GNU/Linux >> Tutoriels Linux >  >> Linux

Comment installer Metasploit sur Ubuntu

Trouver les failles de sécurité dans les systèmes et les corriger est devenu l'une des tâches les plus importantes pour les administrateurs réseau. Metasploit est un outil d'exploitation populaire qui aide les professionnels de la sécurité à trouver et à exposer les vulnérabilités du système.

Dans ce didacticiel, vous apprendrez à installer Metasploit sur Ubuntu et à l'utiliser pour rechercher les vulnérabilités de vos systèmes.

Lisez la suite pour ne plus jamais vous soucier de la sécurité d'un système !

Prérequis

Ce tutoriel sera une démonstration pratique. Si vous souhaitez suivre, assurez-vous d'avoir

  • Un système Linux Ubuntu. Ce didacticiel utilise Ubuntu 20.04, mais toute version récente devrait fonctionner correctement.
  • Vous aurez également besoin des privilèges root sur votre système pour installer Metasploit. Ce didacticiel utilise un compte root, mais pour des raisons de sécurité, il est recommandé d'utiliser un utilisateur sudo activé.

Installation de Metasploit à l'aide du programme d'installation de scripts Shell

Le programme d'installation officiel du script shell Metasploit est le moyen le plus rapide d'installer Metasploit sur Ubuntu. Cette méthode fonctionne sur n'importe quel système basé sur Debian, y compris Ubuntu. Ce script shell s'occupe de toutes les dépendances et de la configuration pour vous.

1. Exécutez la commande wget suivante pour télécharger la dernière version du programme d'installation de Metasploit depuis GitHub.

wget http://downloads.metasploit.com/data/releases/metasploit-latest-linux-x64-installer.run

2. Vérifiez que le téléchargement du fichier a réussi en répertoriant son contenu.

ls -la metasploit-latest-linux-x64-installer.run

Vous verrez une sortie similaire ci-dessous.

3. Avant de pouvoir exécuter le programme d'installation, vous devez rendre le fichier exécutable. Exécutez la commande chmod suivante pour accorder au fichier d'installation des autorisations exécutables.

chmod +x ./metasploit-latest-linux-x64-installer.run

4. Maintenant, vous pouvez exécuter le programme d'installation en prétendant le nom avec ./.

./metasploit-latest-linux-x64-installer.run

5. Appuyez sur Entrée pour lire le contrat de licence Metasploit

6. Tapez y et appuyez sur Entrée pour accepter les termes et continuer.

7. Sélectionnez un dossier pour installer Metasploit. Pour ce didacticiel, vous laisserez le répertoire d'installation par défaut sur /opt/metasploit et appuyez sur Entrée pour continuer.

8. Pour installer Metasploit en tant que service, tapez Y et appuyez sur Entrée.

Par défaut, Metasploit ne fonctionnera pas en tant que service. Vous pouvez démarrer, arrêter et redémarrer manuellement Metasploit à partir de la ligne de commande, ou vous pouvez installer Metasploit en tant que service. L'installation de Metasploit en tant que service lui permettra de démarrer automatiquement au démarrage de votre système.

9. Metasploit utilise certaines techniques qui pourraient être signalées par votre programme antivirus ou pare-feu. Pour éviter tout problème, il est recommandé de désactiver ces programmes lorsque vous travaillez avec Metasploit. Pour désactiver l'antivirus et le pare-feu, appuyez sur Entrée.

10. Entrez le port que vous voulez que Metasploit utilise. Le port par défaut est 3790, mais vous pouvez choisir n'importe quel port ouvert sur votre système. Pour ce didacticiel, vous utiliserez le port par défaut 3790. Appuyez sur Entrée pour continuer.

Choisissez un port supérieur à 1000 et non standard pour éviter les conflits potentiels avec d'autres programmes.

11. Par défaut, Metasploit utilisera localhost comme Nom du serveur . Pour ce didacticiel, laissez la valeur par défaut et appuyez sur Entrée pour continuer.

12. Le programme d'installation du script shell Metasploit générera et installera par défaut un certificat SSL valide pendant 3650 jours (10 ans). Pour ce tutoriel, vous laissez la valeur par défaut de 3650 jours et appuyez sur Entrée pour continuer.

13. Le script générera un certificat SSL auto-signé pour Metasploit. Tapez y pour approuver le certificat et appuyez sur Entrée pour continuer.

14. Enfin, tapez Y et appuyez sur Entrée pour lancer le processus d'installation de Metasploit.

15. Attendez que l'installation soit terminée. Une fois l'installation terminée, vous verrez un message indiquant d'aller sur https://localhost:3790 à partir de votre navigateur Web pour accéder à l'interface utilisateur Web. Vous avez installé avec succès Metasploit sur votre système Ubuntu.

16. Ouvrez un navigateur Web et accédez à https://localhost:3790 pour charger l'interface Web Metasploit.

17. Pour accéder à la console Metasploit à partir de la ligne de commande, exécutez la commande ci-dessous.

msfconsole

Installer Metasploit à partir de la source

Pourquoi voudriez-vous compiler et installer Metasploit à partir de la source ? Peut-être que vous voulez les dernières fonctionnalités qui n'ont pas encore été publiées dans le script shell. Ou peut-être développez-vous un nouveau module pour Metasploit et avez-vous besoin de le tester.

Mais, cette méthode nécessite de télécharger et de compiler manuellement le code source, ce qui peut être un peu fastidieux. Suivez les étapes ci-dessous pour compiler et installer Metasploit à partir de la source sur votre système Ubuntu.

1. Exécutez la commande apt ci-dessous pour mettre à jour votre liste de packages afin de vous assurer que vous disposez des dernières versions.

apt update -y

2. Installez toutes les dépendances requises pour créer et installer Metasploit.

apt install gpgv2 autoconf bison build-essential postgresql libaprutil1 libgmp3-dev libpcap-dev openssl libpq-dev libreadline6-dev libsqlite3-dev libssl-dev locate libsvn1 libtool libxml2 libxml2-dev libxslt-dev wget libyaml-dev ncurses-dev  postgresql-contrib xsel zlib1g zlib1g-dev -y

3. Ensuite, téléchargez le code source Metasploit en exécutant la commande suivante. Cette commande enregistre le code source de Metasploit dans un fichier nommé msfinstall dans votre répertoire de travail actuel.

curl https://raw.githubusercontent.com/rapid7/metasploit-omnibus/master/config/templates/metasploit-framework-wrappers/msfupdate.erb > msfinstall

4. Répertoriez le fichier pour confirmer que vous l'avez téléchargé avec succès.

ls -la msfinstall

5. Avant de pouvoir exécuter et compiler le code source, vous devez vous assurer que msfinstall est exécutable.

chmod 755 msfinstall

6. Enfin, exécutez le code pour démarrer l'installation de Metasploit.

./msfinstall

Le processus d'installation peut durer plusieurs minutes, selon les ressources de votre système.

7. Accédez à la console Metasploit et commencez à l'utiliser.

msfconsole

Installation de Metasploit sur Ubuntu à l'aide du package Deb

La raison d'utiliser un package deb est que vous pouvez l'installer hors ligne. Vous n'avez pas besoin d'une connexion Internet active pour installer Metasploit.

Un paquet deb est un fichier archive contenant tous les fichiers requis pour installer une application logicielle sur des systèmes basés sur Debian. Un paquet deb est un fichier d'installation de logiciel, semblable à un exécutable (exe ) fichier sous Windows.

Connexe :Guide complet d'installation des packages Deb sur Ubuntu

Suivez les étapes ci-dessous pour installer Metasploit sur votre système Ubuntu à l'aide d'un package deb.

1. Téléchargez le fichier deb de Metasploit depuis la page de téléchargement de Metasploit.

wget https://apt.metasploit.com/pool/main/m/metasploit-framework/metasploit-framework_6.2.8%2B20220720103055~1rapid7-1_amd64.deb

2. Répertoriez le contenu du répertoire de travail actuel pour vous assurer que vous avez téléchargé le fichier avec succès.

3. Exécutez la commande dpkg -I pour afficher des informations sur le fichier deb.

dpkg -I metasploit-framework_6.2.8+20220720103055~1rapid7-1_amd64.deb

4. Enfin, installez Metasploit à l'aide de la commande dpkg -i.

dpkg -i metasploit-framework_6.2.8+20220720103055~1rapid7-1_amd64.deb

5. Accédez à la console Metasploit et commencez à l'utiliser.

msfconsole

Recherche de vulnérabilités

Maintenant que vous avez installé Metasploit sur votre système Ubuntu, il est temps d'effectuer une analyse. Une analyse Metasploit a deux types :les analyses de réseau et les analyses d'hôte.

Une analyse du réseau identifie les hôtes disponibles sur un réseau. Ce type d'analyse est utile lors de la réalisation d'un test d'intrusion sur un réseau pour identifier les systèmes disponibles pour d'autres attaques.

D'autre part, une analyse d'hôte identifie les services exécutés sur un hôte. Ce type d'analyse est utile lorsque vous souhaitez identifier les vulnérabilités d'un système.

Suivez les étapes ci-dessous pour exécuter une analyse de vulnérabilité avec Metasploit.

1. Démarrez le service PostgreSQL. Metasploit enregistre toutes les données qu'il collecte dans une base de données. Par défaut, Metasploit utilise la base de données PostgreSQL.

systemctl start postgresql

2. Exécutez la commande ci-dessous en tant qu'utilisateur non root pour initialiser une nouvelle base de données pour Metasploit.

msfdb init

3. Accédez à la console Metasploit.

msfconsole

4. Vérifiez la connexion à la base de données. Metasploit utilise la commande db_status pour vérifier la connexion à la base de données.

db_status

Vous verrez la sortie suivante.

5. Chargez le module msfcrawler. Le module msfcrawler permet d'explorer des sites Web pour trouver des vulnérabilités dans les applications Web.

use auxiliary/scanner/http/crawler

6. Réglez les paramètres RHOST et RPORT. Le paramètre RHOST représente l'hôte cible et le paramètre RPORT représente le numéro de port. Dans ce cas, vous scannerez l'hôte local sur le port 9000.

set RHOST localhost
set RPORT 9000

7. Exécutez la commande ci-dessous pour démarrer le robot. Le robot d'exploration commencera à analyser l'hôte et le port cibles. Ce processus peut prendre plusieurs minutes, selon la taille du site Web.

run

8. Ensuite, chargez le module WMAP. Ce module analyse les applications Web à la recherche de vulnérabilités.

9. Exécutez la commande wmap_sites -a localhost:9000 pour ajouter l'hôte et le port cible à la liste d'analyse.

wmap_sites -a localhost:9000

10. Répertoriez tous les hôtes et ports cibles disponibles.

wmap_sites -l

11. Enfin, sélectionnez un hôte cible et lancez l'analyse.

wmap_targets -t 127.0.0.1:9000
wmap_run -e

Attendez que l'analyse se termine. Ce processus peut durer des heures, selon la taille du site Web. Cet exemple prend plus de deux heures.

12. Une fois l'analyse terminée, affichez les résultats en exécutant la commande ci-dessous.

vulns

Comme vous pouvez le voir, l'analyse n'a trouvé aucune vulnérabilité puisque vous analysez un hôte local sans applications Web. Dans des scénarios réels, vous obtiendrez beaucoup plus de résultats.

CONSEIL :Vous pouvez utiliser grep ou des commandes Linux telles que less, tail, cat. etc., pour filtrer la sortie.

Conclusion

Dans cet article, vous avez appris comment installer Metasploit sur Ubuntu et comment l'utiliser pour trouver des vulnérabilités dans une application Web. Metasploit est un outil puissant qui peut être utilisé à de nombreuses fins différentes. Maintenant que vous connaissez les bases, vous pouvez commencer à explorer toutes ses fonctionnalités.

Avec ces nouvelles connaissances, pourquoi ne pas commencer à effectuer des tests d'intrusion sur vos propres systèmes ou sur des systèmes appartenant à vos clients ? N'oubliez pas de toujours obtenir la permission avant de commencer un test d'intrusion. Sinon, vous pourriez enfreindre la loi.


Linux

  1. Comment installer R sur Ubuntu 20.04

  2. Comment installer R sur Ubuntu 16.04

  3. Comment installer Go sur Ubuntu 18.04

  4. Comment installer R sur Ubuntu 18.04

  5. Comment installer Gulp.js sur Ubuntu 20.04

Comment installer Webmin sur Ubuntu 18.04

Comment installer Java sur Ubuntu 18.04

Comment installer MariaDB sur Ubuntu

Comment installer Node.js sur Ubuntu 14.04

Comment installer Apache sur Ubuntu 20.04

Comment installer WordPress Ubuntu 20.04