Installation de PostgreSQL
Metasploit dépend de PostgreSQL pour la connexion à la base de données, pour l'installer sur les systèmes basés sur Debian/Ubuntu, exécutez :
apt installer postgresql
Pour télécharger et installer metasploit, exécutez :
boucle https://raw.githubusercontent.com/rapid7/metasploit-omnibus/master/config/templates/metasploit-framework-wrappers/msfupdate.erb > msfinstall && \
chmod 755 msfinstall && \
./msfinstall
Une fois l'installation terminée, pour créer la base de données, exécutez :
initialisation msfdb
Au cours du processus, il vous sera demandé un nom d'utilisateur ou un mot de passe, vous pouvez ignorer le mot de passe, à la fin, vous verrez le nom d'utilisateur que vous avez attribué à la base de données, le mot de passe et le jeton et en dessous une URL https://localhost:5443/ api/v1/auth/account , accédez-y et connectez-vous avec le nom d'utilisateur et le mot de passe.
Pour créer la base de données puis exécuter :
Après avoir lancé metasploit tapez "db_status” pour vous assurer que la connexion fonctionne correctement comme indiqué dans l'image ci-dessus.
Noter: Si vous rencontrez des problèmes avec la base de données, essayez les commandes suivantes :
redémarrage du service postgresqlétat du service postgresql
msfdb réinitialiser
msfconsole
Assurez-vous que postgresql est en cours d'exécution lors de la vérification de son statut.
Prise en main de metasploit, commandes de base :
aiderrechercher
utiliser
dos
hôte
Info
afficher les options
ensemble
sortir
La commande aider imprimera la page de manuel pour metasploit, cette commande n'a pas besoin de description.
La commande rechercher est utile pour trouver des exploits, recherchons des exploits contre Microsoft, tapez "recherche ms"
Il affichera une liste de modules auxiliaires et d'exploits utiles contre les appareils exécutant Microsoft.
Un module auxiliaire dans Metasploit est un outil d'aide, il ajoute des fonctionnalités à metasploit telles que la force brute, la recherche de vulnérabilités spécifiques, la localisation de cibles au sein d'un réseau, etc.
Pour ce tutoriel, nous n'avons pas de cible réelle pour les tests, mais nous utiliserons un module auxiliaire pour détecter les appareils photo et prendre des instantanés. Taper:
utiliser post/windows/gérer/webcam
Comme vous voyez le module a été choisi, revenons maintenant en tapant "dos" et tapez "hôtes” pour voir la liste des cibles disponibles.
La liste des hôtes est vide, vous pouvez en ajouter un en tapant :
hôtes -a linuxhint.com
Remplacer linuxhint.com pour l'hébergeur que vous souhaitez cibler.
Taper hôtes à nouveau et vous verrez une nouvelle cible ajoutée.
Pour obtenir des informations sur un exploit ou un module, sélectionnez-le et tapez « info », exécutez les commandes suivantes :
utiliser exploit/windows/ssh/putty_msg_debugInfo
Les informations de commande fourniront des informations sur l'exploit et comment l'utiliser, en outre, vous pouvez exécuter la commande "afficher les options", qui n'affichera que les instructions d'utilisation, exécutez :
afficher les options
Taper dos et sélectionnez un exploit distant, exécutez :
utiliser exploit/windows/smtp/njstar_smtp_bofafficher les options
définir RHOSTS linuxhint.com
définir la cible 0
exploit
Utilisez la commande ensemble comme dans l'image pour définir les hôtes distants (RHOSTS), les hôtes locaux (LOCALHOSTS) et les cibles, chaque exploit et module a des exigences d'informations différentes.
Taper sortir quitter le programme récupérer le terminal.
Evidemment l'exploit ne fonctionnera pas car nous ne ciblons pas un serveur vulnérable, mais c'est ainsi que fonctionne metasploit pour mener une attaque. En suivant les étapes ci-dessus, vous pouvez comprendre comment les commandes de base sont utilisées.
Vous pouvez également fusionner Metasploit avec des scanners de vulnérabilité tels que OpenVas, Nessus, Nexpose et Nmap. Exportez simplement les résultats de ces scanners en XML et de type Metasploit
db_import reporttoimport.XMLTaper "hôtes” et vous verrez les hôtes du rapport chargé dans metasploit.
Ce tutoriel était une première introduction à l'utilisation de la console Metasploit et à ses commandes de base. J'espère que vous l'avez trouvé utile pour démarrer avec ce logiciel puissant.
Continuez à suivre LinuxHint pour plus de conseils et de mises à jour sur Linux.