ptf框架

上一篇: AWS亚马逊云服务器搭建与使用


题外话

君子性非异也,善假于物也

曾经有一句话一直困扰着我–“做渗透测试不要太依赖工具”。而渗透测试又不可能不用工具,我们使用各种各样的软件来扫描、用exp来利用、用一句话或者脚本反弹shell .etc

其实只要理解了漏洞的原理,不仅可以用工具,而且要提倡大力使用、广泛使用工具简化流程、甚至自己编写工具来提高速度。毕竟人和猴子的区别,就是人会用工具。

ptf框架

上一篇已经讲了ptf框架的安装。

为什么要用ptf框架?

ptf是渗透测试框架,为了解决渗透工具的更新而使用的。举个例子,老版本的masscan工具在扫描结束后,不会自动结束,而是一直等待,这样就不能在扫描完一个ip后继续扫描。而这个错误只要更新到最新版本就可以解决。

而更新软件是个复杂的差事,虽然用apt-get可以安装,但是软件名各种各样,甚至有的时候,你只知道需要什么功能的软件,但是你不知道软件的名字!这时候,使用ptf框架就十分方便

如何用ptf框架?

  1. 运行ptf 35

  2. 输入?查看使用方式

36

1
2
3
4
use modules/ 加tab按钮,自动补全命令
如果你不知道需要哪个软件,也可以使用上诉命令,tab自动补全,会列出所有可以下载的软件,然后再挑选软件。

图中列出了很多模块,例如主动检测绕过、后渗透利用、代码审计、报告、逆向、漏洞分析等等。。
1
2
3
4
5
6
7
8

use modules/exploitation/install_update_all
如果你想更新利用模块的所有软件,可以执行上述命令

use modules/install_update_all
不建议更新所有模块,因为等待时间长,占用磁盘空间,并且也不可能用上所有软件。

运用 cd modules/xxx; update 语法,即可更新某个模块的版本
  1. 所有已安装的tools都在/pentest目录

先退出ptf模块,然后cd /pentest

37