Instalando e configurando o Metasploit Framework
O Metasploit Framework foi desenvolvido primeiramente para a plataforma GNU/Linux, entretanto pode ser instalado em plataformas BSD, Mac OS X, Windows e Cygwin. Porém, nestas outras plataformas, algumas funções podem estar limitadas. Existe a opção de instalar o MSF usando o subversion. A vantagem de se usar o subversion é que você sempre tem disponível uma versão atualizada.
Instalando o MSF no GNU/Linux Debian, Ubuntu, Knoppix e derivados
Pré-requisitos para o funcionamento do MSF:
Instale as bibliotecas ruby:
# apt-get install ruby libruby rdoc
# apt-get install libyaml-ruby
# apt-get install libzlib-ruby
# apt-get install libopenssl-ruby
# apt-get install libdl-ruby
# apt-get install libreadline-ruby
# apt-get install libiconv-ruby
# apt-get install rubygems
O rubygen é necessário para a interface msfweb e pode ser instalado com o comando:
# gem install -v=1.2.2 rails
Caso você queira usar a interface gráfica, precisará instalar o libglade2 para o Ruby.
# apt-get install libgtk2-ruby libglade2-ruby
Então faça o download do MSF no website:
http://framework.metasploit.com/msf/download
A versão estável até o presente momento é o Framework 3.1.
Concluindo o download, vamos descompactar o arquivo com o comando:
# tar -zxvf framework-3.1.tar.gz
O diretório framework-3.1 deverá ser criado, agora rode o msfconsole com o comando:
#cd framework-3.1
# ./msfconsole
(uma dica para aqueles que estão iniciando no GNU/Linux: não perca tempo digitando tudo, digite somente o início, então pressione a tecla TAB).
Se você consegue ver a tela que segue abaixo, parabéns, tudo deve estar funcionando perfeitamente:
Agora para sair do console digite:
# quit
Instalando o MSF no GNU/Linux Fedora, RedHat e Conectiva
Usando o yum:
# yum install ruby ruby-irb ruby-libs ruby-rdoc ruby-devel readline rubygems
Então digite:
# gem install -v=1.2.2 rails
E repita todo o procedimento de descompactar o arquivo framework-3.1.tar.gz, citado acima.
Instalando o Metasploit no Linux (Ubuntu)
O Metaexploit Framework é provavelmente a ferramenta mais interessante que um profissional de Segurança da Informação possa ter no seu arsenal.
Esta particular plataforma de trabalho é uma caixa de brinquedos singulares, além de ser bastante surpreendente. Em conjunto, é uma das melhores plataformas de aprendizagem e investigação para o profissional de segurança ou o hacker ético.
Este baú contém em OpenSource centenas de exploits, payloads e ferramentas muito avançadas que nos permitem testar vulnerabilidades em muitas plataformas, sistemas operativos e servidores.
Depois de usar a ferramenta no seu formato mais básico, o qual inclui uma aplicação web muito simples de usar, devem começar a relacionar-se com o consola do framework e o uso avançado de seus componentes, isto incluindo o uso do famoso METERPRETER.
O ultimo passo é entrar no código fonte, entender as entranhas que compõem os exploits e os payloads e, assim, para o futuro, poderem programar e implementar novos exploits que demonstrem novas vulnerabilidades.
Adicionalmente, esta é a ferramenta que por excelência serve aos profissionais do Hacking ético, devem saber como parte de suas tarefas comprovar as vulnerabilidades dos sistemas para assim poder controlá-las e corrigi-las.
Metasploit e OSSTMM em vídeo
Estão disponíveis no site do FOSDEM – Free and Open Source Software Development – dois vídeos fantásticos.
Simplesmente duas apresentações sobre duas ferramentas essenciais em pentest, metasploit e a metodologia OSSTM (Open Source Security Testing Methodology Manual). E não é uma simples apresentação, são duas apresentações de duas horas tendo como apresentador os pais das crianças H. D. Moore e Pete Herzog respectivamente. Imperdível!
Metasploit – http://ftp.belnet.be/mirrors/FOSDEM/2007/FOSDEM2007-Metasploit.ogg
OSSTMM – http://ftp.belnet.be/mirrors/FOSDEM/2007/FOSDEM2007-SecurityTesting.ogg
Veja também alguns vídeos de utilização do Metasploit Framework:
De 0 a 10, o quanto você recomendaria este artigo para um amigo?