Co je Metasploit? Průvodce pro začátečníky

Penetrační testování umožňuje odpovědět na otázku: „Jak si někdo se zlými úmysly může zahrávat s mojí sítí?“. Pomocí nástrojů pro pen-testování mohou bílé klobouky a profesionálové v oblasti DevSec prozkoumat sítě a aplikace a hledat v nich chyby a zranitelnosti v jakémkoli bodě procesu výroby a nasazení pomocí hackování systému.

Jednou z takových pomůcek pro penetrační testování je projekt Metasploit. Tento open-source framework založený na jazyce Ruby umožňuje testování prostřednictvím změn v příkazovém řádku nebo grafickém uživatelském rozhraní. Lze jej také rozšířit pomocí kódování a fungovat jako doplněk, který podporuje více jazyků.

Co je rámec Metasploit a jak se používá?“

Rámec Metasploit je velmi mocný nástroj, který mohou používat kyberzločinci i etičtí hackeři k systematickému zkoumání zranitelností sítí a serverů. Protože se jedná o framework s otevřeným zdrojovým kódem, lze jej snadno přizpůsobit a používat s většinou operačních systémů.

Pomocí Metasploitu může tým provádějící pen testování použít hotový nebo vlastní kód a zavést jej do sítě, aby prozkoumal slabá místa. Jakožto další příchuť lovu hrozeb lze po identifikaci a zdokumentování chyb tyto informace využít k řešení systémových slabých míst a stanovení priorit řešení.

Krátká historie Metasploitu

Projekt Metasploit byl zahájen v roce 2003 H. D. Moorem pro použití jako přenosný síťový nástroj založený na jazyce Perl za pomoci hlavního vývojáře Matta Millera. Do roku 2007 byl plně převeden do jazyka Ruby a v roce 2009 licenci získala společnost Rapid7, kde zůstává jako součást repertoáru této bostonské společnosti pro vývoj signatur IDS a cílených nástrojů pro vzdálené zneužití, fuzzing, antiforenzní a únikové nástroje.

Části těchto dalších nástrojů se nacházejí v rámci Metasploit, který je zabudován do operačního systému Kali Linux. Společnost Rapid7 také vyvinula dva vlastní nástroje OpenCore, Metasploit Pro, Metasploit Express.

Tento rámec se stal nástrojem pro vývoj exploitů a jejich zmírňování. Před Metasploitem museli pen testeři provádět všechny sondy ručně pomocí různých nástrojů, které mohly, ale nemusely podporovat testovanou platformu, ručně psát vlastní kód a ručně jej zavádět do sítí. Vzdálené testování bylo prakticky neslýchané, což omezovalo dosah bezpečnostního specialisty na místní oblast a společnosti utrácející jmění za interní IT nebo bezpečnostní konzultanty.

Kdo používá Metasploit?

Díky širokému spektru aplikací a dostupnosti otevřeného zdrojového kódu používají Metasploit všichni od rozvíjející se oblasti profesionálů DevSecOps až po hackery. Je užitečný pro každého, kdo potřebuje snadno instalovatelný a spolehlivý nástroj, který odvede svou práci bez ohledu na použitou platformu nebo jazyk. Tento software je mezi hackery oblíbený a široce dostupný, což posiluje potřebu profesionálů v oblasti zabezpečení seznámit se s tímto frameworkem, i když jej nepoužívají.

Metasploit nyní obsahuje více než 1677 exploitů uspořádaných na více než 25 platformách, včetně systémů Android, PHP, Python, Java, Cisco a dalších. Framework také obsahuje téměř 500 payloadů, z nichž některé zahrnují např:

  • Zátěže příkazového shellu, které uživatelům umožňují spouštět skripty nebo náhodné příkazy proti hostiteli
  • Dynamické zátěže, které testerům umožňují generovat jedinečné zátěže, aby se vyhnuli antivirovému softwaru
  • Zátěže měřiče, které uživatelům umožňují ovládat monitory zařízení pomocí VMC a přebírat relace nebo nahrávat a stahovat soubory
  • Statické payloady, které umožňují přesměrování portů a komunikaci mezi sítěmi

Použití a výhody Metasploitu

vizuál, který ukazuje moduly, které vám Metasploit poskytuje

Vše, co potřebujete k použití Metasploitu po jeho instalaci, je získat informace o cíli buď pomocí skenování portů, otisků operačního systému nebo pomocí skeneru zranitelností k nalezení cesty do sítě. Pak už stačí jen vybrat exploit a užitečné zatížení. V tomto kontextu je exploit prostředkem k identifikaci slabého místa ve vybraných, stále obtížněji bránitelných sítích nebo systémech a k využití této chyby ke vstupu.

Rámec je sestaven z různých modelů a rozhraní, mezi které patří interaktivní kurzíva msfconsole, msfcli pro všechny funkce msf z terminálu/cmd, grafický nástroj Armitag v jazyce Java, který se používá k integraci s MSF, a webové rozhraní Metasploit Community Web Interface, které podporuje vzdálené testování perem.

Testéři s bílými klobouky, kteří se snaží najít nebo se učit od černých klobouků a hackerů, by si měli uvědomit, že obvykle nevykládají oznámení, že používají Metasploit. Tato tajnůstkářská parta ráda operuje prostřednictvím virtuálních privátních síťových tunelů, aby zamaskovala svou IP adresu, a mnozí používají také dedikovaný VPS, aby se vyhnuli výpadkům, které běžně trápí mnoho poskytovatelů sdíleného hostingu. Tyto dva nástroje pro ochranu soukromí jsou také dobrým nápadem pro bílé klobouky, kteří mají v úmyslu vstoupit do světa exploitů a pen testování pomocí Metasploitu.

Jak bylo zmíněno výše, Metasploit vám poskytuje exploity, payloady, pomocné funkce, kodéry, listenery, shellcode, post-exploitační kód a nops.

Certifikaci Metasploit Pro Specialist můžete získat online a stát se tak oprávněným pen-testerem. Úspěšný výsledek pro získání certifikace je 80 % a zkouška s otevřenou knihou trvá přibližně dvě hodiny. Stojí 195 dolarů a po schválení si můžete certifikát vytisknout.

Před zkouškou se doporučuje absolvovat školicí kurz Metasploit a mít odborné nebo pracovní znalosti:

  • Osystémy Windows a Linux
  • Síťové protokoly
  • Systémy pro správu zranitelností
  • Základní koncepty pen testování

Získání tohoto pověření je žádoucím úspěchem pro každého, kdo se chce stát prodejným pen testerem nebo bezpečnostním analytikem.

Jak získat Metasploit

Metasploit je k dispozici prostřednictvím open-source instalátorů přímo z webu Rapid7. Kromě nejnovější verze prohlížečů Chrome, Firefox nebo Explorer jsou minimální systémové požadavky následující:

Operační systémy:

  • Ubuntu Linux 14.04 nebo 16.04 LTS (doporučeno)
  • Windows Server 2008 nebo 2012 R2
  • Windows 7 SP1+, 8.1 nebo 10
  • Red Hat Enterprise Linux Server 5.10, 6.5, 7. (doporučeno).1 nebo novější

Hardware:

  • Procesor s frekvencí 2 GHz+
  • Minimálně 4 GB RAM, ale doporučuje se 8 GB
  • Minimálně 1 GB místa na disku, ale doporučuje se 50 GB

Před zahájením je nutné vypnout antivirový software a bránu firewall nainstalované v zařízení a získat práva správce. Instalační program je samostatná jednotka, která je pro vás nakonfigurována při instalaci frameworku. Máte také možnost ruční instalace, pokud chcete nakonfigurovat vlastní závislosti. Uživatelé s verzí Kali Linux již mají verzi Metasploit Pro předinstalovanou se svým operačním systémem. Uživatelé systému Windows projdou průvodcem instalačním štítem.

Po instalaci vás po spuštění čekají tyto volby:

  • Vytvoření databáze na adrese /Users/joesmith/.msf4/db
  • Spuštění Postgresql
  • Vytvoření uživatelů databáze
  • Vytvoření počátečního schématu databáze

Naučení, jak používat Metasploit:

Snadnost naučení se používat Metasploit závisí na vašich znalostech jazyka Ruby. Pokud však máte povědomí o jiných skriptovacích a programovacích jazycích, jako je Python, neměl by pro vás být přechod k práci s Metasploitem příliš obtížný. Jinak se jedná o intuitivní jazyk, který se snadno naučíte praxí.

Protože tento nástroj vyžaduje vypnutí vlastních systematických ochran a umožňuje generování škodlivého kódu, měli byste si být vědomi možných rizik s tím spojených. Pokud je to možné, mějte tento nástroj nainstalovaný na jiném systému než osobní zařízení nebo jakýkoli počítač, který obsahuje potenciálně citlivé informace nebo přístup k takovým informacím. Při pen-testování pomocí Metasploitu byste měli používat vyhrazené pracovní zařízení.

Důvody, proč se učit Metasploit

Tento balík frameworků musí mít každý, kdo se zabývá bezpečnostní analýzou nebo pen-testováním. Je to základní nástroj pro odhalování skrytých zranitelností pomocí různých nástrojů a utilit. Metasploit vám umožní vstoupit do mysli hackera a používat stejné metody pro sondování a infiltraci sítí a serverů.

Tady je schéma typické architektury Metasploitu:

diagram typické architektury Metasploitu

Metasploit krok za krokem

Začneme krátkým návodem snadného zneužití za předpokladu, že máte základní požadavky na systém a operační systém. Abyste mohli vytvořit testovací prostředí, budete si muset stáhnout a nainstalovat Virtualbox, Kali a Metasploit a vytvořit virtualizovaný hackerský stroj. Pro vytvoření třetího virtuálního počítače pro tento exploit si můžete stáhnout a nainstalovat systém Windows XP nebo vyšší.

Jakmile budete mít nainstalované testovací nástroje, budete chtít otevřít konzoli Metasploitu. Bude vypadat takto:

konzole Metasploit s nainstalovanými testovacími nástroji

Jednou zkratkou je zadat do konzoly příkaz „help“, který zobrazí seznam příkazů Metasploit a jejich popis. Měl by vypadat takto:

vizualizace příkazu metasploit help

Mocným a užitečným nástrojem je pro začátek grafické rozhraní Armitage, které umožňuje vizualizovat cíle a doporučit nejlepší exploity pro přístup k nim. Tento nástroj také zobrazuje pokročilé funkce po exploitu pro hlubší průnik a další testování. Chcete-li jej vybrat z konzoly, přejděte na Applications – Exploit Tools – Armitage.

Pokud máte na obrazovce formulářové pole, zadejte hostitele, číslo portu, ID uživatele a heslo. Po vyplnění všech polí zadejte ‚enter‘ a můžete spustit exploit.

Zdroje pro výuku Metasploitu

Jednou ze skvělých věcí v komunitě open-source je snaha o sdílení zdrojů a informací. Je to moderní ztělesnění toho, proč byl internet vůbec vytvořen. Umožňuje spolupráci bez hranic a podporuje flexibilitu.

Z tohoto důvodu vám nabízíme seznam zdrojů, které vám umožní naplno realizovat sliby Matspoitu.

Jedním z nejlepších zdrojů a prvním místem, které byste měli navštívit, je vlastní rozsáhlá znalostní báze Metasploitu. Najdete v ní rychlé průvodce, metamoduly, exploity a identifikaci a opravy zranitelností. Dozvíte se také o různých typech pověření a způsobech jejich získání.

Dalším užitečným zdrojem je kybernetická dílna Varonis. Nabízí řadu výukových programů a sezení s odborníky z oboru zabezpečení.

Penetrační testování je nezbytné pro odstraňování zranitelností a prevenci zneužití a hacknutí sítí. Spoluprací se společností zabývající se kybernetickou bezpečností, která se orientuje na data a výsledky, jako je Varonis, a využitím rámce, jako je Metasploit, získáte při ochraně svých sítí výhodu.