DevSecOps

14 jan, 2009

Metasploit Framework – Parte 03

100 visualizações
Publicidade

Instalando e configurando o Metasploit Framework

O Metasploit Framework foi desenvolvido primeiramente para a plataforma GNU/Linux, entretanto pode ser instalado em plataformas BSD, Mac OS X, Windows e Cygwin. Porém, nestas outras plataformas, algumas funções podem estar limitadas. Existe a opção de instalar o MSF usando o subversion. A vantagem de se usar o subversion é que você sempre tem disponível uma versão atualizada.

Instalando o MSF no GNU/Linux Debian, Ubuntu, Knoppix e derivados

Pré-requisitos para o funcionamento do MSF:

Instale as bibliotecas ruby:

# apt-get install ruby libruby rdoc

# apt-get install libyaml-ruby

# apt-get install libzlib-ruby

# apt-get install libopenssl-ruby

# apt-get install libdl-ruby

# apt-get install libreadline-ruby

# apt-get install libiconv-ruby

# apt-get install rubygems

O rubygen é necessário para a interface msfweb e pode ser instalado com o comando:

# gem install -v=1.2.2 rails

Caso você queira usar a interface gráfica, precisará instalar o libglade2 para o Ruby.

# apt-get install libgtk2-ruby libglade2-ruby

Então faça o download do MSF no website:

http://framework.metasploit.com/msf/download

A versão estável até o presente momento é o Framework 3.1.

Concluindo o download, vamos descompactar o arquivo com o comando:

# tar -zxvf framework-3.1.tar.gz

O diretório framework-3.1 deverá ser criado, agora rode o msfconsole com o comando:

#cd framework-3.1

# ./msfconsole

(uma dica para aqueles que estão iniciando no GNU/Linux: não perca tempo digitando tudo, digite somente o início, então pressione a tecla TAB).

Se você consegue ver a tela que segue abaixo, parabéns, tudo deve estar funcionando perfeitamente:

Agora para sair do console digite:

# quit

Instalando o MSF no GNU/Linux Fedora, RedHat e Conectiva

Usando o yum:

# yum install ruby ruby-irb ruby-libs ruby-rdoc ruby-devel readline rubygems

Então digite:

# gem install -v=1.2.2 rails

E repita todo o procedimento de descompactar o arquivo framework-3.1.tar.gz, citado acima.

Instalando o Metasploit no Linux (Ubuntu)

O Metaexploit Framework é provavelmente a ferramenta mais interessante que um profissional de Segurança da Informação possa ter no seu arsenal.

Esta particular plataforma de trabalho é uma caixa de brinquedos singulares, além de ser bastante surpreendente. Em conjunto, é uma das melhores plataformas de aprendizagem e investigação para o profissional de segurança ou o hacker ético.

Este baú contém em OpenSource centenas de exploits, payloads e ferramentas muito avançadas que nos permitem testar vulnerabilidades em muitas plataformas, sistemas operativos e servidores.

Depois de usar a ferramenta no seu formato mais básico, o qual inclui uma aplicação web muito simples de usar, devem começar a relacionar-se com o consola do framework e o uso avançado de seus componentes, isto incluindo o uso do famoso METERPRETER.

O ultimo passo é entrar no código fonte, entender as entranhas que compõem os exploits e os payloads e, assim, para o futuro, poderem programar e implementar novos exploits que demonstrem novas vulnerabilidades.

Adicionalmente, esta é a ferramenta que por excelência serve aos profissionais do Hacking ético, devem saber como parte de suas tarefas comprovar as vulnerabilidades dos sistemas para assim poder controlá-las e corrigi-las.

Metasploit e OSSTMM em vídeo

Estão disponíveis no site do FOSDEM – Free and Open Source Software Development – dois vídeos fantásticos.

Simplesmente duas apresentações sobre duas ferramentas essenciais em pentest, metasploit e a metodologia OSSTM (Open Source Security Testing Methodology Manual). E não é uma simples apresentação, são duas apresentações de duas horas tendo como apresentador os pais das crianças H. D. Moore e Pete Herzog respectivamente. Imperdível!

Metasploit – http://ftp.belnet.be/mirrors/FOSDEM/2007/FOSDEM2007-Metasploit.ogg

OSSTMM – http://ftp.belnet.be/mirrors/FOSDEM/2007/FOSDEM2007-SecurityTesting.ogg

Veja também alguns vídeos de utilização do Metasploit Framework:

http://www.youtube.com/watch?v=1bnr61Mjk0g

http://www.youtube.com/watch?v=IVsCQyvo9MA