Installation de Metasploit et commandes de base

Metasploit Installation



Metasploit dispose d'une collection à jour d'exploits de vulnérabilité et permet à un utilisateur de les exécuter automatiquement sans avoir besoin de connaissances en programmation. Il vient par défaut sur Kali Linux. Avec metasploit, tout attaquant possédant des connaissances de base peut compromettre n'importe quel ordinateur ou appareil mobile de manière relativement simple. Cela peut être utilisé pour savoir comment défendre un système Linux contre les attaques de piratage.

Metasploit dépend de PostgreSQL pour la connexion à la base de données, pour l'installer sur les systèmes basés sur Debian/Ubuntu, exécutez :







apteinstallerpostgresql



Pour télécharger et installer metasploit, exécutez :



boucle https ://raw.githubusercontent.com/rapide7/métasploit-tout/Maître/configuration/
modèles/metasploit-framework-wrappers/msfupdate.erb>msfinstall&&

chmod 755msfinstall&&

./msfinstall





Une fois l'installation terminée pour créer la base de données, exécutez :

initialisation msfdb



Au cours du processus, il vous sera demandé un nom d'utilisateur ou un mot de passe, vous pouvez ignorer le mot de passe, à la fin, vous verrez le nom d'utilisateur que vous avez attribué à la base de données, le mot de passe et le jeton et en dessous une URL https://localhost:5443/api/v1/auth/account , accédez-y et connectez-vous à l'aide du nom d'utilisateur et du mot de passe.

Pour créer la base de données puis exécuter :

msfconsole

Après avoir lancé le type metasploit db_status pour vous assurer que la connexion fonctionne correctement, comme indiqué dans l'image ci-dessus.

Noter: Si vous rencontrez des problèmes avec la base de données, essayez les commandes suivantes :

redémarrage du service postgresql
état du service postgresql
msfdb réinitialiser
msfconsole

Assurez-vous que postgresql est en cours d'exécution lors de la vérification de son statut.

Prise en main de metasploit, commandes de base :

aider
chercher
utilisation
arrière
hôte
Info
afficher les options
ensemble
sortir

La commande aider imprimera la page de manuel pour metasploit, cette commande n'a pas besoin de description.

La commande chercher est utile pour trouver des exploits, recherchons des exploits contre Microsoft, tapez recherche ms

Il affichera une liste de modules auxiliaires et d'exploits utiles contre les appareils exécutant Microsoft.

Un module auxiliaire dans Metasploit est un outil d'aide, il ajoute des fonctionnalités à metasploit telles que la force brute, la recherche de vulnérabilités spécifiques, la localisation de cibles au sein d'un réseau, etc.

Pour ce tutoriel, nous n'avons pas de véritable cible pour les tests, mais nous utiliserons un module auxiliaire pour détecter les appareils photo et prendre des instantanés. Taper:

utiliser la poste/les fenêtres/faire en sorte/webcam

Comme vous voyez que le module a été choisi, revenons maintenant en tapant arrière et tapez hôtes pour voir la liste des cibles disponibles.

La liste des hôtes est vide, vous pouvez en ajouter un en tapant :

héberge -a linuxhint.com

Remplacez linuxhint.com par l'hôte que vous souhaitez cibler.

Taper hôtes à nouveau et vous verrez une nouvelle cible ajoutée.

Pour obtenir des informations sur un exploit ou un module, sélectionnez-le et tapez info, exécutez les commandes suivantes :

utiliser exploiter/les fenêtres/ssh/putty_msg_debug
Info

Les informations de commande fourniront des informations sur l'exploit et comment l'utiliser, en outre, vous pouvez exécuter la commande afficher les options , qui n'affichera que les instructions d'utilisation, exécutez :

afficher les options

Taper arrière et sélectionnez un exploit distant, exécutez :

utiliser exploiter/les fenêtres/smtp/njstar_smtp_bof
afficher les options
ensembleRHOST linuxhint.com
ensemblecible0
exploit

Utilisez la commande ensemble comme dans l'image pour définir les hôtes distants (RHOSTS), les hôtes locaux (LOCALHOSTS) et les cibles, chaque exploit et module a des exigences d'informations différentes.

Taper sortir pour quitter le programme en récupérant le terminal.

Évidemment, l'exploit ne fonctionnera pas car nous ne ciblons pas un serveur vulnérable, mais c'est ainsi que fonctionne metasploit pour mener une attaque. En suivant les étapes ci-dessus, vous pouvez comprendre comment les commandes de base sont utilisées.

Vous pouvez également fusionner Metasploit avec des scanners de vulnérabilités tels que OpenVas, Nessus, Nexpose et Nmap. Exportez simplement les résultats de ces scanners en XML et de type Metasploit

db_import reporttoimport.XML

Taper hôtes et vous verrez les hôtes du rapport chargés dans metasploit.

Ce tutoriel était une première introduction à l'utilisation de la console Metasploit et à ses commandes de base. J'espère que vous l'avez trouvé utile pour démarrer avec ce logiciel puissant.

Continuez à suivre LinuxHint pour plus de conseils et de mises à jour sur Linux.