Pengujian penetrasi memungkinkan Anda menjawab pertanyaan tentang bagaimana seseorang dengan niat jahat dapat merusak jaringan Anda. Dengan menggunakan alat pengujian penetrasi, peretas topi putih dan profesional keamanan dapat, pada setiap tahap pengembangan atau penerapan, memeriksa jaringan dan aplikasi untuk menemukan kekurangan dan kerentanan dengan membahayakan sistem.
Salah satu alat pentesting tersebut adalah proyek Metasploit. Dibangun di Ruby, kerangka kerja sumber terbuka ini memungkinkan Anda menguji menggunakan baris perintah atau GUI. Ini dapat diperpanjang dengan membuat add-in multibahasa Anda sendiri.
Apa itu Kerangka Metasploit dan bagaimana cara menggunakannya?
Kerangka Metasploit adalah alat canggih yang dapat digunakan oleh penjahat dunia maya, peretas topi putih, dan spesialis penetrasi untuk menyelidiki kerentanan jaringan dan server. Karena ini adalah kerangka kerja sumber terbuka, ini dapat dengan mudah dikonfigurasi dan digunakan pada kebanyakan sistem operasi.
Dengan Metasploit, pentester dapat menggunakan off-the-shelf atau membuat kode khusus dan memasukkannya ke web untuk menemukan kelemahan. Sebagai cara lain untuk menemukan ancaman , setelah mengidentifikasi dan mendokumentasikan celah, informasi ini dapat digunakan untuk mengatasi celah sistem dan memprioritaskan solusi.
Sejarah singkat Metasploit
Proyek Metasploit dibuat di Perl pada tahun 2003 oleh HD Moore dengan bantuan pengembang utama Matt Miller untuk digunakan sebagai alat jaringan portabel. Ini sepenuhnya diterjemahkan ke dalam Ruby pada tahun 2007 dan dilisensikan pada tahun 2009 oleh Rapid7, dan sekarang alat tersebut tetap menjadi bagian dari portofolio perusahaan yang berbasis di Boston ini yang berspesialisasi dalam sistem deteksi intrusi dan alat eksploitasi kerentanan akses jarak jauh.
Sebagian dari alat-alat lain ini ditemukan di lingkungan Metasploit, yang dibangun ke dalam OS Kali Linux. Rapid7 juga telah mengembangkan dua alat OpenCore berpemilik: Metasploit Pro dan Metasploit Express.
Kerangka kerja ini telah menjadi alat utama untuk mengembangkan eksploitasi dan memulihkan kerentanan. Sebelum Metasploit, penguji pena harus melakukan semua pemeriksaan secara manual, menggunakan berbagai alat yang mungkin mendukung atau tidak mendukung platform yang diuji, serta secara manual menulis kode mereka sendiri dan menerapkannya di jaringan. Pengujian jarak jauh adalah sesuatu yang luar biasa, dan membatasi pekerjaan spesialis keamanan di wilayah mereka sendiri dan perusahaan lokal, dan organisasi harus menghabiskan banyak uang untuk konsultan TI atau spesialis keamanan mereka sendiri.
Siapa yang menggunakan Metasploit?
Dengan berbagai kegunaannya dan kode sumber terbuka yang tersedia, Metasploit digunakan oleh berbagai macam orang, mulai dari profesional keamanan siber hingga peretas . Metasploit berguna bagi siapa saja yang mencari alat yang mudah dipasang dan andal yang menyelesaikan pekerjaan terlepas dari platform atau bahasanya. Perangkat lunak ini populer di kalangan peretas dan tersedia secara luas, yang memotivasi profesional keamanan untuk mempelajari platform Metasploit bahkan jika mereka tidak menggunakannya sendiri.
Versi modern Metasploit berisi lebih dari 1677 exploit untuk lebih dari 25 platform, termasuk Android, PHP, Python, Java, Cisco, dan lainnya. Kerangka ini juga berisi sekitar 500 konten ("payload"), di antaranya Anda akan menemukan:
- β .
- β .
- Meterpreter β , , .
- β .
Metasploit
Setelah menginstal Metasploit, yang perlu Anda lakukan hanyalah mendapatkan informasi target, baik dengan memindai porta, mengambil sidik jari digital dari sistem operasi, atau menggunakan pemindai kerentanan untuk menemukan cara menyusup ke jaringan. Kemudian yang tersisa hanyalah memilih exploit dan payload. Dalam konteks ini, eksploitasi adalah cara untuk mengidentifikasi kelemahan dalam jaringan atau sistem Anda dan mengeksploitasi kerentanan tersebut untuk mendapatkan akses.
Platform terdiri dari berbagai model dan antarmuka yang meliputi: msfconsole berdasarkan pustaka kutukan, msfcli untuk semua fungsi msf dari terminal atau baris perintah, ArmitagAdalah alat Java GUI yang digunakan untuk berintegrasi dengan MSF, serta antarmuka web komunitas Metasploit yang mendukung pengujian penetrasi jarak jauh.
Peretas kulit putih dan penguji penetrasi yang mencoba mengidentifikasi kerentanan atau belajar dari serangan penjahat dunia maya harus memahami bahwa penjahat dunia maya tidak mengiklankan tindakan mereka. Penjahat dunia maya diam-diam dan suka bekerja melalui terowongan VPN, sehingga menutupi alamat IP mereka , dan banyak dari mereka menggunakan server virtual khusus untuk menghindari gangguan yang biasanya dialami oleh banyak penyedia hosting bersama . Kedua alat privasi ini juga akan berguna bagi peretas topi putih yang ingin memasuki dunia eksploitasi dan pengujian penetrasi dengan Metasploit.
Seperti yang disebutkan di atas, Metasploit memberi Anda exploit, payload, fungsi helper, encoder, interseptor, shellcode, serta kode pasca-eksploitasi dan NOP.
Anda bisa mendapatkan Sertifikasi Pro Metasploit online untuk menjadi Pentester Bersertifikat. Nilai kelulusan untuk sertifikasi adalah 80%, dan ujian memakan waktu sekitar dua jam dan diperbolehkan menggunakan buku referensi. Biayanya $ 195, dan setelah berhasil menyelesaikan Anda dapat mencetak sertifikat Anda.
Direkomendasikan agar Anda menyelesaikan kursus pelatihan Metasploit dan memiliki pengetahuan profesional atau pekerjaan di bidang-bidang berikut sebelum ujian :
- OS Windows dan Linux;
- protokol jaringan;
- sistem manajemen kerentanan;
- konsep dasar pentest.
Memperoleh sertifikasi ini adalah pencapaian yang diinginkan bagi siapa pun yang ingin menjadi pentester laris atau analis keamanan siber.
Cara menginstal Metasploit
Metasploit tersedia sebagai penginstal open source yang dapat diunduh dari situs web Rapid7. Persyaratan sistem minimum mencakup versi terbaru browser Chrome, Firefox atau Explorer, dan
Sistem operasi:
- Ubuntu Linux 14.04 LTS dan 16.04 (disarankan) ;
- Windows Server 2008 atau 2012 R2
- Windows 7 SP1 +, 8.1 atau 10;
- Red Hat Enterprise Linux Server 5.10, 6.5, 7.1, atau yang lebih baru.
Peralatan
- Prosesor 2 GHz;
- setidaknya 4 GB RAM (disarankan 8 GB);
- setidaknya 1 GB ruang disk (disarankan 50 GB).
Sebelum menginstal, Anda perlu menonaktifkan semua program antivirus dan firewall di perangkat Anda dan mendapatkan hak administrator . Penginstal adalah modul berdiri sendiri yang dikonfigurasi saat platform diinstal. Anda juga memiliki opsi penginstalan manual jika Anda ingin menyesuaikan objek dependen dengan cara Anda sendiri.
Pengguna Kali Linux sudah memiliki Metasploit Pro yang dibundel dengan OS mereka. Untuk pengguna Windows, penginstalan akan dilakukan melalui wizard InstallShield.
Setelah instalasi, saat startup, Anda akan dihadapkan pada pilihan berikut:
- membuat database di /Users/joesmith/.msf4/db;
- memulai Postgresql;
- membuat pengguna database;
- membuat skema database awal.
Belajar Menggunakan Metasploit: Tip
Kemudahan mempelajari Metasploit bergantung pada pengetahuan Anda tentang Ruby . Namun, jika Anda terbiasa dengan bahasa skrip dan pemrograman lain, seperti Python, transisi ke Metasploit itu mudah. Jika tidak, ini adalah bahasa intuitif yang mudah dipelajari dalam praktiknya.
Karena alat ini mengharuskan Anda untuk menonaktifkan pertahanan Anda sendiri dan menghasilkan kode berbahaya, Anda harus waspada terhadap potensi risikonya . Jika memungkinkan, instal program ini pada sistem terpisah dan bukan pada perangkat pribadi atau komputer Anda yang berisi informasi yang mungkin bersifat rahasia atau memiliki akses ke informasi tersebut. Saat Anda menembus Metasploit, Anda harus menggunakan perangkat yang berfungsi terpisah.
Mengapa mempelajari Metasploit
Platform ini adalah suatu keharusan bagi analis keamanan atau pentester. Ini adalah alat penting untuk menemukan kerentanan tersembunyi menggunakan berbagai alat dan utilitas. Metasploit memungkinkan Anda menempatkan diri Anda pada posisi peretas dan menggunakan teknik yang sama untuk mencari dan menyusup ke jaringan dan server.
Berikut diagram arsitektur Metasploit yang khas:
Panduan langkah demi langkah Metasploit
Kami akan memulai tutorial eksploitasi cepat dengan asumsi sistem dan OS Anda memenuhi persyaratan dasar. Untuk menyiapkan lingkungan pengujian, Anda harus mengunduh dan menginstal Virtualbox , Kali, dan Metasploitable untuk membuat mesin peretas virtual. Anda dapat mengunduh dan menginstal Windows XP atau yang lebih tinggi untuk membuat mesin virtual ketiga untuk eksploitasi ini.
Setelah menginstal alat pengujian, buka konsol Metasploit. Ini terlihat seperti ini: Cara
termudah adalah dengan mengetikkan bantuan di konsol untuk menampilkan daftar perintah Metasploit dan deskripsinya. Ini terlihat seperti ini:
Alat pertama yang kuat dan berguna yang Anda butuhkan adalah GUI Armitageyang memungkinkan Anda untuk memvisualisasikan target dan merekomendasikan eksploitasi yang paling sesuai untuk mengaksesnya. Alat ini juga menunjukkan fitur-fitur canggih untuk penetrasi yang lebih dalam dan pengujian lebih lanjut setelah penetrasi awal dengan eksploitasi telah dilakukan. Untuk memilihnya di konsol, masuk ke Applications - Exploit Tools - Armitage (Applications - Exploit Tools - Armitage) .
Setelah kolom formulir muncul di layar, masukkan host, nomor port, ID pengguna dan kata sandi. Tekan Enter setelah mengisi semua bidang dan Anda akan siap untuk meluncurkan exploit.
Sumber daya untuk mempelajari Metasploit
Salah satu kekuatan utama komunitas perangkat lunak sumber terbuka adalah mengumpulkan sumber daya dan berbagi informasi. Ini adalah lambang zaman modern mengapa internet diciptakan. Ini adalah alat yang mempromosikan fleksibilitas dan memberi Anda kemungkinan kolaborasi yang tidak terbatas.
Dalam hal ini, kami menawarkan daftar sumber daya yang akan memungkinkan Anda untuk mewujudkan potensi penuh Matspoit.
Salah satu sumber daya terbaik dan tempat pertama yang harus Anda kunjungi adalah basis pengetahuan Metasploit yang luas . Di sana Anda akan menemukan panduan pemula, metamodul, eksploitasi, serta menemukan kerentanan dan perbaikan. Anda juga akan dapat mempelajari tentang berbagai jenis sertifikat Metasploit dan cara mendapatkannya.
Sumber daya lain yang berguna adalahLokakarya Cyber ββVaronis . Ini menawarkan berbagai tutorial dan sesi dengan pakar keamanan siber.