS11-050漏洞渗透攻击过程

6.3.2MS11-050漏洞渗透攻击源码解析与机理分析

6.4第三方插件渗透攻击实战案例——再探亚控科技KingView

6.4.1移植KingView渗透攻击代码

6.4.2KingView渗透攻击过程

6.4.3KingView安全漏洞机理分析

6.5针对应用软件的渗透攻击

6.5.1应用软件渗透攻击机理

6.5.2内存攻击技术ROP的实现

6.5.3MSF中的自动化fileformat攻击

6.6针对Office软件的渗透攻击实例——MS10-087安全漏洞

6.6.1MS10-087渗透测试过程

6.6.2MS10-087漏洞渗透攻击模块源代码解析

6.6.3MS10-087漏洞原理分析

6.6.4MS10-087漏洞利用原理

6.6.5文件格式分析

6.7Adobe阅读器渗透攻击实战案例——加急的项目进展报告

6.7.1Adobe渗透测试过程

6.7.2Adobe渗透攻击模块解析与机理分析

6.7.3Adobe漏洞利用原理

6.8小结

6.9魔鬼训练营实践作业

第7章甜言蜜语背后的危险——社会工程学

7.1社会工程学的前世今生

7.1.1什么是社会工程学攻击

7.1.2社会工程学攻击的基本形式

7.1.3社交网站社会工程学攻击案例

7.2社会工程学技术框架

7.2.1信息搜集

7.2.2诱导

7.2.3托辞

7.2.4心理影响

7.3社会工程学攻击案例——伪装木马

7.3.1伪装木马的主要方法与传播途径

7.3.2伪装木马社会工程学攻击策划

7.3.3木马程序的制作

7.3.4伪装木马的"免杀"处理

7.3.5伪装木马社会工程学的实施过程

7.3.6伪装木马社会工程学攻击案例总结

7.4针对性社会工程学攻击案例——网站钓鱼

7.4.1社会工程学攻击工具包SET

7.4.2网站钓鱼社会工程学攻击策划

7.4.3钓鱼网站的制作

7.4.4网站钓鱼社会工程学的实施过程

7.4.5网站钓鱼社会工程学攻击案例总结

7.5针对性社会工程学攻击案例——邮件钓鱼

7.5.1邮件钓鱼社会工程学攻击策划

7.5.2使用SET工具集完成邮件钓鱼

7.5.3针对性邮件钓鱼社会工程学攻击案例总结

7.6U盘社会工程学攻击案例——Hacksaw攻击

7.6.1U盘社会工程学攻击策划

7.6.2U盘攻击原理

7.6.3制作Hacksaw U盘

7.6.4U盘社会工程学攻击的实施过程

7.6.5U盘攻击社会工程学攻击案例总结

7.7小结

7.8魔鬼训练营实践作业

第8章刀无形、剑无影——移动环境渗透测试

8.1移动的Metasploit渗透测试平台

8.1.1什么是BYOD

8.1.2下载安装Metasploit

8.1.3在iPad上手动安装Metasploit

8.2无线网络渗透测试技巧

8.2.1无线网络口令破解

8.2.2破解无线AP的管理密码

8.2.3无线AP漏洞利用渗透攻击

8.3无线网络客户端攻击案例——上网笔记本电脑

8.3.1配置假冒AP

8.3.2加载karma.rc资源文件

8.3.3移动上网笔记本渗透攻击实施过程

8.3.4移动上网笔记本渗透攻击案例总结

8.4移动环境渗透攻击案例——智能手机

8.4.1BYOD设备的特点

8.4.2苹果iOS设备渗透攻击

8.4.3Android智能手机的渗透攻击

8.4.4Android平台Metasploit渗透攻击模块的移植

8.5小结

8.6魔鬼训练营实践作业

第9章俘获定V之心——强大的Meterpreter

9.1再探Metasploit攻击载荷模块

9.1.1典型的攻击载荷模块

9.1.2如何使用攻击载荷模块

9.1.3meterpreter的技术优势

9.2Meterpreter命令详解

9.2.1基本命令

9.2.2文件系统命令

9.2.3网络命令

9.2.4系统命令

9.3后渗透攻击模块

9.3.1为什么引入后渗透攻击模块

9.3.2各操作系统平台分布情况

9.3.3后渗透攻击模块的使用方法

9.4Meterpreter在定V渗透测试中的应用

9.4.1植入后门实施远程控制

9.4.2权限提升

9.4.3信息窃取

9.4.4口令攫取和利用

9.4.5内网拓展

9.4.6掩踪灭迹

9.5小结

9.6魔鬼训练营实践作业

第10章群狼出山——黑客夺旗竞赛实战

10.1黑客夺旗竞赛的由来

10.2让我们来玩玩"地下产业链"

10.2.1"洗钱"的竞赛场景分析

10.2.2"洗钱"规则

10.2.3竞赛准备与任务分工

10.3CTF竞赛现场

10.3.1解题"打黑钱"

10.3.2GameBox扫描与漏洞分析

10.3.3渗透Web应用服务

10.3.4渗透二进制服务程序

10.3.5疯狂"洗钱"

10.3.6力不从心的防御

10.4CTF竞赛结果

10.5魔鬼训练营大结局

10.6魔鬼训练营实践作业

附录A如何撰写渗透测试报告

附录B参考与进一步阅读

在线预览

本书是Metasploit渗透测试领域难得的经典佳作,由国内信息安全领域的博学Metasploit渗透测试专家领衔撰写。内容系统、广泛、有深度,不仅详细讲解了Metasploit渗透测试的技术、流程、方法和技巧,而且深刻揭示了渗透测试平台背后蕴含的思想。

书中虚拟了两家安全公司,所有内容都围绕这两家安全公司在多个角度的多次"对战"展开,颇具趣味性和可读性。很多知识点都配有案例解析,更重要的是每章还有精心设计的"魔鬼训练营实践作业",充分体现了"实践,实践,再实践"的宗旨。

本书采用了第二人称的独特视角,让读者跟随"你"一起参加魔鬼训练营,并经历一次具有挑战性的渗透测试任务考验。你的渗透测试之旅包括10段精彩的旅程。

全书共10章。第1章对渗透测试和Metasploit进行了系统介绍,首先介绍了渗透测试的分类、方法、流程、过程环节等,然后介绍了Metasploit的功能、结构和基本的使用方法。第2章详细演示了渗透测试实验环境的搭建。第3章讲解了情报收集技术。第4章讲解了Web应用渗透技术。第5章讲解了网络服务的渗透攻击技术。第6章讲解了客户端的渗透攻击技术。第7章讲解了社会工程学的技术框架和若干个社会工程学攻击案例。第8章讲解了针对笔记本电脑、智能手机等各种类型移动设备的渗透测试技术。第9章讲解了Metasploit中功能最为强大的攻击载荷模块Meterpreter的原理与应用。第10章,魔鬼训练营活动大结局,本章发起了一个"黑客夺旗竞赛"实战项目,目的是进一步提高读者的实战能力。

……

网友评论(不代表本站观点)

来自匿名用**的评论:

在当当网买书挺方便的,就是这次有想买的书没货了。大部分书都有塑封,个别没有包装的书略有损坏,希望改进

2017-11-08 15:39:02
来自无昵称**的评论:

哈哈哈哈哈知己知彼 百战不殆

2017-10-05 20:44:55
来自无昵称**的评论:

书很好,发货过来也完好

2017-10-11 23:46:37
来自无昵称**的评论:

发货快,服务好,好好好好

2017-10-27 12:13:06
来自无昵称**的评论:

本书详细介绍了渗透测试工具Metasploit的使用方法,对新手和老手都有参考价值

2014-03-16 12:21:57
来自无昵称**的评论:

内容很一般,适合小学生看。一点也不丰富。看完了可以当擦屁股的股用

2014-06-13 12:43:32
来自无昵称**的评论:

感觉当当网或者中通快递对知识有践踏行为。你们敢保证读者拿到的书没有破损吗。你们送书这么吊儿郎当你们家长知道吗。这都第三回收到书这样了。让我对你们有点信心好嘛

2014-01-19 14:13:15
来自无昵称**的评论:

只能说书一般,看起来像盗版,一同买的笨办法学python居然有很多地方印的不清晰,怀疑盗版

2015-11-16 18:47:21
来自lhydyc**的评论:

预订很长时间今天终于到了,今天看了300多页,也大概翻了后面的内容,明天就可以全部看完。总体感觉一般,没有想象的那么好。还是带一点孩子气的,估计就是一帮学生写的,里面没什么亮点,如果你要是在公司混过几年的话,没有什么必要了。想深入的话还得自己研究,想拿那点案例和漏洞分析糊弄人,令人失望啊!

2013-09-26 20:17:56
来自无昵称**的评论:

需要一定基础才能完全看懂并使用MetaSploit

2013-12-13 11:25:33
来自HaydnSy**的评论:

果然国内的书总是感觉差强人意的感觉啊!看在这么努力地份上给个四星吧

2013-11-01 17:06:02
来自流浪的**的评论:

书的风格不错,以故事为主线,读起来不是很枯燥。

2014-06-06 12:46:07
来自不及吾**的评论:

不错,买来看一个月了,正版书籍,书籍讲的也不错,送货速度也快。

2013-11-11 23:01:11
来自独孤天**的评论:

这个是我最喜欢的一本书之一 呵呵 绝对的好东西奥

2014-02-24 13:15:53
来自无昵称**的评论:

期待中的书,虽然有一定的高度,但是我还是会认真去看的了!

2014-01-07 21:18:23
来自HaDong**的评论:

这本书真的很好,作者也第三人称,让你融入其中,看起来很不错,指示书有点厚哈

2014-01-17 09:18:06
来自请叫我**的评论:

还可以,看了之后懂了很多,自己感觉可有帮助,会鼓励同事去买。

2014-04-28 18:09:09
来自无昵称**的评论:

书还不错,但就是有好些东西都没有写清楚……出错了也找不到解决方案……好尴尬

2014-04-10 08:23:05
来自无昵称**的评论:

值得学习的一本书,大家评价都不错,是朋友推荐买的

2014-06-20 22:53:35
来自吴大壮**的评论:

基础内容很多,教了很多方法,具体使用起来还是要懂相关协议

2014-03-01 00:36:21
来自天啊sb**的评论:

书不错 不过物流太不负责了 他指定一个很远的地方 让我们集体去取 真是因为喜欢这本书 要不我还真不去了 这还是货到付款 要是钱给过了 还不知怎么样呢

2013-10-19 07:11:29
来自扎轲**的评论:

内容丰富,书不错,就是虚拟机配置有点麻烦,在百度盘里面

2014-07-30 20:41:09
来自第四v空**的评论:

以前看过电子版的,书买回来还没正式看的,大概看了下目录和内容,感觉还不错。

2014-06-04 09:02:44
来自123_哲**的评论:

都是几年前的东西,现在都已经用kali了,内容还是bt的

2014-09-07 19:24:21
来自无昵称**的评论:

以第二人称来引导读者去学习书中的技术,让读者有种看小说的感觉,很有意思

2013-10-10 13:25:56
来自倜征**的评论:

好書!abcdefghihklmnopqrstuvwxyz

2015-12-02 08:18:43
来自盛瀚**的评论:

关于Metasploit的书籍本身比较少,本书相对还算比较专业,毕竟机械工业出版社出版的刊物还是有保障的

2014-01-09 14:32:05
来自无昵称**的评论:

书的内容就不做评价了 既然买肯定别人介绍的。物流挺快的,书的包装也不错,价格也比其他地方便宜

2015-11-13 19:57:43
来自匿名用**的评论:

大略翻了下很不错能配上有工具和视频的光盘就更好了。

2016-12-31 22:50:47

免责声明

更多出版社