Metasploit in Kali Linux Top 10Top 10

Stephan Harms
Metasploit in Kali Linux Top 10Top 10

Penetrationstests mit Kali Linux


Das Internet ist voller Lauerer mit böswilligen Absichten, die auf Netzwerke zugreifen und ihre Daten ausnutzen möchten, während sie die Erkennung entziehen. Es ist nur sinnvoll, die Sicherheit eines Netzwerks zu gewährleisten, indem sie ihre Schwachstellen messen. Penetrationstests oder ethisches Hacken testen Netzwerke oder Server für schwangbare Ziele, indem wir alle möglichen Verstöße, die ein Hacker verwendet, um Zugriff zu erhalten. Penetrationstests werden häufig über Softwareanwendungen durchgeführt, von denen das beliebteste Kali Linux ist, vorzugsweise mit dem Metasploit -Framework. Halten Sie bis zum Ende, um zu lernen, wie man ein System testet, indem Sie einen Angriff mit Kali Linux ausführen.

Eine Einführung in Kali Linux und Metasploit Framework

Kali Linux ist eines der vielen erweiterten Systeme für die Systemsicherheit, die durch offensive Sicherheit entwickelt (und regelmäßig aktualisiert) wurden. Es handelt sich um ein linuxbasiertes Betriebssystem, das mit einer Reihe von Werkzeugen verfügt. Es ist ziemlich einfach zu bedienen (zumindest im Vergleich zu anderen Pen-Testing-Programmen) und kompliziert genug, um angemessene Ergebnisse zu erzielen.

Der Metasploit -Framework ist eine Open-Source-Plattform für modulare Penetrationstests zum Angriff von Systemen zum Testen von Sicherheitsnutzungen. Es ist eines der am häufigsten verwendeten Penetrationstestwerkzeuge und wird in Kali Linux integriert.

Metasploit besteht aus Datenspeichern und Modulen. Mit DataStore können der Benutzer die Aspekte innerhalb des Frameworks konfigurieren, während Module in sich geschlossene Snippets von Codes sind, von denen Metasploit seine Funktionen ableitet. Da wir uns auf die Ausführung eines Angriffs für Stifttests konzentrieren, werden wir die Diskussion auf Modulen behalten.

Insgesamt gibt es fünf Module:

Ausbeuten - Die Erkennung ausweist, bricht in das System ein und lädt das Nutzlastmodul hoch
Nutzlast - Ermöglicht den Benutzerzugriff auf das System
Hilfs -Unterstützt Verstoß durch die Ausführung von Aufgaben, die nichts mit der Ausbeutung zu tun haben
Post-Ausbeutung - Ermöglicht einen weiteren Zugriff auf das bereits kompromittierte System
NOP Generator - wird verwendet, um Sicherheits -IPs zu umgehen

Für unsere Zwecke verwenden wir Exploit- und Nutzlastmodule, um Zugriff auf unser Zielsystem zu erhalten.

Einrichten Ihres Stift -Testlabors

Wir brauchen die folgende Software:

Kali Linux:

Kali Linux wird von unserer lokalen Hardware betrieben. Wir werden sein Metasploit -Framework verwenden, um die Exploits zu lokalisieren.

Ein Hypervisor:

Wir benötigen einen Hypervisor, da wir es ermöglicht, a zu erstellen virtuelle Maschine, Dies ermöglicht es uns, gleichzeitig an mehr als einem Betriebssystem zu arbeiten. Es ist eine wesentliche Voraussetzung für Penetrationstests. Für reibungsloses Segeln und bessere Ergebnisse empfehlen wir die Verwendung von beiden Virtualbox oder Microsoft Hyper-V So erstellen Sie die virtuelle Maschine auf.

Metasploitable 2

Nicht zu verwechseln mit Metasploit, einem Rahmen in Kali Linux, ist metasploitable eine absichtlich verletzliche virtuelle Maschine, die darauf programmiert ist, Cybersicherheitsprofis zu schulen. Metasploitable 2 verfügt über Tonnen bekannter Testsabwellungen, die wir ausnutzen können, und im Web sind genügend Informationen verfügbar, um uns zu erleichtern.

Obwohl es einfach ist, das virtuelle System in Metasploitable 2 anzugreifen, da es gut dokumentiert ist. Die Verwendung von Metasploitable 2 für Stifttests dient jedoch als hervorragender Ausgangspunkt, um mehr über die Methode zu erfahren.

Wir werden Metasploitable 2 verwenden, um unsere Stifttests voranzutreiben. Sie benötigen nicht viel Computerspeicher, damit diese virtuelle Maschine funktioniert, ein Festplattenraum von 10 GB und 512 MB RAM sollte einwandfrei leisten. Stellen Sie einfach sicher, dass Sie die Netzwerkeinstellungen für metasploitable in den Nur-Host-Adapter ändern, während Sie sie installieren. Starten Sie nach der Installation metasploitable und melden Sie sich an. Startup Kali Linux, damit wir sein Metasploit -Framework dazu bringen können, unsere Tests zu initiieren.

Nutzung von VSFTPD V2.3.4 Backdoor Command Execution

Mit allen Dingen an ihrer Stelle können wir endlich nach einer Anfälligkeit für die Nutzung suchen. Sie können im Web nach verschiedenen Schwachstellen nachschlagen, aber für dieses Tutorial werden wir sehen, wie VSFTPD V2.3.4 kann ausgenutzt werden. VSFTPD steht für einen sehr sicheren FTP -Dämon. Wir haben diesen gepflückt.

Starten Sie die Metasploit -Konsole. Gehen Sie zur Eingabeaufforderung im Kali Linux und geben Sie den folgenden Code ein:

$ sudo msfconsole

Mit der jetzt geöffneten Konsole, Typ:

$ Search vsftpd

Dies bringt den Ort der Sicherheitsanfälligkeit, die wir ausnutzen möchten. Um es auszuwählen, geben Sie ein

$ verwenden exploit/unix/ftp/vsftpd_234_backdoor

Um zu sehen, welche weiteren Informationen erforderlich sind, um die Ausbeutung zu starten, geben Sie an

$ Showoptionen

Die einzigen Informationen über eine wesentliche Bedeutung, die fehlt.

Schauen Sie sich die IP -Adresse im Metasploitable durch Eingabe nach

$ ifconfig

In seiner Kommandoschale

Die IP -Adresse befindet sich am Anfang der zweiten Zeile, so etwas wie

# INET ADDR: 10.0.2.15

Geben Sie diesen Befehl ein, um Metasploit auf das Zielsystem zu lenken und den Exploit zu beginnen. Ich verwende meine IP, aber es führt zu einem Fehler. Wenn Sie jedoch eine andere IP -Opfer -IP verwenden, erhalten Sie Ergebnisse aus dem Exploit

$ set Rhost [Opfer IP]
$ run

Mit einem vollständigen Zugriff auf metasploitable können wir nun ohne Einschränkungen durch das System navigieren. Sie können alle klassifizierten Daten herunterladen oder etwas Wichtiges vom Server entfernen. In realen Situationen, in denen ein Blackhat Zugriff auf einen solchen Server erhält, können sie sogar die CPU herunterfahren, was dazu führt, dass andere mit ihm verbundene Computer auch zum Absturz gebracht werden.

Dinge einpacken

Es ist besser, Probleme vorher zu beseitigen, als auf sie zu reagieren. Penetrationstests können Ihnen viel Ärger erspart und aufholen, wenn es um die Sicherheit Ihrer Systeme geht, sei es eine einzelne Computermaschine oder ein ganzes Netzwerk. In diesem Sinne ist es hilfreich, grundlegende Kenntnisse über Stifttests zu haben. Metasploitable ist ein hervorragendes Instrument, um das Wesentliche zu lernen, da seine Schwachstellen bekannt sind. Daher gibt es viele Informationen darüber. Wir haben nur an einem Exploit mit Kali Linux gearbeitet, aber wir empfehlen Ihnen dringend, sich weiter einzusetzen.

Linux -Befehle
So generieren Sie SSH -Tasten unter Windows Top 10/Top 10, um auf Linux -Server ohne Passwörter zuzugreifen
Praktisches Tutorial zum Generieren einer SSH -Taste unter Windows 10 und 11 und installieren Sie es...
Frederik Rodehau
Golang
Was sind Pakete in Golang??
Ein Paket ist eine Technik, um Code in wiederverwendbaren und überschaubaren Stücken zu gruppieren. ...
Kaya Wyludda
Golang
Was ist Golang -Testpaket?
Das Golang -Testpaket enthält mehrere Tools und Funktionen, die das Testen, Debuggen und Benchmark -...
Mohamed Flore
Sqlite
So verwenden Sie SQLite Viewer Web App
Hussein Burkhard
Php
So verwenden Sie PHP -Serialisierungsfunktion
Prof. Dr. Julien Plank
Java
So verwenden Sie Byte -Schlüsselwort in Java
Gian Eisenlauer
Oracle Linux
Was sollte minimale Systemspezifikationen für Oracle Linux sein?
Mohamed Flore
JavaScript
Wie Typenkript von JavaScript unterscheidet?
Gian Eisenlauer
Java
Was ist das Standard -Schlüsselwort in Switch -Anweisungen??
Lars Daub
Oracle -Datenbank
Java -Datenbankkonnektivität mit Oracle
Stephan Harms
AWS
Warum sollte ich AWS -Organisationen verwenden??
Mohamed Flore
Docker
Wie man einen Docker -Container tötet?
Stephan Harms
Wireshark
DHCP mit Wireshark verstehen
Prof. Dr. Julien Plank