Ubuntu 14.04 LTSにMetasploitをインストール


Metasploitといえば、ペネトレーションテストのフレームワークで、OS・アプリケーション・Webサーバーなどのソフトウェアの脆弱性に対してexploit(攻撃実証)コードを作成・検証・実行可能にするフレームワークです。使い方を間違えると、かなり危険なMetasploitですが、セキュリティの重要性を再確認させてくれる非常に素晴らしいツールでもあります。今回はUbuntuにMetasploitをインストールすることを考えます。


では内容に入ります。

手順 -事前準備-

全体の流れを以下に示します。
  1. 既存環境を最新状態に更新する。
  2. 必要なパッケージをインストールする。
  3. Rubyをインストールする。
  4. Nmapをインストールする。
  5. PostgreSQLを設定する。
では、まずこれらを行っていきます。

1. 既存環境を最新状態に更新する。

Terminalを起動して以下のコマンドを実行し、システムを最新状態にしてください。
sudo apt-get update
sudo apt-get upgrade

2. 必要なパッケージをインストールする。

Metasploitで必要となるパッケージのインストールを行います。Terminalで以下のコマンドを実行してください。
sudo apt-get install build-essential subversion libreadline-dev libssl-dev libpq5 libpq-dev libreadline5 libsqlite3-dev libpcap-dev openjdk-8-jre git-core autoconf postgresql pgadmin3 curl zlib1g-dev libxml2-dev libxslt1-dev vncviewer libyaml-dev curl zlib1g-dev
※"openjdk-8-jre"の部分でエラーが出た場合、Terminalで以下のコマンドを実行してください。
sudo add-apt-repository ppa:openjdk-r/ppa
sudo apt-get update
sudo apt-get install openjdk-8-jre

3. Rubyをインストールする。

Metasploitはv3以降Rubyで書かれているので、Rubyをインストールしなければ利用できません。そこでrbenvでRubyをインストールします。rbenvには、複数のversionのRubyを切り替えて利用できるという利点があります。Terminalで以下のコマンドを実行してください。
cd ~
git clone git://github.com/sstephenson/rbenv.git .rbenv
echo 'export PATH="$HOME/.rbenv/bin:$PATH"' >> ~/.bashrc
echo 'eval "$(rbenv init -)"' >> ~/.bashrc
exec $SHELL
git clone git://github.com/sstephenson/ruby-build.git ~/.rbenv/plugins/ruby-build
echo 'export PATH="$HOME/.rbenv/plugins/ruby-build/bin:$PATH"' >> ~/.bashrc
git clone git://github.com/dcarley/rbenv-sudo.git ~/.rbenv/plugins/rbenv-sudo
exec $SHELL
rbenv install 2.1.6
rbenv global 2.1.6
ruby -v

4. Nmapをインストールする。

Metasploitには、例えばネットワークスキャニングを行ったりする機能がありますが、Metasploitではなく外部ツールを用いて行っています。しかし、Metasploitには、標準ではこのような外部ツールが含まれていません。そこで、Nmapというネットワークスキャナーをインストールします。Terminalで以下のコマンドを実行してください。
mkdir Development
cd Development/
svn co https://svn.nmap.org/nmap
cd nmap/
./configure
make
sudo make install
make clean

5. PostgreSQLを設定する。

PostgreSQLはデータベース構築用のアプリケーションです。Terminalで以下のコマンドを実行してください。
sudo -s
su postgres
以下でユーザーとMetasploitで用いるデータベースを作成します。Terminalで以下のコマンドを実行してください。
createuser msf -P -S -R -D
createdb -O msf msf
exit
exit
一行目を実行すると"Enter password for new role:"と出るので、各自お好みでパスワードを入力してください。その後"Enter it again:"と出るので、先ほど入力したパスワードを再度入力して下さい。

手順 -インストール-

ここまでの作業が終了したら、Metasploit Frameworkをインストールしましょう。GitHubからMerasploit Frameworkの最新版を取得します。Terminalで以下のコマンドを実行してください。インストールの完了には少し時間がかかります。
cd /opt/
sudo git clone https://github.com/rapid7/metasploit-framework.git
sudo chown -R `whoami` /opt/metasploit-framework
cd metasploit-framework
gem install bundler
bundle install
sudo bash -c 'for MSF in $(ls msf*); do ln -s /opt/metasploit-framework/$MSF /usr/local/bin/$MSF;done'
Metasploitデータベースを設定する。
Terminalで以下のコマンドを実行してください。
sudo gedit /opt/metasploit-framework/config/database.yml
database.ymlを開いたら、ファイル内に
production:
 adapter: postgresql
 database: msf
 username: msf
 password: ********
 host: 127.0.0.1
 port: 5432
 pool: 75
 timeout: 5
を記述してください。passwordの"********"の部分を消し、先ほど作成したPostgreSQLのmsfユーザーのパスワードを入力してください。最後にPATHを設定し、設定を反映させます。Terminalで以下のコマンドを実行してください。これが完了すればインストールの全工程完了です。
sudo sh -c "echo export MSF_DATABASE_CONFIG=/opt/metasploit-framework/config/database.yml >> /etc/profile"
source /etc/profile

Metasploitを起動する

インストールが完了したら、実際にMetasploitを起動してみましょう。初回起動の際は少々時間を要します。Terminalで以下のコマンドを実行してください。
msfconsole
以下の図のように"msf >"というプロンプトが表示されれば成功です。


また、データベースへの接続も確認しておきます。"msf >"の行で以下のコマンドを実行してください。以下の図のように"[*] postgresql connected to msf"と表示されれば成功です。
db_status


metasploitを終了するときは"exit"と入力すれば閉じます。

以上。

SHARE
Blogger Comment

0 コメント:

コメントを投稿