Metasploit er et meget brugt penetrationstestværktøj, der hjælper sikkerhedsprofessionelle med at finde sårbarheder i netværk og systemer. Du kan bruge Metasploit til at simulere et angreb og afsløre sårbarheder.
På Kali Linux kommer Metasploit forudinstalleret, men du kan også installere det på andre Linux-distributioner. Værktøjet er også nemt at installere, konfigurere og lære på Ubuntu.
Metasploit er et sikkerhedsprojekt, der hjælper dig med at indsamle information om forskellige sårbarheder. En tilgang er at simulere et angreb for at teste et systems sikkerhed. Du kan også bruge Metasploit til at udvikle IDS-signaturer.
Metasploit Framework er en komponent i det større Metasploit Project, som er open source og designet til at skabe og udføre udnyttelseskode mod en fjernvært.
Metasploit er mest brugt som et penetrationstestværktøj at finde smuthuller i et system, så de senere kan rettes. Derudover omfatter projektet værktøjer til unddragelse og anti-kriminalteknik
Installation ved hjælp af Shell Script Installer
Hvis du vil installere Metasploit på Ubuntu på den hurtigst mulige måde, så brug shell-script-installationsprogrammet. Denne metode virker på ethvert system, der er Debian-baseret, inklusive Ubuntu.
Her er trinene til at installere Metasploit ved hjælp af shell-script-installationsprogrammet:
Trin 1: Åbn Ubuntu Terminal
Du vil installere Metasploit via Ubuntus kommandolinjegrænseflade (CLI). Tryk på for at åbne den Ctrl+Alt+T på tastaturet.
For at downloade Metasploit shell script-installationsprogrammet skal du køre:
wget http://downloads.metasploit.com/data/releases/metasploit-latest-linux-x64-installer.run
Når du har downloadet shell-script-installationsprogrammet, skal du bekræfte det ved at angive indholdet:
ls-lametasploit-nyeste-linux-x64-installer.løb
Trin 3: Giv Shell Script Installer-udførelsestilladelser
Du vil ikke være i stand til at køre installationsprogrammet, medmindre du giver det tilladelse til at blive en eksekverbar fil. For at gøre det skal du bruge en chmod-kommando:
chmod +x ./metasploit-latest-linux-x64-installer.run
For at installere Metasploit skal du køre installationsprogrammet med ./ og sudo.
sudo ./metasploit-latest-linux-x64-installer.run
Efter at have kørt installationsprogrammet er den første ting, du vil se på din skærm, en licensaftale. Læs licensen, vælg jeg accepterer aftalen, og klik derefter Frem.
Vælg derefter den mappe, hvor du vil installere Metasploit. Bedst at gå med standardmappen.
Hvis du vil installere Metasploit som en tjeneste, skal du vælge Ja.
I det næste vindue vil installationsprogrammet bede dig om at deaktivere anti-virus og firewall på dit system. Metasploit bruger nogle teknikker, der kan blokeres af systemets antivirus eller firewall, så det er klogt at deaktivere begge, mens du kører Metasploit-rammeværket.
Derefter skal du vælge den port, som Metasploit-tjenesten skal køre på. Hvis du vil gå med standardporten, skal du beholde 3790.
Metasploit bruger som standard localhost som serverens navn. Det genererer også et selvsigneret certifikat med en gyldighedstid på 10 år. Behold indstillingerne som standard, og fortsæt.
Nu hvor alle de nødvendige Metasploit-konfigurationer er blevet leveret, begynder installationsskal-scriptet at installere rammen. Dette vil tage et par minutter at installere.
Når Metasploit er installeret på dit system, vil du se en velkomstside på din skærm.
For at få adgang til Metasploit-opsætningssiden skal du finde URL'en nederst på velkomstsiden.
https://localhost: 3790
Ved at bruge denne URL på enhver browser kan du åbne opsætningssiden og oprette en ny bruger. Angiv et brugernavn, en stærk adgangskode, fulde navn, e-mail, organisation og tidszone for at oprette en brugerkonto.
Når brugeren er oprettet, kan du få adgang til Metasploit-konsollen med:
msfkonsol
Sådan kompileres og installeres fra kilde
En anden måde du kan installere Metasploit på er ved at bruge kildekoden. Når du installerer Metasploit, vil du bruge alle dets nyeste funktioner. Nogle gange er de seneste funktioner endnu ikke blevet tilføjet til scriptet. I så fald vil du kompilere og installere Metasploit ved hjælp af kildekoden.
Trin 1: Opdater og opgrader Ubuntu
Før du fortsætter med at installere Metasploit framework på Ubuntu, anbefales det at opdatere og opgradere dit system for at slippe af med eventuelle ødelagte eller forældede pakker. Opdater og opgrader dit system med:
sudo apt-get opdatering && passende-fåopgradering
Når hele systemet er opdateret og opgraderet, kan du nu installere væsentlige afhængigheder, der er nødvendige for at installere og bygge Metasploit-rammeværket.
passende installere gpgv2 autoconf bison bygge-essentiel postgresql libaprutil1 libgmp3-dev libpcap-dev openssl libpq-dev libreadline6-dev libsqlite3-dev libssl-dev lokalisere libsvn1 libtool libxml2 libxml2-dev libxslt-dev wget libyaml-dev ncurses-dev postgresql-contrib xsel zlib1g zlib1g-dev -y
Når de væsentlige afhængigheder er blevet installeret, er næste trin at downloade Metasploit-kildekoden:
krølle https://raw.githubusercontent.com/rapid7/metasploit-omnibus/master/config/templates/metasploit-framework-wrappers/msfupdate.erb > msfinstall
Metasploit-kildekoden vil blive gemt i msfinstall fil i din nuværende arbejdsmappe. For at sikre, at du har downloadet den korrekte fil, skal du liste indholdet med:
ls -la msfinstall
Giv filen tilladelser til at blive en eksekverbar:
chmod 755 msfinstall
For at begynde at installere Metasploit skal du køre koden:
./msfinstall
Du kan nu få adgang til Metaploit-kommandolinjen med:
msfkonsol
At fjerne Metasploit fra Ubuntu er meget simpelt, alt hvad du behøver er en grundlæggende Linux-kommando, og rammen vil øjeblikkeligt blive fjernet fra dit system.
Hvis du installerede Metasploit ved hjælp af shell-script-installationsprogrammet, skal du fjerne rammeværket ved hjælp af:
sudo /opt/metasploit/afinstallere
Men hvis du installerede Metasploit ved hjælp af kildekoden, skal du fjerne den med:
sudo apt-få fjerne metasploit-framework
Klar til at starte Pentesting på Ubuntu?
Nu hvor du har hele rammeværket installeret på din maskine, kan du starte din rejse i pentesting.
Metasploit alene vil ikke hjælpe dig med at starte en fuldgyldig penetrationstest. Det er en god praksis at bruge en kombination af værktøjer til at udvide omfanget af testene for at indsamle så meget information som muligt. Når du er i stand til at finde ud af svaghederne, er næste skridt at fjerne disse smuthuller ved at hærde systemets sikkerhed, så rigtige hackere undlader at udnytte eventuelle svagheder.