Menemukan kerentanan keamanan dalam sistem dan menambalnya telah menjadi salah satu pekerjaan terpenting bagi administrator jaringan. Metasploit adalah alat eksploitasi populer yang membantu profesional keamanan menemukan dan mengekspos kerentanan sistem.
Dalam tutorial ini, Anda akan belajar cara menginstal Metasploit di Ubuntu dan menggunakannya untuk memindai kerentanan di sistem Anda.
Baca terus untuk tidak pernah khawatir tentang keamanan sistem lagi!
Prasyarat
Tutorial ini akan menjadi demonstrasi langsung. Jika Anda ingin mengikuti, pastikan Anda memiliki
- Sistem Linux Ubuntu. Tutorial ini menggunakan Ubuntu 20.04, tetapi versi terbaru apa pun akan berfungsi dengan baik.
- Anda juga memerlukan hak akses root pada sistem Anda untuk menginstal Metasploit. Tutorial ini menggunakan akun root, tetapi untuk tujuan keamanan, disarankan agar Anda menggunakan pengguna yang mendukung sudo.
Menginstal Metasploit Menggunakan Shell Script Installer
Penginstal skrip shell Metasploit resmi adalah cara tercepat untuk menginstal Metasploit di Ubuntu. Metode ini bekerja pada sistem berbasis Debian, termasuk Ubuntu. Skrip shell ini menangani semua dependensi dan konfigurasi untuk Anda.
1. Jalankan perintah wget berikut untuk mengunduh versi terbaru penginstal Metasploit dari GitHub.
wget http://downloads.metasploit.com/data/releases/metasploit-latest-linux-x64-installer.run
2. Verifikasi bahwa unduhan file berhasil dengan mencantumkan isinya.
ls -la metasploit-latest-linux-x64-installer.runAnda akan melihat output serupa di bawah ini.
3. Sebelum Anda dapat menjalankan penginstal, Anda harus membuat file tersebut dapat dieksekusi. Jalankan perintah chmod berikut untuk memberikan izin eksekusi file penginstal.
chmod +x ./metasploit-latest-linux-x64-installer.run4. Sekarang, Anda dapat menjalankan penginstal dengan menggunakan nama ./.
./metasploit-latest-linux-x64-installer.run5. Tekan Enter untuk membaca perjanjian lisensi Metasploit
6. Ketik y dan tekan Enter untuk menerima persyaratan dan melanjutkan.
7. Pilih folder untuk menginstal Metasploit. Untuk tutorial ini, Anda akan meninggalkan direktori instalasi default di /opt/metasploit dan tekan Enter untuk melanjutkan.
8. Untuk menginstal Metasploit sebagai layanan, ketik Y dan tekan Enter.
Secara default, Metasploit tidak akan berjalan sebagai layanan. Anda dapat memulai, menghentikan, dan memulai ulang Metasploit dari baris perintah secara manual, atau Anda dapat menginstal Metasploit sebagai layanan. Menginstal Metasploit sebagai layanan akan memungkinkannya untuk memulai secara otomatis saat sistem Anda boot.
9. Metasploit menggunakan beberapa teknik yang dapat ditandai oleh program antivirus atau firewall Anda. Untuk menghindari masalah apa pun, Anda disarankan untuk menonaktifkan program ini saat bekerja dengan Metasploit. Untuk Menonaktifkan Anti-Virus dan Firewall, tekan Enter.
10. Masukkan port yang ingin digunakan Metasploit. Port default adalah 3790, tetapi Anda dapat memilih port terbuka apa pun di sistem Anda. Untuk tutorial ini, Anda akan menggunakan port default 3790. Tekan Enter untuk melanjutkan.
Pilih port lebih dari 1000 dan non-standar untuk menghindari potensi konflik dengan program lain.
11. Secara default, Metasploit akan menggunakan localhost sebagai Nama Server . Untuk tutorial ini, biarkan default dan tekan Enter untuk melanjutkan.
12. Penginstal skrip shell Metasploit akan secara default menghasilkan dan menginstal Sertifikat SSL yang berlaku selama 3650 hari (10 tahun). Untuk tutorial ini, Anda membiarkan nilai default 3650 hari dan tekan Enter untuk melanjutkan.
13. Script akan menghasilkan Sertifikat SSL yang ditandatangani sendiri untuk Metasploit. Ketik y untuk mempercayai sertifikat dan tekan Enter untuk melanjutkan.
14. Terakhir, ketik Y dan tekan Enter untuk memulai proses instalasi Metasploit.
15. Tunggu penginstalan selesai. Setelah instalasi selesai, Anda akan melihat pesan yang mengatakan pergi ke https://localhost:3790 dari browser web Anda untuk mengakses UI web. Anda telah berhasil menginstal Metasploit di sistem Ubuntu Anda.
16. Buka browser web dan navigasikan ke https://localhost:3790 untuk memuat antarmuka web Metasploit.
17. Untuk mengakses konsol Metasploit dari baris perintah, jalankan perintah di bawah ini.
msfconsole
Menginstal Metasploit Dari Sumber
Mengapa Anda ingin mengkompilasi dan menginstal Metasploit dari sumbernya? Mungkin Anda menginginkan fitur terbaru yang belum dirilis di skrip shell. Atau mungkin Anda sedang mengembangkan modul baru untuk Metasploit dan perlu mengujinya.
Namun, metode ini memerlukan pengunduhan dan kompilasi kode sumber secara manual, yang mungkin sedikit membosankan. Ikuti langkah-langkah di bawah ini untuk mengkompilasi dan menginstal Metasploit dari sumber di sistem Ubuntu Anda.
1. Jalankan perintah apt di bawah ini untuk memperbarui daftar paket Anda guna memastikan Anda memiliki versi terbaru.
apt update -y
2. Instal semua dependensi yang diperlukan untuk membangun dan menginstal Metasploit.
apt install gpgv2 autoconf bison build-essential postgresql libaprutil1 libgmp3-dev libpcap-dev openssl libpq-dev libreadline6-dev libsqlite3-dev libssl-dev locate libsvn1 libtool libxml2 libxml2-dev libxslt-dev wget libyaml-dev ncurses-dev postgresql-contrib xsel zlib1g zlib1g-dev -y
3. Selanjutnya download source code Metasploit dengan menjalankan perintah berikut. Perintah ini menyimpan kode sumber Metasploit ke file bernama msfinstall di direktori kerja Anda saat ini.
curl https://raw.githubusercontent.com/rapid7/metasploit-omnibus/master/config/templates/metasploit-framework-wrappers/msfupdate.erb > msfinstall
4. Cantumkan file untuk mengonfirmasi bahwa Anda telah berhasil mendownload file.
ls -la msfinstall
5. Sebelum Anda dapat menjalankan dan mengkompilasi kode sumber, Anda harus memastikan bahwa msfinstall dapat dieksekusi.
chmod 755 msfinstall6. Terakhir, jalankan kode untuk memulai instalasi Metasploit.
./msfinstallProses penginstalan dapat berlangsung beberapa menit, bergantung pada sumber daya sistem Anda.
7. Akses konsol Metasploit dan mulai gunakan.
msfconsole
Menginstal Metasploit di Ubuntu Menggunakan Paket Deb
Alasan menggunakan paket deb adalah Anda dapat menginstalnya secara offline. Anda tidak memerlukan koneksi internet aktif untuk menginstal Metasploit.
Paket deb adalah file arsip yang berisi semua file yang diperlukan untuk menginstal aplikasi perangkat lunak pada sistem berbasis Debian. Paket deb adalah file instalasi perangkat lunak, mirip dengan file yang dapat dieksekusi (exe ) di Windows.
Terkait:Panduan Komprehensif untuk Menginstal Paket Deb di Ubuntu
Ikuti langkah-langkah di bawah ini untuk menginstal Metasploit di sistem Ubuntu Anda menggunakan paket deb.
1. Unduh file deb Metasploit dari halaman unduhan Metasploit.
wget https://apt.metasploit.com/pool/main/m/metasploit-framework/metasploit-framework_6.2.8%2B20220720103055~1rapid7-1_amd64.deb
2. Buat daftar isi direktori kerja saat ini untuk memastikan Anda berhasil mengunduh file.
3. Jalankan perintah dpkg -I untuk menampilkan informasi tentang file deb.
dpkg -I metasploit-framework_6.2.8+20220720103055~1rapid7-1_amd64.deb
4. Terakhir, Instal Metasploit menggunakan perintah dpkg -i.
dpkg -i metasploit-framework_6.2.8+20220720103055~1rapid7-1_amd64.deb
5. Akses konsol Metasploit dan mulai gunakan.
msfconsole
Memindai Kerentanan
Sekarang Anda telah menginstal Metasploit di sistem Ubuntu Anda, sekarang saatnya untuk melakukan pemindaian. Pemindaian Metasploit memiliki dua jenis:pemindaian jaringan dan pemindaian host.
Pemindaian jaringan mengidentifikasi host yang tersedia di jaringan. Jenis pemindaian ini berguna saat melakukan uji penetrasi pada jaringan untuk mengidentifikasi sistem yang tersedia untuk serangan lebih lanjut.
Di sisi lain, pemindaian host mengidentifikasi layanan yang berjalan pada host. Jenis pemindaian ini berguna ketika Anda ingin mengidentifikasi kerentanan dalam suatu sistem.
Ikuti langkah-langkah di bawah ini untuk menjalankan pemindaian kerentanan dengan Metasploit.
1. Mulai layanan PostgreSQL. Metasploit menyimpan semua data yang dikumpulkannya dalam database. Secara default, Metasploit menggunakan database PostgreSQL.
systemctl start postgresql2. Jalankan perintah di bawah ini sebagai pengguna non-root untuk menginisialisasi database baru untuk Metasploit.
msfdb init
3. Akses konsol Metasploit.
msfconsole4. Periksa koneksi database. Metasploit menggunakan perintah db_status untuk memeriksa koneksi database.
db_statusAnda akan melihat output berikut.
5. Muat modul msfcrawler. Modul msfcrawler digunakan untuk merayapi situs web guna menemukan kerentanan dalam aplikasi web.
use auxiliary/scanner/http/crawler
6. Atur parameter RHOST dan RPORT. Parameter RHOST mewakili host target, dan parameter RPORT mewakili nomor port. Dalam hal ini, Anda akan memindai localhost pada port 9000.
set RHOST localhost
set RPORT 9000
7. Jalankan perintah di bawah ini untuk memulai crawler. Perayap akan mulai memindai host dan port target. Proses ini dapat memakan waktu beberapa menit, tergantung pada ukuran situs web.
run
8. Selanjutnya, muat modul WMAP. Modul ini memindai kerentanan aplikasi web.
9. Jalankan perintah wmap_sites -a localhost:9000 untuk menambahkan host dan port target ke daftar pemindaian.
wmap_sites -a localhost:9000
10. Buat daftar semua host dan port target yang tersedia.
wmap_sites -l
11. Terakhir, pilih host target dan mulai pemindaian.
wmap_targets -t 127.0.0.1:9000
wmap_run -e
Tunggu hingga pemindaian selesai. Proses ini dapat berlangsung berjam-jam, tergantung pada ukuran situs web. Contoh ini membutuhkan waktu lebih dari dua jam untuk diselesaikan.
12. Saat pemindaian selesai, lihat hasilnya dengan menjalankan perintah di bawah ini.
vulnsSeperti yang Anda lihat, pemindaian tidak menemukan kerentanan karena Anda memindai host lokal tanpa aplikasi web. Dalam skenario dunia nyata, Anda akan mendapatkan lebih banyak hasil.
TIPS:Anda dapat menggunakan grep, atau perintah Linux seperti less, tail, cat. dll., untuk memfilter output.
Kesimpulan
Pada artikel ini, Anda telah mempelajari cara menginstal Metasploit di Ubuntu dan cara menggunakannya untuk menemukan kerentanan dalam aplikasi web. Metasploit adalah alat yang ampuh yang dapat digunakan untuk berbagai tujuan. Setelah mengetahui dasar-dasarnya, Anda dapat mulai menjelajahi semua fiturnya.
Dengan pengetahuan baru ini, mengapa tidak mulai melakukan pengujian penetrasi pada sistem Anda sendiri atau sistem milik klien Anda? Ingatlah untuk selalu mendapatkan izin sebelum memulai tes penetrasi. Jika tidak, Anda bisa melanggar hukum.