Zasadniczo Metasploit pozwala nam wybierać exploity zgodnie z podatnościami celu i wykonywać je, ale posiada również moduły pomocnicze, które pozwalają nam skanować w celu znalezienia lub potwierdzenia takich podatności, a także improwizacji ataków typu brute force. Metasploit wspiera integrację raportów tworzonych przez różne skanery, takie jak Openvas, Nessus i oczywiście Nexpose.
Pierwszym krokiem do rozpoczęcia pracy z metasploit jest stworzenie wrażliwego środowiska, które możemy wykorzystać za pomocą narzędzi Metasploit. W tym samouczku zainstalujemy to środowisko udostępnione przez Rapid7 (wydawca Metasploit i Nexpose), które składa się z maszyny wirtualnej pełnej luk, które możemy wykryć i wykorzystać do celów szkoleniowych, Metasploit. Rapid 7 opublikował Metasploitable 3, ale ze względu na wiele raportów o błędach związanych z tworzeniem maszyny wirtualnej w systemach opartych na Debianie, używamy Metasploitable 2 w tej serii samouczków, dzięki czemu można postępować zgodnie z instrukcjami bez problemów z Virtualbox, Vagrant i Packer związanych z Metasploitable 3 ...
Notatka : W tym samouczku założono, że masz już zainstalowany VirtualBox, jeśli nie, i nie jesteś zaznajomiony z VBox i jesteś użytkownikiem Ubuntu, przeczytaj ten artykuł na VBox przed kontynuowaniem lub ten, jeśli jesteś użytkownikiem Arch Linux . Metasploitable można również używać z innym oprogramowaniem do wirtualizacji, takim jak VMware. Aby zainstalować VirtualBox Debian użytkownicy powinni uruchomić:
wyrzucił 'deb http://download.virtualbox.org/virtualbox/debian stretch contrib'
| sudo trójnik /itp/trafny/źródła.lista.d/virtualbox.list
Następnie uruchomić:
trafna aktualizacja
trafna aktualizacja
trafnyzainstalowaćwirtualna skrzynka
Uzyskanie metasploitable:
Aby pobrać dostęp do Metasploitable 2 https://information.rapid7.com/download-metasploitable-2017.html i przewiń w dół do formularza, wypełnij go i naciśnij WYŚLIJ.
Następnie naciśnij przycisk pobierania Pobierz teraz Metasploitable
Po pobraniu rozpakuj Metasploitable, uruchamiając:
rozsunąć suwak -xmetasploitable-linux-2.0.0.zip
Polecenie wyodrębni kilka obrazów, z których będziesz używać Metasploitable.vmdk.
Aby kontynuować, uruchom Virtualbox i kliknij niebieską ikonę NOWY .
Ustaw nazwę maszyny wirtualnej, wybierz Inne systemy Linux 32 i naciśnij na Następny
Metasploitable nie będzie potrzebował zbyt dużej ilości pamięci, tutaj przypisujesz pamięć do urządzenia wirtualnego i naciskasz Dalej.
Teraz wybierz Użyj istniejącego wirtualnego dysku twardego i wybierz obraz Metasploit vmdk, który wcześniej rozpakowałeś i naciśnij Tworzyć
W moim przypadku dał błąd uniemożliwiający mi uruchomienie, jak pokazano na poniższym obrazku:
Aby to naprawić, na głównym ekranie Virtualbox przejdź do Ustawienia > System > Edytor i włącz PAE/NX , następnie wciśnij ok i uruchom ponownie.
Następnie uruchom maszynę wirtualną Metasploit 2, powinna się teraz uruchomić.
Metasploitable jest zainstalowany, msfadmin to użytkownik i hasło. W następnym samouczku użyjemy metasploit do skanowania i wykrywania luk w tej metasploitable VM.
Mam nadzieję, że ten samouczek pomógł w łatwy sposób zainstalować metasploitable 2.