Qu’est-ce que Metasploit ? Le guide du débutant

admin

Les tests d’intrusion vous permettent de répondre à la question suivante :  » Comment une personne mal intentionnée peut-elle s’immiscer dans mon réseau ?  » À l’aide d’outils de pen-testing, les white hats et les professionnels du DevSec sont en mesure de sonder les réseaux et les applications à la recherche de failles et de vulnérabilités à tout moment du processus de production et de déploiement en piratant le système.

L’une de ces aides au test de pénétration est le projet Metasploit. Ce framework open-source basé sur Ruby permet de réaliser des tests via des altérations en ligne de commande ou une interface graphique. Il peut également être étendu par codage pour agir comme un complément qui prend en charge plusieurs langues.

Qu’est-ce que le framework Metasploit et comment est-il utilisé ?

Le framework Metasploit est un outil très puissant qui peut être utilisé par les cybercriminels comme par les hackers éthiques pour sonder les vulnérabilités systématiques des réseaux et des serveurs. Comme c’est un framework open-source, il peut être facilement personnalisé et utilisé avec la plupart des systèmes d’exploitation.

Avec Metasploit, l’équipe de pen testing peut utiliser du code prêt à l’emploi ou personnalisé et l’introduire dans un réseau pour sonder les points faibles. Comme une autre saveur de la chasse aux menaces, une fois que les failles sont identifiées et documentées, les informations peuvent être utilisées pour aborder les faiblesses systémiques et prioriser les solutions.

Un bref historique de Metasploit

Le projet Metasploit a été entrepris en 2003 par H.D. Moore pour être utilisé comme un outil réseau portable basé sur Perl, avec l’aide du développeur principal Matt Miller. Il a été entièrement converti en Ruby en 2007, et la licence a été acquise par Rapid7 en 2009, où il fait toujours partie du répertoire de la société basée à Boston pour le développement de signatures IDS et d’outils ciblés d’exploitation à distance, de fuzzing, d’anti-forensic et d’évasion.

Des parties de ces autres outils résident dans le cadre de Metasploit, qui est intégré au système d’exploitation Kali Linux. Rapid7 a également développé deux outils OpenCore propriétaires, Metasploit Pro, Metasploit Express.

Ce cadre est devenu l’outil de référence pour le développement d’exploits et l’atténuation. Avant Metasploit, les pen testers devaient effectuer toutes les sondes manuellement en utilisant une variété d’outils qui pouvaient ou non supporter la plateforme qu’ils testaient, en écrivant leur propre code à la main et en l’introduisant sur les réseaux manuellement. Les tests à distance étaient pratiquement inconnus, ce qui limitait la portée d’un spécialiste de la sécurité à la zone locale et aux entreprises dépensant une fortune en consultants internes en informatique ou en sécurité.

Qui utilise Metasploit ?

En raison de sa large gamme d’applications et de sa disponibilité en open-source, Metasploit est utilisé par tout le monde, du domaine en évolution des pros de DevSecOps aux pirates informatiques. Il est utile à tous ceux qui ont besoin d’un outil fiable et facile à installer, qui accomplit son travail quelle que soit la plate-forme ou le langage utilisé. Le logiciel est populaire auprès des hackers et largement disponible, ce qui renforce la nécessité pour les professionnels de la sécurité de se familiariser avec le framework, même s’ils ne l’utilisent pas.

Metasploit comprend désormais plus de 1677 exploits organisés sur 25 plateformes, dont Android, PHP, Python, Java, Cisco, etc. Le framework transporte également près de 500 charges utiles, dont certaines comprennent :

  • Des charges utiles de shell de commande qui permettent aux utilisateurs d’exécuter des scripts ou des commandes aléatoires contre un hôte
  • Des charges utiles dynamiques qui permettent aux testeurs de générer des charges utiles uniques pour échapper aux logiciels antivirus
  • Des charges utiles de métronome qui permettent aux utilisateurs de réquisitionner des moniteurs de périphériques à l’aide de VMC et de prendre le contrôle de sessions ou de télécharger des fichiers

    • .

  • Les charges utiles statiques qui permettent la redirection de port et les communications entre les réseaux

Utilisations et avantages de Metasploit

visuel qui montre les modules que metasploit met à votre disposition

Tout ce dont vous avez besoin pour utiliser Metasploit une fois qu’il est installé est d’obtenir des informations sur la cible soit par le biais d’un scan de port, l’empreinte de l’OS ou l’utilisation d’un scanner de vulnérabilité pour trouver un moyen d’entrer dans le réseau. Ensuite, il suffit de sélectionner un exploit et votre charge utile. Dans ce contexte, un exploit est un moyen d’identifier une faiblesse dans votre choix de réseaux ou de système de plus en plus difficiles à défendre et de tirer parti de cette faille pour s’introduire.

Le cadre est construit de divers modèles et interfaces, qui comprennent msfconsole curseurs interactifs, msfcli pour alls msf fonctions à partir du terminal/cmd, l’outil graphique Java Armitag qui est utilisé pour s’intégrer avec MSF, et l’interface Web de la communauté Metasploit qui prend en charge le pen testing à distance.

Les white hat testers qui essaient de localiser ou d’apprendre des black hats et des hackers doivent savoir qu’ils ne déploient généralement pas une annonce qu’ils sont Metasploiting. Cette bande secrète aime opérer par le biais de tunnels de réseaux privés virtuels pour masquer son adresse IP, et beaucoup utilisent également un VPS dédié pour éviter les interruptions qui affectent souvent les fournisseurs d’hébergement partagé. Ces deux outils de confidentialité sont également une bonne idée pour les white hats qui ont l’intention de faire un pas dans le monde des exploits et du pen testing avec Metasploit.

Comme mentionné ci-dessus, Metasploit vous fournit des exploits, des charges utiles, des fonctions auxiliaires, des encodeurs, des écouteurs, du shellcode, du code post-exploitation et des nops.

Vous pouvez obtenir une certification Metasploit Pro Specialist en ligne pour devenir un pen-tester accrédité. La note de passage pour obtenir la certification est de 80 %, et l’examen à livre ouvert dure environ deux heures. Il coûte 195 dollars, et vous pouvez imprimer votre certificat une fois que vous êtes approuvé.

Avant l’examen, il est recommandé de suivre le cours de formation Metasploit et d’avoir des compétences ou des connaissances pratiques :

  • Windows et Linux OS
  • Protocoles réseau
  • Systèmes de gestion des vulnérabilités
  • Concepts de base du pen testing

L’obtention de ce titre est une réussite souhaitable pour quiconque veut devenir un pen-tester ou un analyste de sécurité commercialisable.

Comment obtenir Metasploit

Metasploit est disponible par le biais d’installateurs open-source directement à partir du site Web de Rapid7. Outre la dernière version des navigateurs Chrome, Firefox ou Explorer, la configuration minimale requise est la suivante :

Systèmes d’exploitation :

  • Ubuntu Linux 14.04 ou 16.04 LTS (recommandé)
  • Windows Server 2008 ou 2012 R2
  • Windows 7 SP1+, 8.1 ou 10
  • Red Hat Enterprise Linux Server 5.10, 6.5, 7.1, ou plus récent

Matériel informatique :

  • Processeur de 2 GHz+
  • Minimum 4 Go de RAM, mais 8 Go sont recommandés
  • Minimum 1 Go d’espace disque, mais 50 Go sont recommandés

Vous devrez désactiver tout logiciel antivirus et pare-feu installé sur votre appareil avant de commencer, et obtenir des privilèges administratifs. Le programme d’installation est une unité autonome qui est configurée pour vous lorsque vous installez le framework. Vous avez également la possibilité de procéder à une installation manuelle si vous souhaitez configurer des dépendances personnalisées. Les utilisateurs de la version Kali Linux disposent déjà de la version Metasploit Pro pré-intégrée à leur système d’exploitation. Les utilisateurs de Windows passeront par l’assistant d’installation du bouclier.

Après l’installation, au démarrage, vous serez confronté à ces choix :

  • Créer une base de données à /Users/joesmith/.msf4/db
  • Démarrer Postgresql
  • Créer des utilisateurs de base de données
  • Créer un schéma de base de données initial

Apprendre à utiliser Metasploit : Tutoriel + conseils

La facilité d’apprendre à utiliser Metasploit dépend de votre connaissance de Ruby. Cependant, si vous êtes familier avec d’autres langages de script et de programmation comme Python, faire le saut pour travailler avec Metasploit ne devrait pas être trop difficile à mettre en place. Sinon, c’est un langage intuitif qui s’apprend facilement avec de la pratique.

Parce que cet outil vous demande de désactiver vos propres protections systématiques et permet la génération de code malveillant, vous devez être conscient des risques potentiels encourus. Si possible, gardez cet utilitaire installé sur un système distinct de celui de votre appareil personnel ou de tout ordinateur contenant des informations potentiellement sensibles ou permettant d’accéder à de telles informations. Vous devez utiliser un appareil de travail dédié lorsque vous effectuez un pen-testing avec Metasploit.

Raisons d’apprendre Metasploit

Ce pack de frameworks est incontournable pour toute personne qui est analyste de sécurité ou pen-tester. C’est un outil essentiel pour découvrir des vulnérabilités cachées à l’aide d’une variété d’outils et d’utilitaires. Metasploit vous permet d’entrer dans l’esprit d’un hacker et d’utiliser les mêmes méthodes pour sonder et infiltrer des réseaux et des serveurs.

Voici un diagramme d’une architecture Metasploit typique:

diagramme d'une architecture Metasploit typique

Metasploit pas à pas

Nous allons commencer un bref tutoriel d’un exploit facile en supposant que vous avez la configuration de base et le système d’exploitation requis. Afin de mettre en place un environnement de test, vous allez devoir télécharger et installer Virtualbox, Kali et Metasploit pour créer une machine de piratage virtualisée. Vous pouvez télécharger et installer Windows XP ou supérieur afin de créer une troisième machine virtuelle pour cet exploit.

Une fois que vous avez installé vos outils de test, vous voudrez ouvrir votre console Metasploit. Elle ressemblera à ceci:

console Metasploit avec les outils de test installés

Un raccourci consiste à taper « help » dans la console, ce qui fera apparaître une liste de commandes Metasploit et leurs descriptions. Cela devrait ressembler à ceci:

visuel de la commande metasploit help

Un outil puissant et utile, pour commencer, est l’interface graphique Armitage, qui permet de visualiser les cibles et de recommander les meilleurs exploits pour y accéder. Cet outil présente également des fonctions post-exploit avancées pour une pénétration plus profonde et des tests plus poussés. Pour le sélectionner dans la console, allez dans Applications – Outils d’exploitation – Armitage.

Une fois que vous avez le champ de formulaire sur votre écran, entrez l’hôte, le numéro de port, l’ID utilisateur et le mot de passe. Tapez ‘enter’ une fois tous les champs complétés et vous serez prêt à lancer votre exploit.

Ressources pour apprendre Metasploit

Une grande chose à propos de la communauté open-source est l’engagement à la mise en commun des ressources et au partage des informations. C’est l’incarnation moderne de la raison pour laquelle Internet a été créé en premier lieu. Il permet une collaboration sans frontières et favorise la flexibilité.

À cette fin, nous vous proposons une liste de ressources qui vous permettront de réaliser toute l’étendue de la promesse de Matspoit.

L’une des meilleures ressources, et le premier endroit que vous devriez visiter, est la propre base de connaissances étendue de Metasploit. Vous y trouverez des guides de démarrage rapide, des métamodules, des exploits, ainsi que l’identification et la correction des vulnérabilités. Vous pouvez également vous renseigner sur les différents types d’informations d’identification et sur la manière de les obtenir.

Une autre ressource utile est le Varonis Cyber Workshop. Il offre une gamme de tutoriels et de sessions avec des experts du secteur de la sécurité.

Les tests d’intrusion sont essentiels pour déraciner les vulnérabilités et empêcher les réseaux d’être exploités et piratés. En travaillant avec une entreprise de cybersécurité axée sur les données et les résultats, comme Varonis, et en employant un framework comme Metasploit, vous aurez un avantage lorsqu’il s’agira de protéger vos réseaux.

Les tests d’intrusion sont essentiels pour déceler les vulnérabilités et empêcher les réseaux d’être exploités et piratés.