Metasploit是目前最流行的渗透测试框架,Metasploit的出现使漏洞利用代码的开发、测试、使用变得更加方便。Metasploit框架自带大量的漏洞利用脚本,并且支持新脚本的快速开发。网络入侵检测系统需要攻击流量来进行训练和测试,攻击流量具有重要的价值。本文提出了一种基于Ruby语言符号执行提取Metasploit攻击流量的方法。漏洞利用脚本需要与攻击目标通过网络进行交互,并预期目标会返回某种特定的输入,如果目标没有返回预期的输入,脚本会认为目标不可攻击并结束执行。因此,漏洞利用脚本的运行需要合适的靶机环境。本文首先实现了一个轻量级Ruby符号执行引擎。符号执行是一种程序测试技术。符号执行利用符号作为程序的输入,可以探索程序的不同执行路径。本文利用对等架构,以Ruby语言库的形式实现了一个执行生成测试类的符号执行引擎。然后本文使用符号执行技术对Metasploit框架进行改造。本文将Metasploit的API分成四类:目标探测API、状态转移API、攻击流量构造API和流量发送API。通过将Metasploit中目标探测API、状态转移API的符号化,用符号模拟攻击目标的反馈,使漏洞利用脚本可以在没有靶机的情况下运行。利用符号执行的路径探索能力,还可以获取漏洞利用脚本针对不同攻击目标的所有攻击流量。进一步通过将攻击流量构造API的符号化,用符号表示有特殊功能的二进制字节流。利用符号的抽象性,可以明确攻击流量中各个部分的作用,形成流量模板。流量模板可以用于提取攻击流量特征和按需生成攻击流量。最后,本文通过搭建靶机环境,运行未修改的攻击脚本抓取真实的攻击流量,并与通过符号执行获取的攻击流量模板做对比,测试修改后的Metasploit框架对攻击目标的覆盖率以及流量模板的准确性。