V tomto novém tutoriálu Metasploitu se budeme věnovat instalaci a konfiguraci Metasploitu na Kali Linuxu a virtuálního stroje Metasploitable 2 na VMware Playeru. Metasploit je jedním z nejoblíbenějších a nejlépe hodnocených nástrojů pro penetrační testování na trhu a je určen pro penetrační testy, hodnocení zranitelností a vývoj a spouštění exploit kódu proti vzdáleným cílům. Metasploit je projekt s otevřeným zdrojovým kódem, který je k dispozici v bezplatné verzi Metasploit Framework a komunitní verzi a existuje i placená verze pro, která obsahuje ještě více funkcí. Metasploit má několik uživatelských rozhraní, a to jak rozhraní příkazového řádku, tak grafické uživatelské rozhraní. Armitage je grafický nástroj pro správu útoků, který vizualizuje cíle a doporučuje využití známých zranitelností. V tomto a následujících návodech budeme používat bezplatnou edici frameworku Metasploit, která je ve výchozím nastavení nainstalována v nejnovější verzi systému Kali Linux. Pokud nemáte žádné nebo jen malé zkušenosti s příkazovým řádkem a Metasploitem, doporučujeme vám přečíst si také návody na příkazy Metasploitu.
Když se potřebujete naučit plavat, potřebujete bazén, a když se potřebujete naučit hackovat, potřebujete zranitelné stroje, na kterých můžete trénovat. Metasploit 2 je takovým bazénem, který mohou etičtí hackeři používat k učení se etickému hackingu, aniž by porušovali zákony a předpisy nebo museli používat produkční sítě jako laboratoř. Metasploitable 2 je záměrně zranitelný linuxový stroj, který lze stáhnout a nastavit jako virtuální stroj v libovolném hypervizoru, například VMware Player a Virtual box. V návodu Metasploitable 2 budeme nastavovat zranitelný linuxový stroj v prostředí VMware Player. V příštích tutoriálech budeme k procvičování používat vm Metasploitable 2 a provedeme vás procesem jeho hackování pomocí Metasploitu v systému Kali Linux.
Chcete si procvičit práci i na strojích se systémem Windows? Podívejte se na náš návod na instalaci Metasploitu 3 a zjistěte, jak jej nainstalovat na Windows 10 an Virtual Box!
Nastavení Metasploitu na Kali Linux 2016 Rolling
Pokud používáte nejnovější verzi Kali Linuxu, v současné době je to 2016 rolling edition, stačí kliknout na ikonu Metasploitu v doku. Tím se automaticky spustí služba PostrgreSQL, služba Metasploit a msfconsole. Při prvním spuštění Metasploitu dojde k nastavení a konfiguraci databáze Metasploit.
Nastavení Metasploitu na Kali Linuxu před 2016 Rolling edition
Chcete-li používat Metasploit na libovolné verzi Kali Linuxu před 2016.01 Rolling edition musíte udělat tři věci:
- Spustit službu Kali PostgreSQL.
- Spustit službu Kali Metasploit.
- Spustit msfconsole.
Pro spuštění služby PostgreSQL musíme v terminálu zadat následující příkaz:
service postgresql start
Pro spuštění služby Metasploit pak použijte následující příkaz:
service metasploit start
A pro spuštění msfconsole následující příkaz:
msfconsole
Nyní použijte následující příkaz pro kontrolu, zda existuje připojení k databázi:
msf > db_status
Pokud chcete spustit službu PostgreSQL a Metasploit při startu systému, musíte upravit update-rc.d pomocí následujících příkazů:
update-rc.d postgresql enable
update-rc.d metasploit enable
Instalace a konfigurace Metasploitable 2
Nejprve si musíme stáhnout virtuální počítač Metasploitable 2, který obsahuje zranitelný hostitelský počítač, na kterém budeme cvičit v následujících tutoriálech. Ujistěte se, že máte v hostitelském systému dostatek prostředků pro instalaci a spuštění virtuálního počítače. Musíte mít minimálně 10 gigabajtů úložného prostoru a dostatek paměti RAM pro hostitelský systém, hostitele Metasploitable a Kali linux, pokud používáte Kali ve virtuálním počítači na stejném hostiteli. Metasploitable 2 si můžete stáhnout ze serveru Sourceforge pomocí následujícího odkazu:
https://sourceforge.net/projects/metasploitable/files/Metasploitable2/
Po rozbalení staženého souboru ZIP je třeba otevřít virtuální počítač v programu VMWare Player:
Přejděte do složky, kde jste rozbalili obraz Metasploitable 2, a přidejte jej do seznamu virtuálních počítačů výběrem položky .vmx. Nový virtuální počítač se objeví v seznamu na levé straně okna a bude pojmenován Metasploitable2-Linux. Nastavení virtuálního počítače nemusíme měnit, takže můžeme virtuální počítač ihned spustit tak, že vybereme nový virtuální počítač a klikneme na tlačítko „Přehrát virtuální počítač“:
VMWare played se vás možná zeptá, zda jste virtuální počítač zkopírovali nebo přesunuli, pro pokračování klikněte na tlačítko zkopírovat. Metasploitable 2 se nakonfiguruje a zobrazí vám následující přihlašovací obrazovku:
Přihlaste se k virtuálnímu počítači pomocí následujících přihlašovacích údajů:
Username: msfadmin
Password: Nyní je náš zranitelný počítač se systémem Linux spuštěn a my můžeme zadat příkaz ifconfig pro získání adresy IP virtuálního počítače Metasploitable 2:
msfadmin@metasploitable:~$ ifconfig
Adresa IP se zobrazí na síťovém adaptéru eth0 takto:
Tím jsme s konfigurací zranitelného virtuálního počítače hotovi a můžeme se přepnout zpět do systému Kali Linux a spustit na zranitelném hostiteli několik skenů pro zjištění otevřených portů a spuštěných služeb.
Pokud v tomto bodě výuky neznáte rozhraní příkazového řádku Metasploit a MSFConsole, doporučuji vám, abyste si nejprve přečetli výukový kurz základních příkazů Metasploitu, než budete pokračovat.
Jste připraveni využívat různé zranitelnosti a root Metasploitu 2? Postupujte podle některého z těchto návodů:
Hacking Unreal IRCd 3.2.8.1 na Metasploitable 2
Exploitování VSFTPD v2.3.4 na Metasploitable 2
Sdílejte dále:
.