Metasploit recenze, instalace a použití plus nejlepší alternativy
Metasploit je užitečný nástroj a je jedním z kritických systémů používaných hackery – včetně hackera white hat, který provádí penetrační testování. Existují dvě verze Metasploit. Tyto jsou Metasploit Framework a Metasploit Pro
Penetrační testeři mohou pomocí Metasploitu shromáždit informace o systému, vyhledat jeho bezpečnostní slabiny a poté spustit útok, aby otestovali, zda se do systému mohou dostat skuteční hackeři.
Historie Metasploit
Metasploit byl poprvé vytvořen v roce 2003 H D Moore. Bylo z toho vyrobeno open-source projekt . Open-source systémy zpřístupňují zdrojový kód softwaru všem. Hlavní balíček je uložen v úložišti, ale ti, kdo jej zkopírují, jej mohou změnit a používejte jej zdarma . Ostatní jej mohou používat zdarma. Někteří lidé, kteří provádějí změny, pošlou svou novou verzi zpět hlavnímu manažerovi projektu. Komise změny posoudí a v mnoha případech je začlení do základního systému. Členové veřejnosti se tak nakonec stávají neplacenými vývojáři projektu.
Problémem mnoha open-source projektů je, že ano nedostatek finančních prostředků pro správnou správu systému. V důsledku toho může být software napaden hackery, kteří objeví exploity. Softwarový dům v těchto událostech rychle vytvoří aktualizaci, ale nefinancované projekty nemohou zorganizovat rychlou reakci, a proto se open-source systémy rychle stanou nepoužitelnými.
Metasploit se vyhnul opuštění jako zastaralý a nezabezpečený software tím, že byl přijat firmou zabývající se kybernetickou bezpečností, Rapid7 . Zápas mezi Metasploit a Rapid7 je dobrý. Společnost je předním inovátorem v oblasti kybernetické bezpečnosti.
Metasploit Framework
Od té doby, co se Rapid7 zapletl s Projekt Metasploit v roce 2009 vývoj nástroje těžil z profesionálních zkušeností softwarového vývojáře s řízením projektů a samozřejmě z peněz.
Původní Metasploit se stal známým jako Metasploit Framework a Rapid7 získala právo na výrobu vlastní vyšší verze nástroje. Metasploit Framework je stále vyvíjen komunitou, je stále open source a je stále zdarma k použití.
Metasploit Pro
Metasploit Pro je Rapid7 verze Metasploit. Společnost vezme testovací verzi Metasploit Framework, otestuje ji na stabilitu a poté přidá její funkce. Zatímco Metasploit Framework je neustále aktualizován, Metasploit Pro má pomalejší cyklus verzí a obsahuje více možností.
Metasploit Framework vs Metasploit Pro
Ačkoli Metasploit Framework je volný, uvolnit , nemá mnoho funkcí. To funguje dobře pro Rapid7, protože bezplatná verze Metasploit může fungovat jako brána k přijetí Metasploit Pro. Zde je tabulka s charakteristikami jednotlivých vydání.
De-facto standard pro penetrační testování s více než 1500 exploity | Ano | Ano |
Import skenování síťových dat | Ano | Ano |
Zjišťování sítě | Ano | |
Základní vykořisťování | Ano | |
MetaModules pro diskrétní úlohy, jako je testování segmentace sítě | Ano | |
Integrace přes vzdálené API | Ano | |
Jednoduché webové rozhraní | Ano | |
Chytré využívání | Ano | |
Automatické vynucení přihlašovacích údajů | Ano | |
Zprávy o výchozím penetračním testování | Ano | |
Průvodci pro standardní základní audity | Ano | |
Řetězce úloh pro automatizované vlastní pracovní postupy | Ano | |
Ověření zranitelnosti v uzavřené smyčce pro upřednostnění nápravy | Ano | |
Základní rozhraní příkazového řádku | Ano | |
Ruční využívání | Ano | |
Hrubé vynucení manuálních přihlašovacích údajů | Ano | |
Dynamické užitečné zatížení pro vyhnutí se předním antivirovým řešením | Ano | |
Správa povědomí o phishingu a spear phishing | Ano | |
Testování webových aplikací na 10 nejlepších zranitelností OWASP | Ano | |
Volba pokročilého příkazového řádku (Pro Console) a webového rozhraní | Ano |
Jak můžete vidět z porovnání funkcí, Metasploit Framework obsahuje stejný automatický skener zranitelnosti jako Metasploit Pro, ale ne mnoho další automatizace.
Kompatibilita operačního systému Metasploit
Metasploit vyžaduje 64bitové procesory s následujícími operačními systémy:
- Microsoft Windows: 7 SP1+, 8.1, 10
- Windows Server: 208 R2, 2012 R2, 2016, 2019
- Linux: RHEL 5.10 nebo novější, Ubuntu 14.04 LTS nebo novější
Stránka pro stahování Metasploit Framework obsahuje pokyny pro stažení do Operační Systém Mac a také zahrnuje CentOS , F edora , a Debian Linux . Tyto operační systémy však nejsou uvedeny na webu Systémové požadavky stránce sekce Metasploit na webu Rapid7.
Metasploit Framework je předinstalovaný na všech verzích Kali Linux .
Metasploit Klady a zápory
Klady:
- Jeden z nejpopulárnějších bezpečnostních rámců v současnosti
- Má více než největší komunity – skvělé pro nepřetržitou podporu a aktuální přírůstky
- K dispozici pro bezplatné a komerční použití
- Vysoce přizpůsobitelné s mnoha aplikacemi s otevřeným zdrojovým kódem
Nevýhody:
- Metasploit vychází vstříc techničtějším uživatelům, což pro začátečníky zvyšuje křivku učení v bezpečnostním prostoru
Jak nainstalovat Metasploit Framework
Abyste poznali Metasploit Framework, měli byste si jej stáhnout a nainstalovat. Instalace zapnuta Linux a Operační Systém Mac je přímočarý, ale ve Windows je tento proces obtížný.
Pokud používáte Windows, nejprve vypněte zabezpečení Windows, protože jinak se během instalace Metasploit zblázní a zablokuje všechny soubory hrozeb, které chce zkopírovat do počítače.
- Otevřete Průzkumník souborů a vytvořte adresář c:metasploit-framework .
- Otevři Start Jídelní lístek.
- Klikněte na Nastavení zasadil.
- Vybrat Aktualizace a zabezpečení.
- V okně Aktualizace a zabezpečení klikněte na Zabezpečení systému Windows v levém menu.
- Klikněte na Ochrana před viry a hrozbami .
- Klikněte na Spravovat nastavení .
- Posuňte Ochrana v reálném čase přepnout na Vypnuto .
- Přejděte dolů na Výluky nadpis a klikněte na něj Přidat nebo odebrat vyloučení .
- Klikněte na Přidat vyloučení tlačítko a vyberte Složka v rozevíracím seznamu. A Vybrat složku objeví se okno.
- Vstupte c:metasploit-framework v poli pro název složky a stiskněte Vybrat složku knoflík.
Nyní můžete nainstalovat Metasploit.
- Přejít na stránka ke stažení pro Metasploit Framework .
- Klikněte na odkaz na instalační program pro váš operační systém.
- Klikněte na stažené
- soubor ke spuštění instalačního programu.
- Přijměte Licenční smlouva s koncovým uživatelem ent a procházejte průvodcem instalací stisknutím tlačítka další tlačítko na každé obrazovce.
- zmáčkni Nainstalujte a počkejte, až se ukazatel průběhu zaplní.
- Pokud instalujete Windows, během procesu instalace a Kontrola uživatelského účtu objeví se vyskakovací okno. lis Ano .
Počkejte na dokončení instalačního programu a poté otevřete soubor Konzole Metasploit .
Jak nainstalovat Metasploit Pro
Metasploit Framework a Metasploit Pro se neinstalují do stejného adresáře, takže je možné spustit oba. To je hlavně dobrý nápad, pokud chcete mít možnost ručně provést útok hrubou silou – nástroj, který není součástí Metasploit Pro.
Můžete přistupovat 14denní bezplatná zkušební verze z Metasploit Pro. Přejít na Stránka ke stažení Metasploit Pro a vyplňte formulář pro bezplatnou zkušební verzi.
E-mailová adresa, kterou zadáte, musí být v doméně společnosti a ne v jednom z bezplatných e-mailových systémů, jako je yahoo.com nebo mail.com. Musí to však být platná e-mailová adresa, ke které máte přístup, protože systém Metasploit odešle aktivační kód na tento účet a Metasploit Pro bez něj nebude fungovat.
Před stažením instalačního programu vytvořte adresář c:metasploit. Pokud instalujete do systému Windows, projděte si výše uvedené kroky pro deaktivaci antivirového programu. Poté přidejte vyloučení pro c:metasploit . Budete mít méně problémů s instalací na Linuxu. Pokud však máte antivirový systém, musíte nastavit Metasploit jako výjimku, aby vaše AV instalaci neblokovalo.
Po nastavení AV postupujte podle následujících kroků:
- Klikněte na odkaz ke stažení vašeho operačního systému na stránce, která následuje po formuláři bezplatné zkušební verze. Tento odkaz je napsán jako 64-bit .
- Kliknutím na stažený soubor spustíte instalační program.
- Přijměte Licenční smlouva .
- Procházejte kroky instalačního programu kliknutím na další knoflík.
- Poznamenejte si port SSL, který jste vybrali pro aktivitu Metasploit. Výchozí hodnota zobrazená v průvodci instalací je 3790.
- Na konci procesu instalace stiskněte tlačítko Dokončit knoflík. Aplikace se otevře v prohlížeči a váš systém nabídne možnost, ve které si vyberete preferovaný prohlížeč.
Pomocí Metasploit Pro
Při prvním spuštění Metasploit Pro budete muset použít Webové uživatelské rozhraní Metasploit . Když se toto otevře, můžete si založit účet.
První účet, který vytvoříte, je Správce účet. Musíte se ujistit, že jste zvolili silné heslo, protože pokud by se hacker někdy dostal do tohoto účtu, mohl by způsobit zmatek v celém vašem systému. Heslo musí být kombinací písmen a číslic a mělo by obsahovat alespoň jeden jedinečný znak. Nemělo by obsahovat uživatelské jméno, které nastavujete, a nemělo by být snadné jej uhodnout.
Dále ve složce Doručená pošta vyhledejte e-mailovou adresu, kterou jste uvedli při žádosti o bezplatnou zkušební verzi. Zkopírujte Produktový klíč zobrazený v e-mailu a vložte jej na obrazovku, která se zobrazí po zadání podrobností účtu.
Nyní můžete systém Metasploit používat prostřednictvím webového rozhraní.
Pokud chcete použít Metasploit na příkazovém řádku, přejděte do nabídky Start a vyhledejte položku nabídky Metasploit. Pak to rozbalte a klikněte na Konzole Metasploit .
Konzola Metasploit je v podstatě jen okno příkazového řádku/terminálu. Jakmile otevřete okno, spuštění systému Metasploit trvá dlouho.
Typy výstup na výzvu k ukončení Metasploit Console.
Pokud se rozhodnete pro Metasploit Framework, získáte pouze verzi Console.
Kolik Metasploit Pro stojí?
Rapid7 prodává Metasploit Pro prostřednictvím distributorů. Tyto podniky se samy rozhodují o prodejní ceně a rozhodují se, jak daleko chtějí stlačit své marže, aby získaly obchod od konkurenčních prodejců softwaru.
Současná cena Metasploit Pro se pohybuje kolem 15 000 $ ročně. Cena balíčku se pohybuje od 14 267,99 USD do 15 329,99 USD.
Alternativy k Metasploit
Možnost bezplatné verze i plně vyzbrojené placené verze dává Metasploitu širokou přitažlivost. Alternativy k Metasploit musí zahrnovat obojí bezplatné služby které konkurují Metasploit Framework a placené systémy které představují alternativy Metasploit Pro. Je také užitečné zvážit skenery zranitelnosti, které mohou poskytnout vynikající alternativní strategie k identifikaci slabých míst systému.
1. Neporazitelný (VSTUP ZDARMA K DEMO)
Tento webový skener zranitelnosti je užitečný zejména pro vývojové testování a je schopen identifikovat slabá místa ve všech rozhraních API, která by projekt mohl zamýšlet použít. Kromě hledání známých zranitelností používá tento skener svůj vlastní proces heuristiky, který dokáže odhalit slabé zabezpečení v modulech a doporučí opravy pro zpřísnění případných zneužití.
Klady:
- Obsahuje vysoce intuitivní a přehledný administrační panel
- Podporuje všechny webové aplikace, webové služby nebo API, bez ohledu na framework
- Poskytuje zjednodušené zprávy s prioritními chybami zabezpečení a nápravnými kroky
- Eliminuje falešné poplachy bezpečným využíváním zranitelností prostřednictvím metod pouze pro čtení
- Snadno se integruje do vývojářů a poskytuje rychlou zpětnou vazbu, aby se zabránilo budoucím chybám
Nevýhody:
- Raději bych viděl zkušební verzi než demo
Nabízeno jako platforma SaaS nebo k instalaci na Okna a Windows Server .
2. Acunetix (VSTUP ZDARMA K DEMO)
Toto je skener zranitelnosti. Systém je nabízen ve třech edicích a nejnižší plán, tzv Standard, poskytuje kontroly zranitelnosti na vyžádání, které hledají více než 7000 zranitelností . Prostřední balíček, tzv Profesionální , obsahuje síťový skener, který dokáže rozpoznat více než 50 000 známých exploitů . Externí skener se podívá na profil sítě směřující k internetu a prohledá webové stránky a webové aplikace. Kromě toho může monitorovat operace API a vyhodnocovat bezpečnostní slabiny modulů, které je podporují.
Klady:
- Navrženo speciálně pro zabezpečení aplikací
- Integruje se s velkým množstvím dalších nástrojů, jako je OpenVAS
- Dokáže detekovat a upozornit, když jsou objeveny nesprávné konfigurace
- Využívá automatizaci k okamžitému zastavení hrozeb a eskalaci problémů na základě závažnosti
Nevýhody:
- Chtěli byste vidět zkušební verzi pro testování
Acunetix je poskytován jako hostovaný SaaS plošina. Je však také možné stáhnout si softwarový balíček a nainstalovat jej Okna , Operační Systém Mac nebo Linux .
3. Armitage
Tento balíček není ani tak alternativou k Metasploitu; tento bezplatný nástroj vylepšuje Metasploit Framework a dělá z něj lepšího soupeře Metasploit Pro. Armitage funguje jako frontend pro Metasploit Framework. Umožňuje uživateli používat Metasploit sondové systémy , shromažďování informací a identifikace možných vstupních bodů. Ukládá výsledky výzkumu a vkládá je do útočných strategií.
Klady:
- Navrženo pro vylepšení rámce Metasploit
- Umožňuje uživatelům zkoumat systémy, shromažďovat informace a další
- Může ukládat informace a spárovat je se strategiemi útoku
- Pochází z Kai Linuxu
Nevýhody:
- Plné prozkoumání všech funkcí a nástrojů může chvíli trvat
Tento nástroj je k dispozici pro Okna , Operační Systém Mac , a Linux . Je předem načten do Kali Linux .
4. Suita Burp
Konečně, tento balíček od PortSwigger, je velmi blízký Metasploitu, protože je k dispozici zdarma Komunitní vydání a placenou verzi s názvem Profesionální vydání . K dispozici je také Enterprise Edition, což je plně automatizovaný skener zranitelnosti. Bezplatná i placená verze mají stejné rozhraní. Mnoho funkcí v této aplikaci je však pro uživatele Community Edition zakázáno. Mezi tyto placené služby patří automatické skenování zranitelnosti . Významnou výhodou rozhraní Burp Suite je, že uživatel může vybrat data z nástroje pro výzkum a nechat je poslat přímo do útočných služeb. Burp Suite běží dál Okna , Operační Systém Mac , a Linux .
Klady:
- Kolekce bezpečnostních nástrojů navržených speciálně pro bezpečnostní profesionály
- Komunitní edice je zdarma – skvělá pro malé podniky
- K dispozici na různých platformách pro operační systémy Windows, Linux a Mac
Nevýhody:
- Prozkoumání všech nástrojů dostupných v sadě zabere čas
Můžeš stáhněte si komunitní vydání zdarma nebo na vyžádání zkušební verze zdarma edice Professional.
5. Sqlmap
Tento nástroj příkazového řádku nabízí právě jeden příkaz, ale má stovky možností, což mění funkci, která se spustí. Tento nástroj dokumentuje databázi a také spouští útoky. Součástí služby jsou cenné procesy, jako např prolomení hesla a injekční útoky. Některé epizody mohou být provedeny bez zanechání jakékoli stopy, zatímco jiné jsou určeny ke změně dat v napadené databázi.
Klady:
- Zcela zdarma
- Open source transparentní projekt
- Konkrétně se stará o identifikaci útoků SQL
- K dispozici pro Windows, Linux, Mac OS, Free BSD
Nevýhody:
- Je mírně zastaralý ve srovnání s jinými nástroji VAPT
Sqlmap je zdarma k použití a instaluje se na Okna , Operační Systém Mac , a Linux .
6. Ettercap
Tento nástroj pro zachytávání paketů je také prostředkem k útoku, protože může vložit provoz do proudu. Tohle je nástroj příkazového řádku který má rozsáhlou knihovnu příkazů. Útoky této utility jsou založeny na strategii man-in-the-middle. Jeho metody spoléhají na to, že nástroj je spouštěn ze sítě. Balíček Ettercap nabízí uživatelské rozhraní. Nicméně, stejně jako Metasploit Console, je to pouze přizpůsobené okno příkazového řádku/terminálu. Ettercap lze také použít pro zachycení hesla , DNS spoofing, a Odmítnutí služby .
Klady:
- Open source bezpečnostní platforma
- Konkrétně pro identifikaci útoků muže uprostřed
- Dobře zdokumentováno s velkou komunitou
- Zcela zdarma
Nevýhody:
- Jde spíše o specializovaný nástroj než o kompletní řešení
Tento nástroj je zdarma k použití a běží dál Linux , Unix , Mac OS X , Windows 7 a 8 . Bohužel to nebude fungovat na macOS nebo Windows 10.
Časté dotazy týkající se metasploitu
K čemu se Metasploit používá?
Metasploit framework je balíček nástrojů, který zkoumá bezpečnost IT systémů a využívá tyto informace k zahájení útoků. Tento nástroj mohou využívat hackeři a hojně jej využívají i penetrační testeři.
Mohu hackovat pomocí Metasploit?
Metasploit byl vytvořen pro hackování. Jeho velkou výhodou je, že obsahuje metody pro identifikaci slabých míst v IT systému a další nástroje, jak se do nich pokusit proniknout. Systém je dobrým nástrojem i pro penetrační testery.
Je Metasploit stále zdarma?
Metasploit Framework je bezplatný systém s otevřeným zdrojovým kódem. Existuje lepší verze, nazvaná Metasploit Pro, což je Metasploit Framework s dalšími funkcemi, které přidal Rapid7. Metasploit Pro není zdarma.