この新しい Metasploit チュートリアルでは、Kali Linux 上の Metasploit と VMware Player 上の Metasploitable 2 仮想マシンのインストールと設定をします。 Metasploit は、市場で最も人気があり、最も評価の高い侵入テスト ツールの 1 つで、侵入テスト、脆弱性評価、リモート ターゲットに対するエクスプロイト コードの開発および実行のために設計されています。 Metasploitはオープンソースプロジェクトで、無料のMetasploit Frameworkとコミュニティバージョン、さらに多くの機能を含む有料のプロバージョンがあります。 Metasploitには、コマンドラインとグラフィカル・ユーザー・インターフェースの両方があります。 Armitageはグラフィカルな攻撃管理ツールで、ターゲットを可視化し、既知の脆弱性に対するエクスプロイトを推奨しています。 このチュートリアルとそれに続くチュートリアルでは、最新バージョンのKali Linuxにデフォルトでインストールされている、無料のMetasploitフレームワーク版を使用します。 コマンドラインと Metasploit の経験がない、または少ない場合は、Metasploit コマンドのチュートリアルも読むことをお勧めします。
泳ぎ方を学ぶにはプールが必要で、ハッキング方法を学ぶには、練習用に脆弱な機械が必要です。 Metasploitable 2 は、倫理的ハッカーが倫理的ハッキングについて学ぶために使用できるプールで、法律や規制を破ったり、本番ネットワークを実験室として使用したりする必要がありません。 Metasploitable 2は、意図的に脆弱にしたLinuxマシンで、ダウンロードしてVMware PlayerやVirtual boxなどのハイパーバイザーで仮想マシンとしてセットアップすることができます。 Metasploitable 2のチュートリアルでは、VMware Playerで脆弱なLinuxマシンをセットアップすることになります。 今後のチュートリアルでは、Metasploitable 2 vm を使用して練習し、Kali Linux 上で Metasploit を使用してハッキングするプロセスを説明します。 Metasploitable 3 Installation Tutorial をチェックして、Windows 10 an Virtual Box にインストールする方法を学んでください!
Setting up Metasploit on Kali Linux 2016 Rolling
Kali Linux の最新バージョン、現在それは 2016 rolling edition ですが、それを実行しているときは、ドックの Metasploit のアイコンをクリックするだけでよいのです。 これにより、PostrgreSQLサービス、Metasploitサービス、msfconsoleが自動的に開始されます。 Metasploitを初めて起動すると、Metasploitデータベースのセットアップと設定が行われます。
Set up Metasploit on Kali Linux before 2016 Rolling edition
Kali Linuxバージョン2016以前のMetasploitを使用するためには、次のようにします。
- Kali PostgreSQL サービスを開始します。
- Kali Metasploit サービスを開始します。
- msfconsole を開始します。
PostgreSQLサービスを開始するには、ターミナルで次のコマンドを発行する必要があります:
service postgresql start
次に次のコマンドでMetasploitサービスを開始します:
service metasploit start
そして次のコマンドで msfconsole を開始します。
msfconsole
ここで次のコマンドでデータベース接続があるかどうか確認します:
msf > db_status
もし起動時に PostgreSQL と Metasploit サービスを開始したい場合は update-rc.NET を編集してください:
msf > db_status msfconsole
update-rc.d postgresql enable
update-rc.d metasploit enable
Metasploitable 2 インストールと設定
最初に、今後のチュートリアルで練習する脆弱なホスト マシンを含む Metasploitable 2 仮想マシンをダウンロードする必要があります。 仮想マシンをインストールし、実行するために、ホスト システム上に十分なリソースがあることを確認してください。 最低でも 10GB のストレージスペースと、ホストシステム、Metasploitable ホスト、および Kali linux (同じホスト上の VM で Kali を実行している場合) に十分な RAM が必要です。 Metasploitable 2 のダウンロードは Sourceforge から次のリンクを使って入手できます:
https://sourceforge.net/projects/metasploitable/files/Metasploitable2/
ダウンロードした ZIP ファイルを解凍した後、VMWare Player から仮想マシンを開く必要があります:
解凍したフォルダに移動し、Metasploitable 2 イメージから .vmx ファイルを選択して、VM リストに追加します。 新しい VM は、ウィンドウの左側のリストに表示され、Metasploitable2-Linux と名付けられます。 仮想マシンの設定を変更する必要はないので、新しい VM を選択して [Play Virtual Machine] をクリックすることにより、すぐに VM を開始することができます。 Metasploitable 2 は自身を設定し、次のようなログイン画面を表示します:
次の認証情報を使用して仮想マシンにログインします:
Username: msfadmin
Password: msfadmin
Now that our vulnerable Linux machine is running and we can type the ifconfig command to retrieve the IP address of the Metasploitable 2 virtual machine.ここで、私たちの脆弱なLinuxマシンが実行されていることを確認し、Metasploitable 2仮想マシンのIPアドレスを取得するためにifconfigコマンドを入力します。
msfadmin@metasploitable:~$ ifconfig
IPアドレスは、eth0ネットワークアダプター上に以下のように表示されます:
これまでのところ、脆弱な仮想マシンを構成することが完了したので、オープンポートや実行サービスを確認するために脆弱なホストをいくつかスキャンして、Kali Linuxへスイッチバックすることができます。
このチュートリアルの時点で、Metasploit のコマンド ライン インターフェイスおよび MSFConsole に慣れていない場合は、先に進む前に Metasploit の基本コマンド チュートリアルを読んでおくことをお勧めします。 これらのチュートリアルのいずれかに従ってください:
Hacking Unreal IRCd 3.2.8.1 on Metasploitable 2
Exploiting VSFTPD v2.3.4 on Metasploitable 2