Metasploit framework для linux

Metasploit framework для linux

Metasploit Framework Installer

Author: Rapid7 LLC

For termux installation:

$apt install git -y

Left =volume up + A

Right=volume up + D

For start Metasploit Framework.

For linux installation:

#sudo apt install git -y (for Linux based on Debian)

#sudo yum install git -y (for Linux based on Red Hat)

#sudo zypper install git (for Linux based on SUSE)

#sudo pacman -S git (for Linux based on Arch)

#bash Metasploit-Framework-Installer-For-(your linux based).sh

For start Metasploit Framework.

For Linux based on Red Hat and SUSE command not found problem copy all files in msfix to /bin and run sudo chmod +x /bin/msf*

Nb: run as non root user

For Kali/Parrot installation:

#sudo apt install git -y

For start Metasploit Framework.

You can also use linux based on Debian method.

Nb: for Linux WSL 1 version, before install Metasploit Framework, please turn off all antivirus and firewall.

For windows installation:

Before install Metasploit Framework, please turn off all antivirus and firewall.

First download and install Git Bash and Postgresql in this link:

After install postgresql, configure this service:

Search and open pgAdmin 4.

Enter super user password set during installation.

Right click on Servers > PostgreSQL* > Databases in the left tree.

Select create > database.

Name it as msfdb and save.

Open Control Panel > Administrative Tools > Services

Find postgresql*, right click and select properties.

Change startup type to automatic and click ok.

Open cmd and run this script:

Metasploit-Framework-Installer-For-Windows.bat (Windows 10 build 17063 or newer)

For windows earlier version than Windows 10 build 17063:

For run Metasploit Framework:

For update Metasploit Framework run msfupdate

Nb: I’m not owner this tool, but i just made installation for usage more easier.

For more information you can visit official website: https://www.rapid7.com/products/metasploit/

About

Metasploit Framework for Windows, Termux, and Linux

Источник

Get Metasploit

Download the version of Metasploit that’s right for you.

Metasploit Framework

Open Source

Metasploit Pro

Commercial Support

Which is right for you or your business?

Other Products

InsightVM

Rapid7’s solution for advanced vulnerability management analytics and reporting.

InsightIDR

Rapid7’s incident detection and response solution unifying SIEM, EDR, and UBA capabilities.

InsightAppSec

Rapid7’s cloud-powered application security testing solution that combines easy to use crawling and attack capabilities.

Other Projects

Metasploitable

Virtual machines full of intentional security vulnerabilities. Exploit at will! Metasploitable is essentially a penetration testing lab in a box created by the Rapid7 Metasploit team.

metasploit-payloads, mettle

These are Metasploit’s payload repositories, where the well-known Meterpreter payload resides. Meterpreter has many different implementations, targeting Windows, PHP, Python, Java, and Android. The new ‘Mettle’ payload also natively targets a dozen different CPU architectures, and a number of different operating systems.

vm-automation

Simplify interactions with virtual machines. Specifically, this was built to support automated testing by simplifying interaction with VMs. Currently, it supports VMWare Workstation through the vmrun.exe command-line application and ESXi through encapsulation of pyvmomi functions.

Hackazon

This intentionally vulnerable web app with e-commerce functionality lets you simulate attacks against technologies used in modern applications.

RubySMB

A native Ruby implementation of the SMB Protocol Family; this library currently includes both a Client level and Packet level support. A user can parse and manipulate raw SMB packets, or simply use the simple client to perform SMB operations.

Metasploit Vulnerable Services Emulator

The tool is created to emulate vulnerable services for the purpose of testing Metasploit modules and assisting with Metasploit usage training.

Источник

Soft Руководство по установке Metasploit для Linux

Об установщике Metasploit

Стандартный установщик Metasploit использует графический интерфейс, чтобы помочь вам в процессе установки. Обычно, это несколько подсказок, которые помогают определить локацию для установки Metasploit и порт, который вы хотите, чтобы Metasploit использовал. Когда начинается инсталляция, установщик инсталлирует зависимости и службы, необходимые для запуска Metasploit.

* Это минимальные требования для запуска Metasploit. Если вы устанавливаете Metasploit и Nexpose Ultimate вместе, то мы рекомендуем вам установить их в отдельные друг от друга системы. Если вы попробуете запустить обе программы на одной системе, то у них могут возникнуть проблемы с производительностью.

Для получения большей информации об установке Nexpose и ControlsInsight посетите https://community.rapid7.com/docs/DOC-1385
Перед началом установки

Скачивание и установка Metasploit

1. Откройте командную строку.
2. Скачайте установщик.

Для 64-битных систем:
wget [S] link removed[/S] linux-x64-installer.run
Для 32-битных систем:
wget [S] link removed[/S] linux-installer.run

1. Измените режим установщика для запуска

Для 64-битных систем:
chmod +x /path/to/metasploit-latest-linux-x64-installer.run
Для 32-битных систем:
chmod +x /path/to/metasploit-latest-linux-installer.run

1. Выберите одну из опций ниже для запуска установщика:

Для 64-битных систем:
sudo /path/to/metasploit-latest-linux-x64-installer.run
Для 32-битных систем:
sudo /path/to/metasploit-latest-linux-installer.run

1. Когда появится окно установки, нажмите Далее для начала инсталляции.

   

   

   

   

   

   

   

2. Нажмите Далее для продолжения. Установка начинается.

После того как установка завершится, появится окно, которое предложит вам запустить Metasploit Web UI. На данном этапе перейдите сюда https://localhost:3790, чтобы запустить Metasploit Web UI для создания аккаунта пользователя и активации вашего лицензионного ключа. Вам не нужно будет перезагружать компьютер, чтобы перезапустить Metasploit первый раз.

Активация лицензионного ключа

1. Откройте браузер и перейдите на https://localhost:3790.
2. Если вы получите предупреждение о ненадежности протоколов безопасности, выберите, что вы осознаете риск и хотите перейти на сайт. Появление предупредительного окна зависит от браузера, который вы используете.

Если вам нужно использовать HTTP proxy для запуска интернета, вы можете выбрать опцию HTTP proxy и предоставить информацию о HTTP proxy сервере, который хотите использовать.

1. Активация лицензионного ключа.

После активации лицензионного ключа появится страница продукта. Если вам необходима помощь, чтобы начать использовать программу, ознакомьтесь с Руководством для начинающих Metasploit Pro здесь Getting Started.

Как получить лицензионный ключ?

Пожалуйста, свяжитесь с нашим отделом продаж по адресу [email protected] для получения ключа.

Как решить следующую проблему « Metasploit is initializing error »?

После установки Metasploit, возможно, вам понадобится подождать несколько минут для перезапуска сервиса. Если сервис не перезагрузился, сделайте это вручную.

Metasploit не запускается: решение проблемы.

Как перезапустить Metasploit?

Для перезапуска Metasploit откройте командную строку и вбейте следующую команду:

Источник

Что такое Metasploit? Руководство для начинающих

Тестирование на проникновение позволяет ответить на вопрос, как кто-то со злым умыслом может вмешаться в вашу сеть. Используя инструменты пентеста, «белые хакеры» и профессионалы в области безопасности могут на любом этапе разработки или развертывания исследовать сети и приложения на предмет недостатков и уязвимостей путем взлома системы.

Одним из таких средств пентеста является проект Metasploit. Этот фреймворк с открытым исходным кодом, созданный на Ruby, позволяет проводить тестирование с помощью командной строки или графического интерфейса. Его можно расширить, создавая собственные надстройки с поддержкой нескольких языков.

Что такое Metasploit Framework и как он используется?

Metasploit Framework — это мощнейший инструмент, который могут использовать как киберпреступники, так и «белые хакеры» и специалисты по проникновению для исследования уязвимостей в сетях и на серверах. Поскольку это фреймворк с открытым исходным кодом, его можно легко настроить и использовать на большинстве операционных систем.

С помощью Metasploit пентестеры могут использовать готовый или создать пользовательский код и вводить его в сеть для поиска слабых мест. В качестве еще одного способа поиска угроз, после идентификации и документирования недостатков, эту информацию можно использовать для устранения системных недостатков и определения приоритетности решений.

Краткая история Metasploit

Проект Metasploit был создан на языке Perl в 2003 году Эйч Ди Муром (H.D. Moore) при содействии основного разработчика Мэтта Миллера для использования в качестве портативного сетевого инструмента. Он был полностью переведен на язык Ruby к 2007 году, а в 2009 году лицензию приобрела Rapid7, и теперь этот инструмент остается частью ассортимента этой бостонской компании, специализирующейся на разработке систем обнаружения вторжений и инструментов эксплуатации уязвимостей систем удаленного доступа.

Части этих других инструментов находятся в среде Metasploit, которая встроена в ОС Kali Linux. Компания Rapid7 также разработала два запатентованных инструмента OpenCore: Metasploit Pro и Metasploit Express.

Этот фреймворк стал основным инструментом разработки эксплойтов и устранения уязвимостей. До Metasploit пентестерам приходилось выполнять все проверки вручную, используя различные инструменты, которые могли поддерживать или не поддерживать тестируемую платформу, а также вручную писать собственный код и внедрять его в сети. Дистанционное тестирование было чем-то экстраординарным, и это ограничивало работу специалиста по безопасности собственным регионом и местными компаниями, а организациям приходилось тратить целые состояния на собственных ИТ-консультантов или специалистов по безопасности.

Кто использует Metasploit?

Благодаря широкому спектру применений и доступному открытому исходному коду Metasploit используется самыми разными людьми, от профессионалов кибербезопасности до хакеров. Metasploit полезен для всех, кому нужен простой в установке и надежный инструмент, выполняющий свою работу независимо от платформы или языка. Это программное обеспечение пользуется популярностью у хакеров и широко доступно, что мотивирует специалистов по безопасности изучать платформу Metasploit, даже если сами они ей не пользуются.

Современная версия Metasploit содержит свыше 1677 эксплойтов для более 25 платформ, включая Android, PHP, Python, Java, Cisco и другие. Фреймворк также содержит около 500 единиц информационного наполнения («пейлоад»), среди которых вы найдёте:

• Пейлоады для командной оболочки — позволяют пользователям запускать сценарии или случайные команды на хосте.
• Динамические пейлады — позволяют тестировщикам генерировать уникальные пейлоады для обхода антивирусного программного обеспечения.
• Пейлоады Meterpreter — позволяют пользователям перехватывать управление монитором устройства с помощью контроллера видеопамяти, захватывать сеансы, а также скачивать или загружать файлы.
• Статические пейлоады — позволяют устанавливать переадресацию портов и обмен данными между сетями.

Сфера применения и преимущества Metasploit

Все, что вам нужно для использования Metasploit после его установки, — это получить информацию о цели либо путем сканирования портов, либо путем получения цифрового отпечатка операционной системы, либо с помощью сканера уязвимостей, чтобы найти способ проникнуть в сеть. Затем остается просто выбрать эксплойт и полезную нагрузку. В этом контексте эксплойт — это средство для выявления слабости в вашей сети или системе и использования этой уязвимости для получения доступа.
Платформа состоит из различных моделей и интерфейсов, которые включают: msfconsole на базе библиотеки curses, msfcli для всех функций msf из терминала или командной строки, Armitag — инструмент с графическим интерфейсом на Java, который используется для интеграции с MSF, а также веб-интерфейс сообщества Metasploit, поддерживающий удаленный пентест.

«Белые хакеры» и специалисты по пентесту, пытающиеся определить уязвимости или извлечь уроки из атак киберпреступников, должны понимать, что последние не афишируют своих действий. Киберпреступники отличаются скрытностью и любят работать через VPN-туннели, таким образом маскируя свой IP-адрес, а многие из них используют выделенный виртуальный сервер, чтобы избежать прерываний, которыми обычно страдают многие провайдеры виртуального хостинга. Эти два инструмента конфиденциальности также будут полезны для «белых хакеров», которые намереваются вступить в мир эксплойтов и пентеста с помощью Metasploit.

Как упоминалось выше, Metasploit предоставляет вам эксплойты, пейлоады, вспомогательные функции, кодировщики, перехватчики, шелл-код, а также послеэксплойтный код и NOP.

Вы можете получить сертификат специалиста Metasploit Pro онлайн, чтобы стать сертифицированным пентестером. Проходной балл для получения сертификата — 80%, а экзамен занимает около двух часов и разрешается пользоваться справочной литературой. Его стоимость составляет 195$, и после успешного прохождения вы сможете распечатать свой сертификат.
Перед экзаменом рекомендуется пройти учебный курс Metasploit и иметь профессиональные или рабочие знания в следующих областях:

• ОС Windows и Linux;
• сетевые протоколы;
• системы управления уязвимостями;
• основные концепции пентеста.

Получение этого сертификата — желаемое достижение для всех, кто хочет стать востребованным пентестером или аналитиком кибербезопасности.

Как установить Metasploit

Metasploit доступен в виде программы установки с открытым исходным кодом, которую можно скачать с сайта Rapid7. Минимальные системные требования включают наличие последней версии браузера Chrome, Firefox или Explorer, а также

Операционная система:

Оборудование

• процессор 2 ГГц;
• минимум 4 ГБ ОЗУ (рекомендуется 8ГБ);
• минимум 1 ГБ дискового пространства (рекомендуется 50ГБ).

Перед установкой вам нужно отключить все антивирусные программы и брандмауэры на вашем устройстве и получить права администратора. Программа установки — это автономный модуль, который настраивается при установке платформы. У вас также есть возможность ручной установки, если вы хотите настроить зависимые объекты по-своему.
Пользователи Kali Linux уже имеют версию Metasploit Pro в комплекте с их ОС. Для пользователей Windows установка будет осуществляться через мастер установки InstallShield.

После установки при запуске вы столкнетесь со следующими вариантами:

• создание базы данных в /Users/joesmith/.msf4/db;
• запуск Postgresql;
• создание пользователей базы данных;
• создание исходной схемы базы данных.

Учимся использовать Metasploit: советы

Легкость изучения Metasploit зависит от вашего знания Ruby. Однако, если вы знакомы с другими скриптовыми языками и языками программирования, например Python, перейти к работе с Metasploit не составит большого труда. В остальном это интуитивно понятный язык, который легко выучить на практике.

Поскольку этот инструмент требует от вас отключения вашей собственной системы защиты и позволяет генерировать вредоносный код, вы должны знать о потенциальных рисках. Если возможно, установите эту программу в отдельной системе, а не на вашем личном устройстве или компьютере, содержащем потенциально конфиденциальную информацию или имеющем доступ к такой информации. При пентесте с Metasploit вам следует использовать отдельное рабочее устройство.

Зачем нужно изучать Metasploit

Эта платформа необходима всем аналитикам безопасности или пентестерам. Это важное средство для обнаружения скрытых уязвимостей с помощью различных инструментов и утилит. Metasploit позволяет поставить себя на место хакера и использовать те же методы для разведки и проникновения в сети и серверы.

Вот схема типичной архитектуры Metasploit:

Пошаговая инструкция по Metasploit

Мы начнем краткое руководство по эксплойтам, предполагая, что ваша система и ОС соответствуют базовым требованиям. Чтобы настроить среду тестирования, понадобится скачать и установить Virtualbox , Kali и Metasploitable для создания виртуализированной хакерской машины. Вы можете загрузить и установить Windows XP или выше, чтобы создать третью виртуальную машину для этого эксплойта.

После установки инструментов для тестирования откройте консоль Metasploit. Она выглядит так:

Проще всего ввести в консоли команду help, чтобы отобразился список команд Metasploit и их описания. Это выглядит так:

Первый мощный и полезный инструмент, который вам нужен, — это графический интерфейс Armitage, который позволяет визуализировать цели и рекомендовать наиболее подходящие эксплойты для доступа к ним. Этот инструмент также показывает расширенные функции для более глубокого проникновения и дальнейшего тестирования после того, как было выполнено начальное проникновение с помощью эксплойта. Чтобы выбрать его в консоли, перейдите в Applications — Exploit Tools — Armitage («Приложения» — «Инструменты для эксплойтов» — Armitage).

После того, как на экране появится поле формы, введите хост, номер порта, идентификатор пользователя и пароль. Нажмите Enter после заполнения всех полей, и вы будете готовы к запуску эксплойта.

Ресурсы для изучения Metasploit

Одно из основных достоинств сообщества программного обеспечения с открытым кодом заключается в объединении ресурсов и обмене информацией. Это современное воплощение того, почему был создан интернет. Это средство, способствующее гибкости и дающее безграничные возможности для сотрудничества.

В связи с этим мы предлагаем список ресурсов, которые позволят вам в полной мере реализовать потенциал Matspoit.

Один из лучших ресурсов и первое место, которое вам следует посетить, — это собственная обширная база знаний Metasploit. Там вы найдете руководства для начинающих, метамодули, эксплойты, а также обнаруженные уязвимости и исправления для них. Вы также сможете узнать о различных типах сертификатов Metasploit и о том, как их получить.

Еще один полезный ресурс — Varonis Cyber Workshop. Он предлагает ряд учебных пособий и занятий с экспертами в области кибербезопасности.

Источник