“Pemindaian” mencakup semua metode dan teknik untuk menemukan sistem langsung, seperti jaringan atau server, untuk menemukan sistem operasi dan arsitekturnya. Teknik ini digunakan untuk mendeteksi setiap kerentanan dalam jaringan yang dapat dieksploitasi.
Ini adalah panduan pemula untuk menggunakan aplikasi WMAP yang termasuk dalam kerangka kerja Metasploit untuk memindai kerentanan aplikasi web. Kami akan menggunakan aplikasi web DVWA sebagai target untuk mendemonstrasikan proses pemindaian yang dilakukan menggunakan WAMP. DVWA adalah kependekan dari “aplikasi web yang rentan terkutuk” dan aplikasi tersebut dirancang khusus untuk digunakan oleh pemula keamanan dunia maya untuk menguji dan mempertajam keterampilan penetrasi mereka.
Menyiapkan kerangka kerja Metasploit di Kali Linux
Kami akan mulai dengan menjalankan Metasploit Framework. Pertama, mulai server PostgreSQL dengan mengetik:
$sudo systemctl: awal postgresql:
Selanjutnya, inisialisasi database dengan msfdb init:
Kemudian mulai layanan PostgreSQL menggunakan layanan mulai postgresql
$ layanan sudo postgresql awal
Kemudian ketik msfconsole untuk memulai database Metasploit
Basis data sekarang dimuat. Anda dapat memastikan bahwa database dimuat dengan benar, ketik:
Unduh WMAP
Selanjutnya, jalankan WMAP menggunakan perintah berikut:
Panel perintah akan menampilkan jendela berikut:
Jenis “?” dan Metasploit akan menampilkan menu bantuan yang mungkin akan terlihat seperti;
Masukkan situs web target untuk memulai pemindaian
Gunakan wmap_sites untuk mengelola situs yang ingin Anda pindai.
Inilah yang Anda masukkan untuk menambahkan situs.
$msf: >: wmap_sites -a http://172.16.1.102
Sekarang kita perlu mengarahkan Metasploit ke situs korban dengan memberikan URL
Ketik wmap_targets –t untuk menargetkan situs.
$msf: >: wmap_targets -t http://172.16.1.102/dvwa/indikator.php:
Memuat mod
Sebelum menjalankan pemindai, ketik wmap_run. Anda akan diperlihatkan opsi untuk perintah ini.
Masukkan wmap-run diikuti dengan tanda –t.
Seperti yang Anda lihat, ini mencantumkan semua modul yang terhubung dari semua jenis. Ada banyak yang off juga. Anda mungkin melihat bahwa modul SSL dinonaktifkan, karena situs yang terpengaruh tidak menggunakannya.
Jika ingin informasi detail, ketik info diikuti dengan info tentang mod.
Menjalankan pemindai
Untuk memulai pemindaian, ketik wmap_run yang berhasil dengan flag –e. Pemindaian biasanya membutuhkan waktu lama untuk diselesaikan.
Gunakan perintah wmap_vulns -l untuk melihat hasil scan.
Kesimpulan
Sebagai permulaan, tutorial ini adalah tentang penggunaan modul WAMP Metasploit untuk memindai aplikasi web dan menguji kerentanannya. Kami telah membahas cara meluncurkan database Metasploit, cara meluncurkan plugin WAMP, dan mengarahkannya ke aplikasi web untuk memulai pemindaian. Dengan pengujian pena, Anda dapat memeriksa potensi hotspot pelanggaran di aplikasi web untuk menghilangkannya, sehingga memperkuat keamanannya.