服务器端攻击

在本节中，我们将讨论服务器端攻击。服务器端攻击不需要用户交互。这些攻击可以与Web服务器一起使用。我们还可以在人们每天使用的普通计算机上使用它们。为了进行这些攻击，我们将针对我们的Metasploitable设备。我们之所以要在Melasploitable设备上使用它，是因为如果目标使用一台个人计算机，并且如果他们与我们不在同一网络上，那么即使我们设法获得其IP地址，他们的IP地址将在路由器后面。他们可能会通过路由器进行连接，因此，如果我们使用IP来尝试确定安装了哪些应用程序以及在其上运行了什么操作系统，我们将不会获得很多有用的信息，因为我们只会获得有关以下信息。路由器，而不是那个人。该人将躲在路由器后面。

当我们以Web服务器为目标时，该服务器将具有IP地址，我们可以直接在Internet上访问该IP地址。如果此人具有真实IP，并且该人位于同一网络上，则此攻击将起作用。如果我们可以ping通此人(即使它是一台个人计算机)，那么我们可以运行所有攻击和我们将要学习的所有信息收集方法。

我们将以我们的Metasploitable设备为目标。在开始进行此工作之前，我们将只检查网络设置。只是为了验证它，它设置为NAT，并且它与Kali机器位于同一网络上。这台Kali机器将成为我们的攻击机器。如果在Metasploitable机器上执行ifconfig，我们将能够看到它的IP地址，如以下屏幕截图所示：

在上面的屏幕截图中，我们可以看到10.0.2.4是Metasploitable设备的IP。现在，如果我们使用Kali机器，我们应该能够ping通它。在下面的屏幕截图中，我们可以看到在ping IP时，我们正在从计算机获得响应。现在，我们可以尝试测试其安全性，如下面的屏幕快照所示：

同样，我们可以对可以ping通的任何计算机使用这些攻击和方法。只要我们能ping通它们，服务器端攻击就会对普通计算机，网站，Web服务器，人员起作用。为了传达这个想法，我们将看到Metasploitable机器。它只是一个普通的虚拟机，我们可以在这里使用它来做我们想做的任何事情。使用-ls命令，我们可以列出它，甚至可以安装图形界面。然后，我们将能够像在Kali机器中一样使用它。但是它有一个Web服务器。如果尝试导航到服务器，我们将看到它具有可以实际读取和浏览的网站。我们将看看这些网站，并在后面的章节中看到如何对它们进行笔测试，如以下屏幕快照所示：

一切都是一台计算机，如果我们可以ping通IP，则可以使用服务器端攻击。这些攻击主要针对服务器，因为服务器始终具有真实IP。如果此人与我们位于同一网络中，则我们可以对其执行ping操作，以进行所有这些攻击。