¿Qué es Metasploit?
Se me hace raro estar en un foro como este y no hablar de una de las herramientas de pentesting por excelencia, Metasploit 🙂
Dada la extensión de la herramienta, vamos a tratar de ocupar varias entradas hablando del potencial que tiene.
Rara es la vez que hablando de ciberseguridad no se cite Metasploit. Esta es una herramienta orientada al pentesting en la que predomina su enorme potencial. Es posible que la curva de aprendizaje para su uso no sea de las más sencillas, pero una vez que se dominan los conceptos básicos y las diferentes opciones, no resulta complicado.
¿Y qué se puede hacer? Principalmente explotación de sistemas y/o vulnerabilidades, pero se extiende también con la posibilidad de realizar escaneos, identificar vulnerabilidades, escalada de privilegios, fuzzing, etc.
Interfaces disponibles
Metasploit lo podemos utilizar de tres diferentes formas, desde msfconsole, armitage y web console.
La más conocida y en la que nos centraremos en este foro es msfconsole, desde donde vamos a poder hacer uso de toda la herramienta desde linea de comandos. De esta forma, vamos a disponer de un conjunto amplio de comandos desde donde acceder a todas las opciones disponibles.
Armitage es el entorno gráfico de Metasploit. Trata el conjunto de opciones de Metasploit desde un entorno sencillo de administrar. Sinceramente, veo Armitage como una manera de adentrarse en la herramienta pero no una vía de explotación si se tiene un poco de experiencia.
Por último, la consola web permite realizar una monitorización de un test de intrusión de forma remota sin la necesidad de disponer del framework localmente instalado. Desde esta plataforma es posible realizar casi todas las opciones de Metasploit.
Destacar que esta vía de explotación de Metasploit unicamente está disponible en la versión de pago “Pro”, y no en la gratuita.
Instalación
Siendo sinceros, muy pocas veces he tenido que instalar Metasploit, casi siempre lo he lanzado desde una máquina Kali donde ya está configurado y preparadito para jugar.
Aun así, si se quiere instalar, necesitaremos realizar la ejecución de los siguiente pasos:
$ sudo apt-get update
$ sudo apt install curl
$ curl https://raw.githubusercontent.com/rapid7/metasploit-omnibus/master/config/templates/metasploit-framework-wrappers/msfupdate.erb > msfinstall && chmod 755 msfinstall && ./msfinstall
Primeros pasos
Como comentabamos, nos centraremos en msfconsole desde un entorno Linux (en este caso, Kali Linux).
Para iniciar la herramienta, simplemente abrimos un terminal y ejecutamos,
# msfconsole
Vamos a ver un mensaje de bienvenida y un “prompt” donde insertar instrucciones. Aquí es donde empieza el juego 😉
Comandos de ayuda
Comandos de interacción
Comandos de base de datos