What is Metasploit? The Beginner’s Guide

Penetratietesten stelt u in staat antwoord te geven op de vraag: “Hoe kan iemand met kwade bedoelingen met mijn netwerk rotzooien?” Met behulp van pentesting-tools kunnen white hats en DevSec-professionals netwerken en applicaties onderzoeken op gebreken en kwetsbaarheden op elk punt in het productie- en implementatieproces door het systeem te hacken.

Een dergelijk hulpmiddel voor penetratietesten is het Metasploit Project. Dit Ruby-gebaseerde open-source framework maakt testen via command line wijzigingen of GUI mogelijk. Het kan ook worden uitgebreid door middel van codering om te fungeren als een add-on die meerdere talen ondersteunt.

Wat is het Metasploit Framework en hoe wordt het gebruikt?

Het Metasploit Framework is een zeer krachtig hulpmiddel dat zowel door cybercriminelen als ethische hackers kan worden gebruikt om systematisch kwetsbaarheden in netwerken en servers te onderzoeken. Omdat het een open-source framework is, kan het gemakkelijk worden aangepast en worden gebruikt met de meeste besturingssystemen.

Met Metasploit kan het pentesteam kant-en-klare of aangepaste code gebruiken en deze in een netwerk introduceren om te peilen naar zwakke plekken. Een andere vorm van threat hunting is dat zodra gebreken zijn geïdentificeerd en gedocumenteerd, de informatie kan worden gebruikt om systemische zwakheden aan te pakken en oplossingen te prioriteren.

Een korte geschiedenis van Metasploit

Het Metasploit-project is in 2003 gestart door H.D. Moore voor gebruik als een op Perl gebaseerde draagbare netwerktool, met hulp van kernontwikkelaar Matt Miller. Het werd volledig omgezet naar Ruby in 2007, en de licentie werd overgenomen door Rapid7 in 2009, waar het deel uitmaakt van het repertoire van het in Boston gevestigde bedrijf voor de ontwikkeling van IDS-handtekeningen en gerichte remote exploit, fuzzing, anti-forensische, en evasion tools.

Delen van deze andere tools bevinden zich binnen het Metasploit raamwerk, dat is ingebouwd in het Kali Linux OS. Rapid7 heeft ook twee eigen OpenCore tools ontwikkeld, Metasploit Pro en Metasploit Express.

Dit raamwerk is uitgegroeid tot de meest gebruikte tool voor het ontwikkelen en beperken van aanvallen. Vóór Metasploit moesten pentesters alle tests handmatig uitvoeren met verschillende tools die al dan niet het platform ondersteunden dat ze aan het testen waren, hun eigen code met de hand schrijven en deze handmatig in netwerken invoeren. Testen op afstand was vrijwel ondenkbaar, en dat beperkte het bereik van een beveiligingsspecialist tot de lokale omgeving en bedrijven die een fortuin uitgaven aan in-house IT- of beveiligingsconsultants.

Wie gebruikt Metasploit?

Door zijn brede scala aan toepassingen en open-source beschikbaarheid, wordt Metasploit gebruikt door iedereen, van het zich ontwikkelende veld van DevSecOps-professionals tot hackers. Het is nuttig voor iedereen die behoefte heeft aan een eenvoudig te installeren, betrouwbare tool die de klus klaart, ongeacht welk platform of welke taal wordt gebruikt. De software is populair bij hackers en breed beschikbaar, wat de noodzaak versterkt voor beveiligingsprofessionals om vertrouwd te raken met het framework, zelfs als ze het niet gebruiken.

Metasploit bevat nu meer dan 1677 exploits georganiseerd over 25 platforms, waaronder Android, PHP, Python, Java, Cisco, en meer. Het framework bevat ook bijna 500 payloads, waaronder een aantal:

  • Command shell payloads waarmee gebruikers scripts of willekeurige commando’s tegen een host kunnen uitvoeren
  • Dynamische payloads waarmee testers unieke payloads kunnen genereren om antivirussoftware te omzeilen
  • Meterpreter payloads waarmee gebruikers apparaatmonitoren kunnen commanderen met VMC en sessies kunnen overnemen of bestanden kunnen up- en downloaden
  • Statische payloads die port forwarding en communicatie tussen netwerken mogelijk maken

Metasploit toepassingen en voordelen

visual die laat zien met welke modules Metasploit je van dienst kan zijn

Alles wat je nodig hebt om Metasploit te gebruiken als het eenmaal geïnstalleerd is, is het verkrijgen van informatie over het doelwit, hetzij door het scannen van poorten, OS fingerprinting of het gebruik van een kwetsbaarheidsscanner om een weg naar het netwerk te vinden. Daarna is het slechts een kwestie van het selecteren van een exploit en je payload. In deze context is een exploit een middel om een zwakke plek te vinden in een steeds moeilijker te verdedigen netwerk of systeem en van die zwakke plek gebruik te maken om binnen te dringen.

Het raamwerk is opgebouwd uit verschillende modellen en interfaces, waaronder msfconsole interactieve curses, msfcli om alle msf functies vanaf de terminal/cmd te gebruiken, de Armitag grafische Java tool die wordt gebruikt om te integreren met MSF, en de Metasploit Community Web Interface die remote pentesting ondersteunt.

White hat testers die proberen black hats en hackers te lokaliseren of van hen te leren, moeten zich ervan bewust zijn dat ze meestal geen aankondiging uitrollen dat ze aan het Metasploiten zijn. Deze geheimzinnige groep werkt graag via virtual private network tunnels om hun IP adres te maskeren, en velen gebruiken ook een dedicated VPS om onderbrekingen te voorkomen die veel shared hosting providers plagen. Deze twee privacy tools zijn ook een goed idee voor white hats die van plan zijn om in de wereld van exploits en pentesten met Metasploit te stappen.

Zoals hierboven vermeld, voorziet Metasploit je van exploits, payloads, hulpfuncties, encoders, listeners, shellcode, post-exploitation code en nops.

Je kunt een Metasploit Pro Specialist Certificering online behalen om een gecrediteerde pentester te worden. De score voor het behalen van de certificering is 80 procent, en het open boek-examen duurt ongeveer twee uur. Het kost $195, en je kunt je certificaat uitprinten zodra je bent goedgekeurd.

Voor het examen wordt aangeraden de Metasploit-trainingscursus te volgen en te beschikken over vaardigheid of praktische kennis van:

  • Windows en Linux OS
  • Netwerkprotocollen
  • Vulnerability management systemen
  • Basic pentesting concepten

Het behalen van deze kwalificatie is een wenselijke prestatie voor iedereen die een verkoopbare pentester of beveiligingsanalist wil worden.

Hoe Metasploit te verkrijgen

Metasploit is beschikbaar via open-source installers direct vanaf de Rapid7 website. Naast de nieuwste versie van de browsers Chrome, Firefox of Explorer zijn de minimale systeemvereisten:

Besturingssystemen:

  • Ubuntu Linux 14.04 of 16.04 LTS (aanbevolen)
  • Windows Server 2008 of 2012 R2
  • Windows 7 SP1+, 8.1, of 10
  • Red Hat Enterprise Linux Server 5.10, 6.5, 7.1, of later

Hardware:

  • 2 GHz+ processor
  • Minimaal 4 GB RAM, maar 8 GB is aanbevolen
  • Minimaal 1 GB schijfruimte, maar 50 GB is aanbevolen

U moet alle antivirussoftware en firewalls die op uw apparaat zijn geïnstalleerd uitschakelen voordat u begint, en beheerdersbevoegdheden krijgen. Het installatieprogramma is een op zichzelf staande eenheid die voor u wordt geconfigureerd wanneer u het framework installeert. U hebt ook de optie van handmatige installatie als u aangepaste afhankelijkheden wilt configureren. Gebruikers met de Kali Linux versie hebben de Metasploit Pro versie al voorgeïnstalleerd met hun OS. Windows gebruikers zullen de installatie wizard doorlopen.

Na installatie, bij het opstarten, wordt u geconfronteerd met deze keuzes:

  • Database maken op /Users/joesmith/.msf4/db
  • Start Postgresql
  • Erstellen van database gebruikers
  • Erstellen van een initieel database schema

Leren hoe Metasploit te gebruiken: Tutorial + Tips

Het gemak waarmee je Metasploit leert gebruiken hangt af van je kennis van Ruby. Echter, als je bekend bent met andere scripting en programmeertalen zoals Python, zou de sprong naar het werken met Metasploit niet al te moeilijk moeten zijn om op snelheid te komen.

Omdat dit hulpprogramma vereist dat je je eigen systematische beveiligingen uitschakelt en het genereren van kwaadaardige code mogelijk maakt, moet je je bewust zijn van de potentiële risico’s die dit met zich meebrengt. Houd dit hulpprogramma indien mogelijk geïnstalleerd op een ander systeem dan uw persoonlijke apparaat of een computer die potentieel gevoelige informatie of toegang tot dergelijke informatie bevat. U moet een speciaal werkapparaat gebruiken wanneer u pentests uitvoert met Metasploit.

Reasons to Learn Metasploit

Deze frameworkbundel is een must-have voor iedereen die een beveiligingsanalist of pentester is. Het is een essentieel gereedschap voor het ontdekken van verborgen kwetsbaarheden met behulp van een verscheidenheid aan tools en hulpprogramma’s. Metasploit stelt je in staat om in de geest van een hacker te kruipen en dezelfde methoden te gebruiken voor het aftasten en infiltreren van netwerken en servers.

Hier zie je een diagram van een typische Metasploit-architectuur:

diagram van typische Metasploit-architectuur

Metasploit stap-voor-stap

We beginnen een korte tutorial van een eenvoudige exploit door ervan uit te gaan dat je beschikt over de basissysteem- en OS-vereisten. Om een test omgeving op te zetten, moet je Virtualbox, Kali, en Metasploitable downloaden en installeren om een gevirtualiseerde hack machine te maken. Je kunt Windows XP of hoger downloaden en installeren om een derde virtuele machine te maken voor deze exploit.

Als je eenmaal je test tools hebt geinstalleerd, wil je je Metasploit console openen. Deze ziet er als volgt uit:

metasploit console met geïnstalleerde testtools

Een snelkoppeling is het typen van “help” in de console, waarmee je een lijst van Metasploit commando’s en hun beschrijvingen te zien krijgt. Het zou er als volgt uit moeten zien:

visual van het metasploit help-commando

Een krachtig en nuttig hulpmiddel om mee te beginnen is de Armitage GUI, waarmee je targets kunt visualiseren en de beste exploits kunt aanbevelen om ze te benaderen. Deze tool toont ook geavanceerde post-exploitfuncties voor diepere penetratie en verdere tests. Om het vanuit de console te selecteren, ga naar Applications – Exploit Tools – Armitage.

Als je het formulier veld op je scherm hebt, voer je de host, het poort nummer, user ID en wachtwoord in. Typ ‘enter’ als alle velden zijn ingevuld en je bent klaar om je exploit te starten.

Bronnen om Metasploit te leren

Een groot voordeel van de open-source gemeenschap is de toewijding aan resource pooling en het delen van informatie. Het is de moderne belichaming van waarom het internet in de eerste plaats is ontstaan. Het maakt grenzeloze samenwerking mogelijk en bevordert flexibiliteit.

Daartoe bieden wij een lijst van bronnen die u in staat stellen om de volledige reikwijdte van Matspoit’s belofte te realiseren.

Een van de beste bronnen, en de eerste plek die u zou moeten bezoeken, is Metasploit’s eigen uitgebreide kennisbank. Daar vindt u snelstart gidsen, metamodules, exploits, en kwetsbaarheden identificatie en fixes. U kunt ook leren over verschillende soorten referenties en hoe deze te verkrijgen.

Een andere nuttige bron is de Varonis Cyber Workshop. Deze biedt een scala aan tutorials en sessies met experts uit de beveiligingsindustrie.

Penetratietesten is essentieel voor het opsporen van kwetsbaarheden en het voorkomen van exploits en hacks op netwerken. Door samen te werken met een datagestuurd en resultaatgericht cyberbeveiligingsbedrijf als Varonis en gebruik te maken van een framework als Metasploit, heeft u een streepje voor als het gaat om het beschermen van uw netwerken.