Metasploit Framework: Pentesting und Schwachstellen-Analyse

Tool-Tipp 31: Metasploit Framework Einfacher Einstieg ins Pentesting mit Metasploit

07.05.2024 Von Thomas Joos 4 min Lesedauer

Anbieter zum Thema

Metasploit ist ein mächtiges Framework, mit dem Admins ihr Netzwerk auf Schwachstellen überprüfen und auf Basis der gefundenen Informationen auch schließen können. Ein Vorteil ist dabei auch die Erweiterbarkeit und einfachen Bedienung. Wir zeigen die Möglichkeiten des Frameworks in diesem Tool-Tipp.

In diesem Tool-Tipp zeigen wir, wie der Einstig in die Nutzung des Metasploit Framework zum Pentesting im eigenen Netzwerk einfach klappt.
(Bild: MrPanya - stock.adobe.com)

Für das Pentesting im eigenen Netzwerk ist das Metasploit Framework von Rapid7 ein interessantes und sehr mächtiges Werkzeug. Das Tool enthält eine umfassende Datenbank von Schwachstellen und Exploits, inklusive Payloads und den dazugehörigen Scannern, um die Lücken zu testen und aktiv anzugreifen. Zusammen mit Nmap ergibt sich eine umfassende Möglichkeit für das Pentesting im Netzwerk, und das vollkommen kostenlos.

In diesem Tool-Tipp-Video und der Bildergalerie zeigen wir, wie der Einstig in die Nutzung des Metasploit Framework klappt.

Bildergalerie

Metasploit-Framework im Terminal von Kali starten. Die Verwendung von Metasploit erfolgt in der Metasploit-Konsole.

Suchen von Exploits, Auxiliarys und Payloads in Metasploit.

Aktivieren der Verwendung eines ausgewählten Auxiliarys für das Scannen eines Ziels.

Anzeigen der Optionen für ein ausgewähltes Auxiliarys. Diese müssen vor einem Test konfiguriert werden.

Bildergalerie mit 7 Bildern

Wir haben bereits in einem eigenen Beitrag, inklusive Video, die Kombination von Metasploit mit Nmap gezeigt. In vielen Fällen kommt Metasploit zusammen mit anderen Tools zum Einsatz, vor allem mit Portscannern. Die Kombination von Metasploit und Nmap ist hier besonders interessant, auch durch die Erweiterbarkeit von beiden Lösungen.

Im folgenden Text und dem dazugehörigen Video zeigen wir im Schwerpunkt die Verwendung von Metasploit. Besonders einfach ist die Verwendung mit Kali-Linux, da hier Metasploit bereits installiert und eingerichtet ist. Dazu kommt, dass in Kali auch andere Tools bereits vorinstalliert sind, die optimal mit Metasploit zusammenarbeiten, zum Beispiel Nmap.

Erste Schritte mit Metasploit: Auxiliarys, Exploits und Payloads verstehen

Nach der Anmeldung an Kali, kann die Metasploit-Konsole im Terminal durch Eingabe von „msfconsole“ gestartet werden. Danach steht die Oberfläche zur Verfügung. Metasploit ist modular aufgebaut. Die verschiedenen Module stehen im Terminal zur Verfügung. Dabei handelt es sich um Auxiliarys, Exploits und Payloads. Mit „options“ lassen sich verschiedene Einstellungen von Metasploit anzeigen und mit „set <Option><Wert>“ ändern. Der aktuelle Wert für die jeweilige Option ist bei „Current Setting“ zu erkennen.

Die Burp Suite ist eine Sammlung von Netzwerkanalyse-Tools, mit denen Administratoren Webanwendungen und Cloud-Dienste auf Sicherheitslücken testen können. (Bild: freshidea - stock.adobe.com)

BurpGPT stellt im Betrieb eine Verbindung zwischen der Burp Suite und dem OpenAI-API her und nutzt dann die angebotenen Dienste, wie beispielsweise GPT-4, um die in Penetrationstests mit der Burp Suite gesammelten Daten zu analysieren. (Bild: Siarhei - stock.adobe.com)

Auxiliarys sind Scanner, die erkennen welche Dienste auf einem Zielsystem laufen und ob es für diese Dienste bekannte Schwachstellen gibt. Mit Exploits ist es möglich aktiv unsichere Systeme anzugreifen, die zuvor über die Auxiliarys-Scanner identifiziert wurden. Schlussendlich können Payloads die Exploits aktiv nutzen, um Code auf den angegriffenen Geräten auszuführen. Klar ist, dass diese Angriffe nur um eigenen Netzwerk stattfinden dürfen und mit den Verantwortlichen Abgesprochen sein müssen. Der Befehl „show auxiliary“ zeigt die verschiedenen Auxiliarys an, die im System verfügbar sind. Die Ausgabe zeigt das Verzeichnis des Moduls und eine Beschreibung, die hinter dem Scan/Test steht.

Um ausführlichere Informationen zu einem Auxiliary anzuzeigen kann der Befehl „info <Pfad zum Auxiliary> verwendet werden, wie er der in der Ausgabe zu sehen ist. Das Kopieren oder Einfügen des Pfades kann über das Kontextmenü erfolgen, oder durch die Autovervollständigung des Pfades mit der Tabulator-Taste. Anschließend zeigt die Konsole an, welche Optionen zur Verfügung stehen. Diese sind bei „Basic options“ zu finden. Die Standardeinstellung zeigt die Konsole bei „Current Setting“ an. Um diese zu ändern, wird das Modul mit „use“ ausgewählt. Danach können die Einstellungen mit „set <Option><Wert>“ angepasst werden (siehe unten am Beispiel RHOSTS).

Bei Payloads unterscheidet Metasploit zwischen Staged und Non-Staged. Bei Staged-Payloads wird ein kleiner Teil des Angriffcodes verwendet. Dieser Code löst eine Verbindung vom Ziel zu Metasploit aus, um weitere Daten nachzuladen. Mit Non-Staged-Payloads wird der komplette Code des Payloads zum Ziel übertragen. Die Unterschiede sind oft am Namen der Payloads zu sehen.

In diesem Tool-Tipp-Video und der Bildergalerie zeigen wir, wie der Einstig in die Nutzung des Metasploit Framework klappt.

Bildergalerie

Bildergalerie mit 7 Bildern

Nach Auxiliarys, Exploits und Payloads suchen und Systeme auf Schwachstellen testen

Mit dem Befehl „search“ kann in der Metasploit-Konsole nach Auxiliarys und Exploits gesucht werden, zum Beispiel mit „search ms17“ nach einer Lücke in Windows (siehe „Pentesting mit Metasploit und Nmap“). Mit Nmap suchen Admins daher im Netzwerk nach Schwachstellen und offenen Ports auf Geräten. Danach wird mit Metasploit überprüft, ob die Ports angreifbar sind.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Geschäftliche E-Mail

Bitte geben Sie eine gültige E-Mailadresse ein.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Stand vom 30.10.2020

Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.

Einwilligung in die Verwendung von Daten zu Werbezwecken

Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.

Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.

Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.

Recht auf Widerruf

Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://support.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.

Wurde ein passender Eintrag bei den Auxiliaries oder Exploits gefunden, kann dieser mit „use <Nummer aus der Liste>“ ausgewählt werden. Nach der Auswahl eines Exploits zeigt Metasploit mit „show payloads“ die jeweiligen Payloads an, die für einen Exploit zur Verfügung stehen. Mit „set“ wird wiederum der Payload ausgewählt. Danach kann mit „show options“ festgelegt werden, wie der Test/Angriff erfolgen soll. Wichtig ist hier auch die Angabe des Ziels mit der Option rhost. Im verlinkten Beitrag ist das in einem weiteren Beispiel ebenfalls zu sehen. Das Festlegen des Ziels erfolgt zum Beispiel mit „set RHOSTS 10.0.1.9“. Anschließend startet der Test mit „run“ und zeigt das Ergebnis des Angriffs/Tests an. Der Befehl „show options“ zeigt den neuen Wert an, in diesem Beispiel die IP-Adresse 10.0.1.9. Hier können auf dem gleichen Weg auch die anderen Optionen geändert werden.

Die Open Source Pentest-Tools Legion, sqlmap, Zed Attack Proxy, OpenSCAP, Karkinos und Scapy helfen Admins bei der Schwachstellensuche. (Bild: Nmedia - stock.adobe.com)

Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)

(ID:49987751)