Sử dụng sai tham số trong Metasploit là lỗi “kinh điển” của các PenTester mới vào nghề. Dưới đây là phần giải đáp chi tiết để bạn nhận diện lỗi và khắc phục tình huống này.

---

1. Phân Tích Bối Cảnh (Scenario)

Bạn đang đánh giá bảo mật hệ thống máy chủ Web (chạy Linux và PHP) cho khách hàng. Đồng nghiệp của bạn đã dùng Metasploit để thử khai thác nhưng phàn nàn rằng tool không hoạt động hoặc không “target” được mục tiêu.

Dữ liệu thiết yếu cần ghi nhớ:

• IP Attacker (Máy Metasploit của bạn): 104.18.35.29 | Port lắng nghe: 12573
• Server One (Mục tiêu 1): 192.168.13.5 | Port: 12535
• Server Two (Mục tiêu 2): 192.168.13.6 | Port: 11231
• Payload được sử dụng: php/meterpreter_reverse_tcp (Kết nối ngược).

---

2. Giải Pháp Xử Lý Chi Tiết (Solution)

Đồng nghiệp của bạn đã cấu hình sai rất nhiều tham số. Dưới đây là đáp án chính xác để bạn check (tích chọn) vào các dòng lỗi và trả lời câu hỏi:

A. Server One (Mục tiêu 1)

• Checkboxes (Xác định lỗi cấu hình): Tích chọn vào dòng số 4 (LHOST 192.168.1.5) và dòng số 5 (LPORT 11231).
• What will the result of the above test be?👉 The exploit will not be successful (Khai thác sẽ thất bại vì sai IP và Port trả về).
• Will the module work with the client’s servers?👉 It will work with the client's servers (Module web_delivery hoàn toàn phù hợp với máy chủ web PHP).

B. Server Two (Mục tiêu 2)

• Checkboxes (Xác định lỗi cấu hình): Tích chọn vào dòng số 1 (chứa chữ exploit/multi/handler), dòng số 4 (LHOST 192.168.13.6), và dòng số 5 (LPORT 11231).
• What will the result of the above test be?👉 It will not target Server Two (Đây chỉ là một cổng lắng nghe, không có chức năng nhắm mục tiêu/tấn công).
• Will the module work with the client’s servers?👉 It is the wrong module (Sử dụng sai module cho mục đích tấn công).

---

3. Giải Thích Chuyên Sâu (Reasoning)

Hãy cùng tư duy như một Network Defender / Senior PenTester để hiểu rõ bản chất của những lỗi sai này:

• Nguyên lý của Reverse TCP: Bạn đang sử dụng payload reverse_tcp. Khác với Bind TCP (kẻ tấn công chủ động kết nối tới mục tiêu), Reverse TCP yêu cầu máy mục tiêu sau khi bị nhiễm mã độc phải tự động gọi ngược về (connect back) máy của kẻ tấn công.
• Bản chất của LHOST và LPORT:
  • Chữ “L” trong LHOST/LPORT viết tắt của Local (Tức là máy của bạn – Attacker).
  • Do đó, LHOST và LPORT bắt buộc phải được đặt thành IP và Port của máy Metasploit (104.18.35.29 và 12573).
  • Trong cả 2 màn hình Terminal, đồng nghiệp của bạn lại điền bừa IP (192.168.1.5) hoặc điền IP/Port của chính máy mục tiêu (192.168.13.6 : 11231). Khi mã độc thực thi trên Server, nó sẽ tìm cách kết nối về những địa chỉ sai lệch này, dẫn đến việc không có phiên Meterpreter nào được tạo ra thành công.
• Phân biệt web_delivery và multi/handler:
  • web_delivery: Là một module khai thác rất tốt. Nó tự động tạo ra một đoạn mã độc (PHP/Python/PowerShell) và khởi tạo một máy chủ web ảo để phân phối mã độc đó. Khi bạn lừa được Server chạy một dòng lệnh tải file từ máy chủ ảo này, hệ thống sẽ bị chiếm quyền.
  • exploit/multi/handler: Dù có chữ “exploit” trong đường dẫn, nó KHÔNG PHẢI là một module tấn công. Nó đơn thuần chỉ là một “người gác cổng” (Listener), đứng im chờ các kết nối Reverse TCP gọi về. Nó không thể chủ động đi nhắm mục tiêu (target) bất kỳ server nào. Việc dùng multi/handler và mong nó tự đi hack Server Two là hoàn toàn sai kiến thức nền tảng.

---

Nâng Tầm Kỹ Năng Penetration Testing Cùng Security365

Để làm chủ Metasploit Framework không chỉ là việc gõ lệnh set LHOST, mà là sự thấu hiểu sâu sắc luồng mạng (Network Traffic) và cách các Payload tương tác với hệ điều hành.

Hãy tham gia ngay Khóa Học CompTIA PENTEST+ tại Security365 để được trải nghiệm môi trường Thi Thử Như Thật. Không chỉ học lý thuyết, bạn sẽ được tự tay cấu hình Listener, tạo Payload né tránh Antivirus và khai thác các lỗ hổng hệ thống trên nền tảng học liệu CertMaster Perform chính hãng.

👉 Đăng ký và bứt phá sự nghiệp ngay tại: https://security365.vn/comptia-pentest/