我正在使用 Metasploit 辅助/扫描器/http 模块,例如 dir_listing、http_login、files_dir.... 对于某些模块不需要 cookie,一切都可以在根页面上进行测试。
但是对于某些模块,如扫描仪、blind_sql_query,如果网站需要日志记录或某个页面需要 cookie 或 http_referer,则您无法测试根页面范围内的所有内容。
爬虫模块有 USER 和 PASSWORD 选项,但是登录 web 作为爬取的起始点并且凭据设置好,它不会正常工作,如果它是 POST 登录,它不会询问字段的名称, ETC。
有人知道如何执行它吗?如何像用户一样使用 metasploit 进行审计,就像在其他应用程序中一样,您可以设置 cookie 或登录表单。