服务器端攻击

在本节中, 我们将讨论服务器端攻击。服务器端攻击不需要用户交互。这些攻击可以与Web服务器一起使用。我们还可以在人们每天使用的普通计算机上使用它们。为了进行这些攻击, 我们将针对我们的Metasploitable设备。我们之所以要在Melasploitable设备上使用它的原因是, 如果目标使用一台个人计算机, 并且他们与我们不在同一网络上, 那么即使我们设法获得其IP地址, 他们的IP地址将在路由器后面。他们可能会通过路由器进行连接, 因此, 如果我们使用IP来尝试确定安装了哪些应用程序以及在其上运行了什么操作系统, 我们将不会获得很多有用的信息, 因为我们只会获得有关以下信息：路由器, 而不是那个人。该人将躲在路由器后面。

当我们以Web服务器为目标时, 该服务器将具有IP地址, 我们可以直接在Internet上访问该IP地址。如果此人具有真实IP, 并且该人位于同一网络上, 则此攻击将起作用。如果我们可以ping通此人（即使它是一台个人计算机）, 那么我们可以运行所有攻击和我们将要学习的所有信息收集方法。

我们将以我们的Metasploitable设备为目标。在开始进行此工作之前, 我们将只检查网络设置。只是为了验证它, 它设置为NAT, 并且它与Kali机器位于同一网络上。这台Kali机器将成为我们的攻击机器。如果我们在Metasploitable机器上执行ifconfig, 我们将能够看到它的IP地址, 如以下屏幕截图所示：

在上面的屏幕截图中, 我们可以看到10.0.2.4是Metasploitable设备的IP。现在, 如果我们使用Kali机器, 我们应该能够ping通它。在下面的屏幕截图中, 我们可以看到在ping IP时, 我们正在从计算机获得响应。现在, 我们可以尝试测试其安全性, 如下面的屏幕快照所示：

同样, 我们可以对可以ping通的任何计算机使用这些攻击和方法。只要我们能够ping通它们, 服务器端攻击就会对普通计算机, 网站, Web服务器, 人员产生攻击。为了传达这个想法, 我们将看到Metasploitable机器。它只是一个普通的虚拟机, 我们可以在这里使用它来做我们想做的任何事情。使用-ls命令, 我们可以列出它, 甚至可以安装图形界面。然后, 我们将能够像在Kali机器中一样使用它。但是它有一个Web服务器。如果尝试导航到服务器, 我们将看到它具有可以实际读取和浏览的网站。我们将看看这些网站, 并在后面的章节中看到如何对它们进行笔测试, 如以下屏幕快照所示：

一切都是一台计算机, 如果我们可以ping通IP, 则可以使用服务器端攻击。这些攻击主要针对服务器, 因为服务器始终具有真实IP。如果此人与我们位于同一网络中, 则我们可以对其执行ping操作, 以进行所有这些攻击。