Fondamentalmente Metasploit ci consente di scegliere gli exploit in base alle vulnerabilità del target ed eseguirli, ma ha anche moduli ausiliari che ci consentono di scansionare per trovare o confermare tali vulnerabilità, per improvvisare attacchi di forza bruta tra più. Metasploit supporta l'integrazione di report realizzati da diversi scanner come Openvas, Nessus e ovviamente Nexpose.
Il primo passo per iniziare con metasploit è creare un ambiente vulnerabile che possiamo sfruttare utilizzando gli strumenti di Metasploit. In questo tutorial installeremo quell'ambiente condiviso da Rapid7 (Metasploit e Nexpose publisher) che consiste in una macchina virtuale piena di vulnerabilità che possiamo rilevare e sfruttare per scopi di formazione, Metasploit. Rapid 7 ha pubblicato Metasploitable 3 ma a causa di molte segnalazioni di bug per costruire la VM in sistemi basati su Debian, stiamo utilizzando Metasploitable 2 per questa serie di tutorial in modo da poter seguire i passaggi senza rimanere bloccato con problemi di Virtualbox, Vagrant e Packer relativi a Metasploitable 3 …
Nota: Questo tutorial presuppone che tu abbia già installato VirtualBox, se non lo fai e non hai familiarità con VBox e sei un utente Ubuntu leggi questo articolo su VBox prima di continuare, o questo se sei un utente Arch Linux. Puoi anche utilizzare Metasploitable con altri software di virtualizzazione come VMware. Per installare VirtualBox, gli utenti Debian dovrebbero eseguire:
echo "deb http://download.virtualbox.org/virtualbox/debian stretch contrib"| sudo tee /etc/apt/sources.elenco.d/scatola virtuale.elenco
Quindi eseguire:
aggiornamento appropriatoaggiornamento adatto
apt install virtualbox
Ottenere Metasploitable:
Per scaricare Metasploitable 2 accedi a https://information.rapido7.com/download-metasploitable-2017.html e scorri fino al form, compilalo e premi su “INVIA”.
Quindi premere sul pulsante di download "Scarica Metasploitable ora"
Una volta scaricato, decomprimi Metasploitable eseguendo:
unzip -x metasploitable-linux-2.0.0.cerniera lampo
Il comando estrarrà alcune immagini da cui utilizzerai Metasploitable.vmdk.
Per continuare, avvia Virtualbox e fai clic sull'icona blu NUOVO.
Imposta il nome della tua VM, seleziona Altro Linux 32 e premi su Il prossimo
Metasploitable non avrà bisogno di troppa memoria, qui assegni la memoria per il tuo dispositivo virtuale e premi Avanti.
Ora seleziona "Utilizza un disco rigido virtuale esistente" e seleziona l'immagine Metasploit vmdk che hai decompresso prima e premi "Creare"
Nel mio caso ha dato un errore che mi ha impedito di avviare come mostrato nell'immagine qui sotto:
Per risolverlo, nella schermata principale di Virtualbox vai su impostazioni> Sistema> Processore e abilitare PAE/NX, quindi premere ok e riavviare.
Quindi avvia la tua VM Metasploit 2, dovrebbe avviarsi ora.
Metasploitable è installato, msfadmin è utente e password. Nel prossimo tutorial useremo metasploit per scansionare e rilevare le vulnerabilità su questa VM metasploitable.
Spero che questo tutorial abbia aiutato a installare metasploitable 2 in modo semplice.