Metasploit är ett ramverk för pen-testning som gör hacking enkelt - på gott och ont. Det är ett av de allra vanligaste och viktigaste verktygen på marknaden, och ett måste i var systemadministratörs (och hackers) verktygslåda. Idag är det synnerligen enkelt att använda och gratis. I denna artikel går vi igenom vad Metasploit kan göra på en översiktlig nivå.
Metasploit automatiserar och paketerar
Förr i tiden innebar pen-tester (penetrationstester) en massa repetitiva arbetsuppgifter som Metasploit idag automatiserar. vare sig det gäller informationsinhämtning, få tillgång till system, upprätthålla ett brohuvud eller undvika upptäckt - Metasploit gör allt åt dig. Om du arbetar inom it-säkerhet är chansen stor att du redan stött på detta.
Dessutom är Metasploit-ramverket gratis och fritt att använda, i vart fall de viktigaste delarna. Metasploit kommer förinstallerat på Kali Linux, som är licensierat under BSD-licensen. Ramverket i sig kan endast användas som ett terminalverktyg, cli, men det finns numer även gui-baserade verktyg för dem som gillar att dra-och-släppa. Enklast är att köpa styckvisa licenser för Metasploit Pro, vilket även ger en bunt andra finesser och egenskaper.
Metasploit utvecklades från början av it-säkerhetsexperten, utvecklaren och hackaren HD Moore, som släppte version 1.0, skrivet i Perl, 2003. Sedan dess har projektet vuxit explosionsartat från de 11 attacker som ingick från början till dagens cirka 1500 attacker och över 500 olika typer av nyttolaster. Under tiden har man även gått över från Perl till Ruby.
It-säkerhetsföretaget Rapid7 tog 2009 över både Metasploit och Moore, men sen 2016 har Moore hoppat av projektet. Idag är Metasploit de facto det viktigaste ramverket för att bygga attacker, trots tuff konkurrens från Canvas och Core Impact, och idag är det mycket vanligt att inkludera Metasploit som en modul i de så kallade proof-of-concepts som visar modus operandi för olika attacker.
Så använder du Metasploit
Under pen-testets informationsinsamlingsfas integrerar sig Metasploit sömlöst med verktyg som Nmap, Snmp scanning och Windows patch enumeration, bland många andra. Det finns även möjligheter att koppla Metasploit till Nessus. I stort sett vartenda spaningsverktyg på marknaden kan integreras i Metasploit, vilket gör det möjligt att peta in en kil i den där sprickan i muren du vill hitta.
När du väl hittat en svaghet är det bara att söka igenom Metasploit stora databas med sårbarheter för att hitta precis rätt attack som tar dig in i systemet. Till exempel finns idag NSA:s EternalBlue-attack, som släpptes lös av Shadow Brokers i 2017, paketerat och klart för Metasploit och är ett tillförlitligt standardverktyg för att bryta sig in i illa patchade äldre versioner av Windows.
Det med Metasploit som kräver lite kunskap är att para ihop rätt attack med rätt nyttolast. Eftersom de flesta som bryter sig in i it-system vill ha är ett skal (shell), är en lämplig nyttolast för windows-system det alltid lika populära Meterpreter, som är ett interaktivt skal som helt och hållet körs i arbetsminnet. Linux-system får sin egen skalkod beroende på vilken attack det handlar om.
Väl inne på offersystemet har Metasploit en diger uppsättning verktyg för att du ska kunna exploatera situationen. Här finns verktyg för privilegieeskalering, pass-the-hash-autentisering, paketsniffers, bildskärmsinspelning, keyloggers och pivoteringsverktyg. Du kan även sätta upp en permanent bakdörr ifall den maskin du tagit dig in på skulle startas om.
Fler och fler verktyg läggs till i Metasploits verktygslåda, inklusive exempelvis en så kallad fuzzer som identifierar säkerhetsmässiga svagheter i binärfiler, och en lång lista med hjälpverktyg. Ramverket är modulärt och tack vare en aktiv utvecklingsgrupp utökas ramverket så gott som dagligen. Om Metasploit inte gör exakt det du vill göra går det med all sannolikhet att modifiera tills det passar dina ändamål.
Så lär du dig Metasploit
Det finns många billiga eller kostnadsfria metoder för att lära sig hur Metasploit fungerar. Ett bra sätt att börja på är att ladda ned och installera Kali Linux, tillsamman med att sätta upp en virtuell klient-maskin eller server som testobjekt. Vi vill givetvis tillägga att testa på något annat system än de du äger och har rätt att testa på är förbjudet.
Ett annat sätt är att anmäla dig till en kurs som tillhandahålls av Offensive Security; samma organisation som utvecklar Kali Linux och ger ut OSCP-certifieringen för samma operativsystem. Allt du behöver betala är en donation till en hjälporganisation som hjälper barn i Afrika. En väldigt bra resurs att ha tillhanda är boken No Starch Metasploit som dessutom finns som drm-fri e-bok. Givetvis har metasploit-projektet publicerat en massa dokumentation, och det finns även en bra youtube-kanal.
Ladda ned, installera och andra resurser
Metasploit ingår som en del av Kali Linux, men du kan även ladda ned ramverket separat från Metasploits webbsajt. Metasploit går att köra på vilket unix- eller linux-system som helst, men även på Windows. Källkoden finns att tillgå på Github.
Utöver den fria versionen av Metasploit Framework har Rapid7 även tagit fram ett webb-version som heter Metasploit Community Edition, och som tidigare nämnts Metasploit Pro, som inte är gratis men som å andra sidan kommer med ett fullödigt grafiskt gränssnitt och diverse tillägg och guider för dem som enkelt vill komma igång med grundläggande tester.
Läs också:
Hitta dina sårbara enheter med Shodan – annars gör hackarna det åt dig
NSA:s superverktyg Ghidra släppt som öppen källkod
