Metasploitといえば、ペネトレーションテストのフレームワークで、OS・アプリケーション・Webサーバーなどのソフトウェアの脆弱性に対してexploit(攻撃実証)コードを作成・検証・実行可能にするフレームワークです。使い方を間違えると、かなり危険なMetasploitですが、セキュリティの重要性を再確認させてくれる非常に素晴らしいツールでもあります。今回はUbuntuにMetasploitをインストールすることを考えます。
では内容に入ります。
手順 -事前準備-
全体の流れを以下に示します。- 既存環境を最新状態に更新する。
- 必要なパッケージをインストールする。
- Rubyをインストールする。
- Nmapをインストールする。
- PostgreSQLを設定する。
1. 既存環境を最新状態に更新する。
Terminalを起動して以下のコマンドを実行し、システムを最新状態にしてください。sudo apt-get update sudo apt-get upgrade
2. 必要なパッケージをインストールする。
Metasploitで必要となるパッケージのインストールを行います。Terminalで以下のコマンドを実行してください。sudo apt-get install build-essential subversion libreadline-dev libssl-dev libpq5 libpq-dev libreadline5 libsqlite3-dev libpcap-dev openjdk-8-jre git-core autoconf postgresql pgadmin3 curl zlib1g-dev libxml2-dev libxslt1-dev vncviewer libyaml-dev curl zlib1g-dev※"openjdk-8-jre"の部分でエラーが出た場合、Terminalで以下のコマンドを実行してください。
sudo add-apt-repository ppa:openjdk-r/ppa sudo apt-get update sudo apt-get install openjdk-8-jre
3. Rubyをインストールする。
Metasploitはv3以降Rubyで書かれているので、Rubyをインストールしなければ利用できません。そこでrbenvでRubyをインストールします。rbenvには、複数のversionのRubyを切り替えて利用できるという利点があります。Terminalで以下のコマンドを実行してください。cd ~ git clone git://github.com/sstephenson/rbenv.git .rbenv echo 'export PATH="$HOME/.rbenv/bin:$PATH"' >> ~/.bashrc echo 'eval "$(rbenv init -)"' >> ~/.bashrc exec $SHELL git clone git://github.com/sstephenson/ruby-build.git ~/.rbenv/plugins/ruby-build echo 'export PATH="$HOME/.rbenv/plugins/ruby-build/bin:$PATH"' >> ~/.bashrc git clone git://github.com/dcarley/rbenv-sudo.git ~/.rbenv/plugins/rbenv-sudo exec $SHELL rbenv install 2.1.6 rbenv global 2.1.6 ruby -v
4. Nmapをインストールする。
Metasploitには、例えばネットワークスキャニングを行ったりする機能がありますが、Metasploitではなく外部ツールを用いて行っています。しかし、Metasploitには、標準ではこのような外部ツールが含まれていません。そこで、Nmapというネットワークスキャナーをインストールします。Terminalで以下のコマンドを実行してください。mkdir Development cd Development/ svn co https://svn.nmap.org/nmap cd nmap/ ./configure make sudo make install make clean
5. PostgreSQLを設定する。
PostgreSQLはデータベース構築用のアプリケーションです。Terminalで以下のコマンドを実行してください。sudo -s su postgres以下でユーザーとMetasploitで用いるデータベースを作成します。Terminalで以下のコマンドを実行してください。
createuser msf -P -S -R -D createdb -O msf msf exit exit一行目を実行すると"Enter password for new role:"と出るので、各自お好みでパスワードを入力してください。その後"Enter it again:"と出るので、先ほど入力したパスワードを再度入力して下さい。
手順 -インストール-
ここまでの作業が終了したら、Metasploit Frameworkをインストールしましょう。GitHubからMerasploit Frameworkの最新版を取得します。Terminalで以下のコマンドを実行してください。インストールの完了には少し時間がかかります。cd /opt/ sudo git clone https://github.com/rapid7/metasploit-framework.git sudo chown -R `whoami` /opt/metasploit-framework cd metasploit-framework gem install bundler bundle install sudo bash -c 'for MSF in $(ls msf*); do ln -s /opt/metasploit-framework/$MSF /usr/local/bin/$MSF;done'Metasploitデータベースを設定する。
Terminalで以下のコマンドを実行してください。
sudo gedit /opt/metasploit-framework/config/database.ymldatabase.ymlを開いたら、ファイル内に
production: adapter: postgresql database: msf username: msf password: ******** host: 127.0.0.1 port: 5432 pool: 75 timeout: 5を記述してください。passwordの"********"の部分を消し、先ほど作成したPostgreSQLのmsfユーザーのパスワードを入力してください。最後にPATHを設定し、設定を反映させます。Terminalで以下のコマンドを実行してください。これが完了すればインストールの全工程完了です。
sudo sh -c "echo export MSF_DATABASE_CONFIG=/opt/metasploit-framework/config/database.yml >> /etc/profile" source /etc/profile
Metasploitを起動する
インストールが完了したら、実際にMetasploitを起動してみましょう。初回起動の際は少々時間を要します。Terminalで以下のコマンドを実行してください。msfconsole以下の図のように"msf >"というプロンプトが表示されれば成功です。
また、データベースへの接続も確認しておきます。"msf >"の行で以下のコマンドを実行してください。以下の図のように"[*] postgresql connected to msf"と表示されれば成功です。
db_status
metasploitを終了するときは"exit"と入力すれば閉じます。
0 コメント:
コメントを投稿