NeosLab.com
Metasploit

Comment Utiliser Metasploit pour Débutants

Metasploit est l’un des outils des plus puissants outils d’exploit. La plupart de ses ressources peuvent être trouvées sur le site Web de Metasploit. Il existe deux versions: commerciale et gratuite. Il n’y a pas de différences majeures entre les deux versions. Dans ce tutoriel, nous utiliserons la version communautaire (gratuite) de Metasploit.

En tant que Hacker Éthique, vous utiliserez certainement “Kali Distribution” qui intègre la version communautaire de Metasploit ainsi que d’autres outils de hacking éthique. Mais si vous voulez installer Metasploit directement sur votre machine actuelle, vous pouvez facilement le faire sur des systèmes fonctionnant sous Linux, Windows ou Mac OS X.

La configuration matérielle requise pour installer Metasploit est:

  • 2 GHz+ processeur
  • 1 GB RAM disponible
  • 1 GB+ disponible d’espace disque

La plupart du temps Metasploit est utilisé à partir du terminal. Pour l’ouvrir, exécutez simplement la commande suivante:

$ msfconsole

Après le démarrage de Metasploit, vous verrez l’écran ci-dessous. Surligné en rouge est la version de Metasploit.


Exploits de Metasploit

Grâce à différentes scan de vulnérabilité, nous avons constaté que la machine Linux que nous avons testé a une faille de sécurité sur le service FTP. Nous allons donc utiliser l’exploit qui pourra nous permettre Maintenant, nous allons utiliser un exploit qui nous permettra peut-être de pénétrer le système via cette vulnérabilité. La commande est:

$ msf > use exploit/path

L’écran suivant apparaîtra:

Tapez ensuite msf > show options afin de voir quelle sont les paramètres à fournir dans le but de rendre notre exploit fonctionnel. Comme le montre la capture d’écran ci-dessous, nous aurons besoin de configurer RHOST comment étant notre “target IP”.

Nous allons maintenant taper msf > set RHOST 192.168.1.101 et msf > set RPORT 21

Puis ensuite, nous taperons msf > run. Si notre exploit réussi avec succès, cela nous ouvrira une session avec laquelle nous pourrons intéragir.

Payloads Metasploit

Payload, pour faire simple, sont des scripts que les hackers utilisent pour interagir avec un système. En utilisant les payloads, ils peuvent par exemple transférer des données à un système ciblé.

Il existe trois type de Payloads Metasploit:

  • Singles: Ce sont des tout petits scripts conçus généralement pour établir un communication entre l’attaquant et la machine ciblé, puis passer à l’étape suivante. Par exemple, pour créer un utilisateur.
  • Staged: C’est un payload qu’un attaquant peut utiliser pour télécharger un fichier plus volumineux sur un système ciblé.
  • Stages: Ce sont des composants de payloads qui sont téléchargés par les modules de type Stagers. Ce type de payloads fournissent des fonctionnalités avancées sans limites de taille telles que Meterpreter et VNC Injection.
Utilisation de Payload – Exemple

Nous utiliserons la commande show payloads. Avec un exploit précis, nous pourrons voir tous les payloads qui peuvent être utilisé, la colonne de droite nous indiquera exactement ce qui peut-être fait avec le payload comme par exemple charger / éxécuter un fichier sur un système ciblé.

Pour définir le payload que nous souhaitons utiliser, nous utiliserons la commande suivante:

$ msf > set PAYLOAD payload/path

Nous devrons définir l’IP de notre host ainsi que le port d’écoute (LHOST, LPORT) qui sont simplement l’IP de l’attaquant et le port. Nous définirons ensuite le host distant ainsi que le port (RPORT, LHOST) qui sont l’IP de la victime et son port.

Quand nous sommes enfin prêt, nous taperons simplement la commande “exploit” dans le but de créer une session si le système ciblé est vulnérable au type d’exploit que nous avons sélectionné.

Articles Similaires

Comment Installer Metasploit Framework sur Ubuntu 16.04 LTS et Debian 7

neoslab

Comment Créer un Payload Metasploit

neoslab

Laisser un commentaire

* By using this form you agree with the storage and handling of your data by this website.

Hey Wait!
Did you know ? You can build your Cyber security or IT career for FREE !
Make yourself happy, join our 8,000 members and receive FREE every day our latest tutorials and webinars to your mailbox!
Yes, Send it Over!
No Thanks!
close-link