HARD CORE SECURITY LAB

Jak już informowałem, wczoraj miał swą premierę Metasploit Framework w wersji 3.4.0. Wraz z najnowszym wydaniem tego popularnego otwartego pakietu, swój debiut miał również komercyjny Metasploit 3.4 w wersji Express. Metasploit Express był przez swych twórców zapowiadany, jako narzędzie mające pozwalać na niezwykle łatwe przeprowadzanie w pełni zautomatyzowanych testów penetracyjnych. Czy rzeczywiście za jego pomocą możliwe jest przejmowania podatnych systemów za pomocą jednego kliknięcia? Zapraszam do zapoznania się z pierwszym w Polsce, praktycznym testem oprogramowania Metasploit Express!

Metasploit Express został pomyślany jako rozwiązanie oferujące każdemu zainteresowanemu możliwość przeprowadzania zaawansowanych testów penetracyjnych bez potrzeby zaznajamiania się z zawiłościami samego środowiska Metasploit Framework. Jest to więc narzędzie, po uruchomieniu którego wszystkie testy penetracyjne wykonają się w sposób wysoce zautomatyzowany, przy praktycznie niewielkim udziale użytkownika.

Express to rozwiązanie komercyjne, kosztujące okrągłe 3000 USD (cena rocznej subskrypcji wraz z dostępem do pełnego wsparcia technicznego). Na wersję Express składa się standardowy Metasploit Framework, Workflow Manager (odpowiedzialny za automatyzowanie testów penetracyjnych) oraz przyjazny, graficzny interfejs użytkownika. Warto zauważyć, że tego typu komercyjne narzędzia umożliwiające w pełni zautomatyzowane testy penetracyjne są już obecne na rynku (np. CORE IMPACT, Immunity CANVAS).

Tyle teorii, przejdźmy jednak do praktyki. Spróbujmy sprawdzić, jak Metasploit Express poradzi sobie z wykonaniem prostego praktycznego testu penetracyjnego. Ze cel obierzemy sobie Ubuntu 8.04 Metasploitable. Jest to specjalnie przygotowana z myślą o testowych włamaniach maszyna wirtualna, zawierająca kilka znanych podatności. Więcej na jej temat można się dowiedzieć pod tym adresem, tutaj natomiast dostępny jest sam obraz maszyny wirtualnej. Zatem do działa.

Po uruchomienia oprogramowania Metasploit Express, podajemy adres IP testowanej maszyny wirtualnej oraz tworzymy nowy projekt (po prawej stronie widać pracującą maszynę wirtualną, czyli nasz cel testowego ataku):

Pierwszym etapem każdego testu penetracyjnego jest rekonesans mający na celu odkrycie rodzaju systemy operacyjnego, zebranie wszelkich dostępnych na jego temat informacji oraz odkrycie pracujących pod jego kontrolą usług i programów. Wybieramy więc opcję Scan...

Skanery zintegrowane ze środowiskiem bez problemu radzą sobie z odkryciem poszczególnych usług:
Teraz możemy już skorzystać z opcji Exploit..., która to uruchomi w sposób zautomatyzowany odpowiednio dobrane exploity i w przypadku powodzenia któregoś z nich, da nam dostęp do shella:
Już po chwili okazuje się, że Express był w stanie nawiązać sesję. Pozostaje nam już tylko cieszyć się z uzyskanego shella:
Obok opcji Exploit... odnajdziemy równie ciekawą opcję Bruteforce... Dzięki niej uruchomimy w pełni automatyczny atak typu brute force:
Podsumowując, możliwości Metasplit Express robią więc duże wrażenie. Należy jednak pamiętać, że wszystko co jest możliwe za pomocą tego komercyjnego pakietu, uzyskamy również za pomocą darmowego Metasploit Framework. Express jest tak naprawdę tylko swego rodzaju nakładką graficzną (dosłownie widzimy działający w tle Metasploit Framework), doposażoną w funkcje automatycznego doboru exploitów oraz moduły raportujące.

Moim zdaniem warto więc wykorzystywać Metasploit w darmowej wersji, tym bardziej, że pozwala on na bardziej dogłębne spojrzenie na problematykę testów penetracyjnych. Pomimo, że praktyczne wykorzystanie Metasploit Framework jest o wiele bardziej skomplikowane, to jednak dostępna jest znaczna ilość materiałów i przykładów praktycznych, co pozwoli na bezproblemowe poznanie tego środowiska. Osoby rozpoczynające dopiero swą przygodę z darmowym Metasploitem, zapraszam do zapoznania się z przykładowym atakiem testowym. Warto również zapoznać się z zapisem siedmiogodzinnego szkolenia na temat praktycznego stosowania Metasploita, jakie zostało niedawno przeprowadzone przez kilku bardzo znanych amerykańskich specjalistów ds. bezpieczeństwa.