Was ist Metasploit? The Beginner’s Guide

Mit Penetrationstests lässt sich die Frage beantworten: „Wie kann sich jemand mit bösartigen Absichten in meinem Netzwerk zu schaffen machen?“ Mit Hilfe von Pen-Testing-Tools können White Hats und DevSec-Experten Netzwerke und Anwendungen an jedem Punkt des Produktions- und Bereitstellungsprozesses auf Fehler und Schwachstellen untersuchen, indem sie das System hacken.

Ein solches Hilfsmittel für Penetrationstests ist das Metasploit-Projekt. Dieses auf Ruby basierende Open-Source-Framework ermöglicht Tests über Kommandozeilenänderungen oder die grafische Benutzeroberfläche. Es kann auch durch Kodierung erweitert werden, um als Add-on zu fungieren, das mehrere Sprachen unterstützt.

Was ist das Metasploit-Framework und wie wird es verwendet?

Das Metasploit-Framework ist ein sehr leistungsfähiges Tool, das sowohl von Cyberkriminellen als auch von ethischen Hackern verwendet werden kann, um systematische Schwachstellen in Netzwerken und Servern zu untersuchen. Da es sich um ein Open-Source-Framework handelt, kann es leicht angepasst und mit den meisten Betriebssystemen verwendet werden.

Mit Metasploit kann das Pen-Testing-Team vorgefertigten oder benutzerdefinierten Code verwenden und ihn in ein Netzwerk einschleusen, um Schwachstellen aufzuspüren. Sobald die Schwachstellen identifiziert und dokumentiert sind, können die Informationen genutzt werden, um systemische Schwachstellen zu beheben und Lösungen zu priorisieren.

Eine kurze Geschichte von Metasploit

Das Metasploit-Projekt wurde 2003 von H.D. Moore mit Unterstützung des Hauptentwicklers Matt Miller als Perl-basiertes, portables Netzwerk-Tool gestartet. Es wurde 2007 vollständig in Ruby konvertiert, und die Lizenz wurde 2009 von Rapid7 erworben, wo es als Teil des Repertoires des in Boston ansässigen Unternehmens für die Entwicklung von IDS-Signaturen und gezielten Remote-Exploits, Fuzzing, Anti-Forensik und Evasion-Tools verbleibt.

Teile dieser anderen Tools befinden sich im Metasploit-Framework, das in das Kali Linux OS integriert ist. Rapid7 hat außerdem zwei proprietäre OpenCore-Tools entwickelt, Metasploit Pro und Metasploit Express.

Dieses Framework hat sich zum Standardwerkzeug für die Entwicklung und Abwehr von Angriffen entwickelt. Vor Metasploit mussten Pen-Tester alle Tests manuell durchführen, indem sie eine Vielzahl von Tools verwendeten, die die zu testende Plattform unterstützten oder auch nicht, ihren eigenen Code von Hand schrieben und ihn manuell in Netzwerke einführten. Ferntests waren so gut wie unbekannt, was die Reichweite eines Sicherheitsspezialisten auf den lokalen Bereich und auf Unternehmen beschränkte, die ein Vermögen für firmeninterne IT- oder Sicherheitsberater ausgeben.

Wer nutzt Metasploit?

Aufgrund seines breiten Anwendungsspektrums und seiner Open-Source-Verfügbarkeit wird Metasploit von allen genutzt, vom sich entwickelnden Bereich der DevSecOps-Profis bis zu Hackern. Es ist für jeden hilfreich, der ein einfach zu installierendes, zuverlässiges Tool benötigt, das seine Aufgabe unabhängig von der verwendeten Plattform oder Sprache erledigt. Die Software ist bei Hackern beliebt und weit verbreitet, was die Notwendigkeit für Sicherheitsexperten unterstreicht, sich mit dem Framework vertraut zu machen, selbst wenn sie es nicht verwenden.

Metasploit enthält jetzt mehr als 1677 Exploits, die auf 25 Plattformen verteilt sind, darunter Android, PHP, Python, Java, Cisco und mehr. Das Framework enthält außerdem fast 500 Payloads, darunter einige davon:

  • Command-Shell-Payloads, die es Nutzern ermöglichen, Skripte oder zufällige Befehle gegen einen Host auszuführen
  • Dynamische Payloads, die es Testern ermöglichen, einzigartige Payloads zu generieren, um Antivirensoftware zu umgehen
  • Meterpreter-Payloads, die es Nutzern ermöglichen, Geräte-Monitore mithilfe von VMC zu befehligen und Sitzungen zu übernehmen oder Dateien hoch- und herunterzuladen
  • Statische Payloads, die Port-Weiterleitung und Kommunikation zwischen Netzwerken ermöglichen

Metasploit – Nutzen und Vorteile

Visual, das die Module zeigt, die Metasploit Ihnen zur Verfügung stellt

Alles, was Sie brauchen, um Metasploit zu nutzen, sobald es installiert ist, ist, Informationen über das Ziel zu erhalten, entweder durch Port-Scanning, OS Fingerprinting oder die Verwendung eines Schwachstellenscanners, um einen Weg in das Netzwerk zu finden. Dann müssen Sie nur noch einen Exploit und Ihre Nutzlast auswählen. In diesem Zusammenhang ist ein Exploit ein Mittel, um eine Schwachstelle in den von Ihnen ausgewählten, immer schwerer zu verteidigenden Netzwerken oder Systemen zu identifizieren und diese Schwachstelle auszunutzen, um sich Zugang zu verschaffen.

Das Framework besteht aus verschiedenen Modellen und Schnittstellen, darunter msfconsole interaktive Curses, msfcli für alle msf-Funktionen aus dem Terminal/cmd, das grafische Java-Tool Armitag, das zur Integration mit MSF verwendet wird, und das Metasploit Community Web Interface, das Remote Pen Testing unterstützt.

White Hat-Tester, die versuchen, Black Hats und Hacker ausfindig zu machen oder von ihnen zu lernen, sollten sich darüber im Klaren sein, dass sie in der Regel keine Ankündigung machen, dass sie Metasploiting betreiben. Diese geheimnisvolle Gruppe operiert gerne über virtuelle private Netzwerktunnel, um ihre IP-Adresse zu verschleiern, und viele verwenden auch einen dedizierten VPS, um Unterbrechungen zu vermeiden, die bei vielen Shared-Hosting-Anbietern üblich sind. Diese beiden Datenschutz-Tools sind auch eine gute Idee für White Hats, die mit Metasploit in die Welt der Exploits und Pen-Tests einsteigen wollen.

Wie bereits erwähnt, bietet Metasploit Exploits, Nutzlasten, Hilfsfunktionen, Encoder, Listener, Shellcode, Post-Exploitation-Code und NOPs.

Sie können eine Metasploit Pro Specialist-Zertifizierung online erwerben, um ein anerkannter Pen-Tester zu werden. Um die Zertifizierung zu erhalten, muss man 80 Prozent der Punkte erreichen, und die Prüfung dauert etwa zwei Stunden. Sie kostet 195 Dollar, und Sie können Ihr Zertifikat ausdrucken, sobald Sie es erhalten haben.

Vor der Prüfung wird empfohlen, den Metasploit-Schulungskurs zu absolvieren und folgende Kenntnisse zu besitzen:

  • Windows- und Linux-Betriebssysteme
  • Netzwerkprotokolle
  • Schwachstellen-Management-Systeme
  • Grundlegende Pen-Testing-Konzepte

Dieses Zertifikat zu erlangen, ist ein erstrebenswerter Erfolg für jeden, der ein marktfähiger Pen-Tester oder Sicherheitsanalyst werden möchte.

Wie man Metasploit erhält

Metasploit ist über Open-Source-Installationsprogramme direkt von der Rapid7-Website erhältlich. Neben der neuesten Version der Browser Chrome, Firefox oder Explorer sind die minimalen Systemanforderungen:

Betriebssysteme:

  • Ubuntu Linux 14.04 oder 16.04 LTS (empfohlen)
  • Windows Server 2008 oder 2012 R2
  • Windows 7 SP1+, 8.1 oder 10
  • Red Hat Enterprise Linux Server 5.10, 6.5, 7.1 oder höher

Hardware:

  • 2 GHz+ Prozessor
  • Mindestens 4 GB RAM, aber 8 GB werden empfohlen
  • Mindestens 1 GB Festplattenspeicher, aber 50 GB werden empfohlen

Sie müssen alle Antiviren-Software und Firewalls, die auf Ihrem Gerät installiert sind, deaktivieren, bevor Sie beginnen, und erhalten administrative Rechte. Das Installationsprogramm ist eine in sich geschlossene Einheit, die bei der Installation des Frameworks für Sie konfiguriert wird. Sie haben auch die Möglichkeit der manuellen Installation, wenn Sie eigene Abhängigkeiten konfigurieren möchten. Benutzer der Kali Linux-Version haben die Metasploit Pro-Version bereits im Lieferumfang ihres Betriebssystems enthalten. Windows-Benutzer müssen den Installationsassistenten durchlaufen.

Nach der Installation werden Sie beim Start mit folgenden Optionen konfrontiert:

  • Erstellen einer Datenbank unter /Users/joesmith/.msf4/db
  • Starten von Postgresql
  • Erstellen von Datenbankbenutzern
  • Erstellen eines anfänglichen Datenbankschemas

Lernen, wie man Metasploit benutzt: Tutorial + Tipps

Die Leichtigkeit des Erlernens der Verwendung von Metasploit hängt von Ihren Ruby-Kenntnissen ab. Wenn Sie jedoch mit anderen Skript- und Programmiersprachen wie Python vertraut sind, sollte der Einstieg in die Arbeit mit Metasploit nicht allzu schwierig sein. Ansonsten handelt es sich um eine intuitive Sprache, die mit etwas Übung leicht zu erlernen ist.

Da dieses Tool erfordert, dass Sie Ihre eigenen systematischen Schutzmaßnahmen deaktivieren, und die Generierung von bösartigem Code ermöglicht, sollten Sie sich der damit verbundenen potenziellen Risiken bewusst sein. Wenn möglich, sollten Sie dieses Tool auf einem anderen System installieren als Ihr persönliches Gerät oder einen Computer, der potenziell sensible Daten oder den Zugang zu solchen Daten enthält. Sie sollten ein dediziertes Arbeitsgerät verwenden, wenn Sie Pen-Tests mit Metasploit durchführen.

Gründe, Metasploit zu lernen

Dieses Framework-Paket ist ein Muss für jeden Sicherheitsanalysten oder Pen-Tester. Es ist ein unverzichtbares Werkzeug, um versteckte Schwachstellen mit einer Vielzahl von Tools und Dienstprogrammen zu entdecken. Mit Metasploit können Sie sich in die Denkweise eines Hackers hineinversetzen und die gleichen Methoden zum Sondieren und Infiltrieren von Netzwerken und Servern verwenden.

Hier ist ein Diagramm einer typischen Metasploit-Architektur:

Diagramm einer typischen Metasploit-Architektur

Metasploit Schritt für Schritt

Wir beginnen mit einer kurzen Anleitung für einen einfachen Exploit, indem wir davon ausgehen, dass Sie die grundlegenden System- und Betriebssystemanforderungen erfüllen. Um eine Testumgebung einzurichten, müssen Sie Virtualbox, Kali und Metasploit herunterladen und installieren, um eine virtualisierte Hacking-Maschine zu erstellen. Sie können Windows XP oder höher herunterladen und installieren, um eine dritte virtuelle Maschine für diesen Exploit zu erstellen.

Wenn Sie Ihre Testtools installiert haben, öffnen Sie Ihre Metasploit-Konsole. Sie sieht dann wie folgt aus:

Metasploit-Konsole mit installierten Test-Tools

Eine Abkürzung ist die Eingabe von „help“ in die Konsole, die eine Liste der Metasploit-Befehle und ihrer Beschreibungen anzeigt. Sie sollte wie folgt aussehen:

Visual des Metasploit-Hilfe-Befehls

Ein leistungsfähiges und nützliches Tool für den Anfang ist die Armitage-GUI, mit der Sie Ziele visualisieren und die besten Exploits für den Zugriff auf sie empfehlen können. Dieses Tool zeigt auch erweiterte Post-Exploit-Funktionen für eine tiefere Penetration und weitere Tests. Um es in der Konsole auszuwählen, gehen Sie zu Anwendungen – Exploit-Tools – Armitage.

Wenn Sie das Formularfeld auf dem Bildschirm haben, geben Sie den Host, die Portnummer, die Benutzer-ID und das Passwort ein. Tippen Sie auf „Enter“, nachdem alle Felder ausgefüllt sind, und Sie sind bereit, Ihren Exploit zu starten.

Ressourcen zum Erlernen von Metasploit

Eine großartige Sache an der Open-Source-Gemeinschaft ist das Engagement für die Zusammenlegung von Ressourcen und den Austausch von Informationen. Es ist die moderne Verkörperung dessen, warum das Internet überhaupt erst geschaffen wurde. Es ermöglicht eine grenzenlose Zusammenarbeit und fördert die Flexibilität.

Zu diesem Zweck bieten wir eine Liste von Ressourcen an, die es Ihnen ermöglichen, das volle Ausmaß des Versprechens von Metasploit zu verwirklichen.

Eine der besten Ressourcen und der erste Ort, den Sie besuchen sollten, ist die umfangreiche Wissensdatenbank von Metasploit selbst. Dort finden Sie Schnellstartanleitungen, Metamodule, Exploits sowie die Identifizierung und Behebung von Schwachstellen. Sie können sich auch über verschiedene Arten von Anmeldeinformationen und deren Beschaffung informieren.

Eine weitere hilfreiche Ressource ist der Varonis Cyber Workshop. Er bietet eine Reihe von Tutorials und Sitzungen mit Experten aus der Sicherheitsbranche.

Penetrationstests sind wichtig, um Schwachstellen aufzuspüren und Netzwerke vor Angriffen und Hacks zu schützen. Wenn Sie mit einem datengesteuerten und ergebnisorientierten Cybersicherheitsunternehmen wie Varonis zusammenarbeiten und ein Framework wie Metasploit einsetzen, haben Sie einen Vorteil, wenn es um den Schutz Ihrer Netzwerke geht.