Administrador De Red

Revisión, instalación y uso de Metasploit más las mejores alternativas

Revisión de Metasploit y alternativas



Metasploit es una herramienta útil y uno de los sistemas críticos utilizados por los piratas informáticos, incluido el hacker de sombrero blanco que realiza pruebas de penetración. Hay dos versiones de Metasploit. Estos son Marco Metasploit y MetasploitPro

Los evaluadores de penetración pueden usar Metasploit para recopilar información sobre un sistema, buscar sus debilidades de seguridad y luego lanzar un ataque para probar si piratas informáticos reales podrían ingresar al sistema.



La historia de Metasploit.

Metasploit fue creado por primera vez en 2003 por H. D. Moore. Fue convertido en un proyecto de código abierto . Los sistemas de código abierto ponen el código fuente del software a disposición de todos. El paquete principal se mantiene almacenado, pero quienes lo copian pueden cambiarlo y úsalo gratis . Otros pueden usarlo gratis. Algunas de las personas que realizan cambios envían su nueva versión al director del proyecto principal. Un comité evalúa los cambios y, en muchos casos, los incorpora al sistema central. De este modo, el público acaba convirtiéndose en promotores no remunerados del proyecto.

El problema con muchos proyectos de código abierto es que faltan los fondos para gestionar el sistema correctamente. Como resultado, el software puede ser atacado por piratas informáticos que descubran vulnerabilidades. Una empresa de software producirá rápidamente una actualización en esos eventos, pero los proyectos no financiados no pueden organizar una respuesta rápida y, por lo tanto, los sistemas de código abierto rápidamente se vuelven inutilizables.



Metasploit evitó ser abandonado como software obsoleto e inseguro al ser adoptado por la empresa de ciberseguridad. rápido7 . La combinación entre Metasploit y Rapid7 es buena. La empresa es un innovador líder en el campo de la ciberseguridad.

Marco Metasploit

Desde que Rapid7 se involucró con el Proyecto Metasploit En 2009, el desarrollo de la herramienta se benefició de la experiencia profesional en gestión de proyectos del desarrollador de software y, por supuesto, del dinero.

El Metasploit original pasó a ser conocido como Metasploit Framework y rápido7 obtuvo el derecho de producir su propia versión superior de la herramienta. Marco Metasploit todavía está desarrollado por la comunidad, sigue siendo de código abierto y sigue siendo de uso gratuito.

MetasploitPro

MetasploitPro es la versión Rapid7 de Metasploit. La empresa toma la versión de prueba de Metasploit Framework, prueba su estabilidad y luego agrega sus funciones. Así, mientras Metasploit Framework se actualiza constantemente, Metasploit Pro tiene un ciclo de versiones más lento e incluye más capacidades.

Metasploit Framework frente a Metasploit Pro

Aunque Metasploit Framework es gratis , no tiene muchas funciones. Esto funciona bien para Rapid7 porque la versión gratuita de Metasploit puede actuar como puerta de entrada para la adopción de Metasploit Pro. A continuación se muestra una tabla que muestra las características de cada edición.

Estándar de facto para pruebas de penetración con más de 1.500 exploits
Importación de escaneo de datos de red
Deteccion de redes
Explotación básica
MetaMódulos para tareas discretas como pruebas de segmentación de red.
Integraciones a través de API remota
Interfaz web sencilla
Explotación inteligente
Fuerza bruta de credenciales automatizadas
Informes de pruebas de penetración de referencia
Asistentes para auditorías de referencia estándar
Cadenas de tareas para flujos de trabajo personalizados automatizados
Validación de vulnerabilidades de circuito cerrado para priorizar la remediación
Interfaz de línea de comandos básica
Explotación manual
Fuerza bruta de credenciales manuales
Cargas útiles dinámicas para evadir las principales soluciones antivirus
Gestión de la concienciación sobre el phishing y phishing selectivo
Pruebas de aplicaciones web para las 10 principales vulnerabilidades de OWASP
Elección de línea de comandos avanzada (Consola Pro) e interfaz web

Como puede ver en la comparación de funciones, Metasploit Framework incluye el mismo escáner de vulnerabilidades automatizado que Metasploit Pro, pero no mucha otra automatización.

Compatibilidad del sistema operativo Metasploit

Metasploit requiere procesadores de 64 bits con los siguientes sistemas operativos:

  • Microsoft Windows: 7 SP1+, 8.1, 10
  • Servidor Windows: 208 R2, 2012 R2, 2016, 2019
  • Linux: RHEL 5.10 o posterior, Ubuntu 14.04 LTS o posterior

La página de descarga de Metasploit Framework incluye instrucciones para descargar a Mac OS y también incluye CentOS , f edora , y Linux . Sin embargo, estos sistemas operativos no se mencionan en la Requisitos del sistema página de la sección Metasploit del sitio web de Rapid7.

Metasploit Framework está preinstalado en todas las versiones de KaliLinux .

metasploit Pros contras

Ventajas:

  • Uno de los marcos de seguridad más populares que se utilizan en la actualidad.
  • Tiene más de las comunidades más grandes: excelente para soporte continuo y adiciones actualizadas
  • Disponible para uso comercial y gratuito
  • Altamente personalizable con muchas aplicaciones de código abierto

Contras:

  • Metasploit está dirigido a usuarios más técnicos, lo que aumenta la curva de aprendizaje para los principiantes en el ámbito de la seguridad.

Cómo instalar el marco Metasploit

Para conocer Metasploit Framework, debes descargarlo e instalarlo. La instalación en linux y Mac OS Es sencillo, pero el proceso es difícil en Windows.

Si está ejecutando Windows, primero desactive la seguridad de Windows porque, de lo contrario, se volverá loco durante la instalación de Metasploit y bloqueará todos los archivos de amenazas que quiera copiar en la computadora.

  1. Abra el Explorador de archivos y cree el directorio. c:metasploit-framework .
  2. Abre el Comenzar menú.
  3. Clickea en el Ajustes plantado.
  4. Seleccionar Actualización y Seguridad.
  5. En las ventanas Actualización y Seguridad, haga clic en Seguridad de Windows en el menú de la izquierda.
  6. Haga clic en Protección contra virus y amenazas .
  7. Haga clic en Administrar configuraciones .
  8. Desliza el Protección en tiempo real cambiar a Apagado .
  9. Desplácese hacia abajo hasta el Exclusiones encabezado y haga clic en Agregar o eliminar exclusiones .
  10. Clickea en el Agregar una exclusión botón y seleccione Carpeta en la lista desplegable. A Seleccione la carpeta Aparecerá la ventana.
  11. Ingresar c:metasploit-framework en el campo del nombre de la carpeta y presione el botón Seleccione la carpeta botón.

Ahora puedes instalar Metasploit.

  1. Ve a la página de descarga de Metasploit Framework .
  2. Haga clic en el enlace del instalador para su sistema operativo.
  3. Haga clic en el descargado
  4. archivo para ejecutar el instalador.
  5. Aceptar el Acuerdo de licencia de usuario final ent y recorra el Asistente de instalación presionando el botón Próximo botón en cada pantalla.
  6. presione el Instalar y espere a que se llene la barra de progreso.
  7. Si está instalando Windows, durante el proceso de instalación, aparecerá un Control de cuentas del usuario Aparecerá una ventana emergente. Prensa .

Espere a que se complete el instalador y luego acceda al Consola Metasploit .

Cómo instalar Metasploit Pro

Metasploit Framework y Metasploit Pro no se instalan en el mismo directorio, por lo que es posible ejecutar ambos. Esto es principalmente una buena idea si quieres tener la opción de realizar manualmente un ataque de fuerza bruta, una utilidad que no está incluida en Metasploit Pro.

Puedes acceder una prueba gratuita de 14 días de Metasploit Pro. Ve a la Página de descarga de Metasploit Pro y complete el formulario para la prueba gratuita.

Prueba gratuita de 14 días de Metasploit Pro

La dirección de correo electrónico que ingrese debe estar en el dominio de una empresa y no en uno de los sistemas de correo electrónico gratuitos, como yahoo.com o mail.com. Sin embargo, debe ser una dirección de correo electrónico válida a la que tenga acceso porque el sistema Metasploit envía un código de activación a esa cuenta y Metasploit Pro no funcionará sin él.

Antes de descargar el instalador, cree el directorio c:metasploit. Siga los pasos de desactivación del antivirus que se muestran arriba si está instalando en Windows. Luego, agregue una exclusión para c:metasploit . Tendrá menos problemas para instalar en Linux. Sin embargo, si tiene un sistema antivirus, debe configurar Metasploit como excepción para evitar que su antivirus bloquee la instalación.

Siga estos pasos después de ajustar su AV:

  1. Haga clic en el enlace de descarga para su sistema operativo en la página que sigue al formulario de prueba gratuita. Este enlace está escrito como 64 bits .
  2. Haga clic en el archivo descargado para ejecutar el instalador.
  3. Aceptar el Acuerdo de licencia .
  4. Recorra los pasos del instalador haciendo clic en el Próximo botón.
  5. Anote el puerto SSL que seleccione para la actividad de Metasploit. El valor predeterminado que se muestra en el asistente de instalación es 3790.
  6. Al final del proceso de instalación, presione el botón Finalizar botón. La aplicación se abrirá en un navegador y su sistema presentará una opción en la que seleccione su navegador preferido.

Usando Metasploit Pro

La primera vez que ejecute Metasploit Pro, necesitará utilizar el Interfaz de usuario web de Metasploit . Cuando se abra, podrá configurar una cuenta usted mismo.

Interfaz de usuario web de Metasploit

La primera cuenta que usted crea es la Administrador cuenta. Debe asegurarse de elegir una contraseña segura porque si un pirata informático alguna vez ingresara a esta cuenta, podría causar estragos en todo su sistema. La contraseña debe ser una combinación de letras y números y debe incluir al menos un carácter único. No debe tener el nombre de usuario que estás configurando y no debe ser fácil de adivinar.

A continuación, busque en la bandeja de entrada la dirección de correo electrónico que proporcionó al solicitar la prueba gratuita. Copia el Clave de producto que se muestra en el correo electrónico y péguelo en la pantalla que aparece después de ingresar los detalles de la cuenta.

Ahora puede utilizar el sistema Metasploit a través de la interfaz web.

Sistema Metasploit a través de la interfaz web.

Si desea utilizar Metasploit en la línea de comando, vaya al menú Inicio y busque el elemento de menú Metasploit. Luego, expanda eso y haga clic en Consola Metasploit .

La consola Metasploit es, básicamente, solo una ventana de símbolo del sistema/terminal. Una vez que abre la ventana, el sistema Metasploit tarda mucho en iniciarse.

Puesta en marcha del sistema Metasploit

Tipos salida cuando se le solicite cerrar la consola Metasploit.

Consola Metasploit

Si opta por Metasploit Framework, solo obtendrá la versión de consola.

¿Cuánto cuesta Metasploit Pro?

Rapid7 vende Metasploit Pro a través de distribuidores. Esas empresas toman sus propias decisiones sobre el precio de venta, decidiendo hasta qué punto quieren reducir sus márgenes para ganar negocios con los minoristas de software rivales.

El precio actual de Metasploit Pro es de alrededor de 15.000 dólares al año. El precio del paquete oscila entre $ 14.267,99 y $ 15.329,99.

Alternativas a Metasploit

La opción de una versión gratuita y una versión paga completamente armada le da a Metasploit un amplio atractivo. Las alternativas a Metasploit deben incluir ambas utilidades gratuitas que compiten con Metasploit Framework y sistemas pagos que presentan alternativas a Metasploit Pro. También es útil considerar los escáneres de vulnerabilidades, que pueden proporcionar excelentes estrategias alternativas para identificar las debilidades del sistema.

1. Invencible (ACCESO A LA DEMO GRATIS)

Este escáner de vulnerabilidad web es particularmente útil para pruebas de desarrollo y es capaz de identificar debilidades en cualquier API que el proyecto pretenda utilizar. Además de buscar vulnerabilidades conocidas, este escáner utiliza su propio proceso de heurística que puede detectar seguridad débil en los módulos y recomendar soluciones para reforzar cualquier vulnerabilidad potencial.

Ventajas:

  • Cuenta con un panel de administración altamente intuitivo y revelador
  • Admite cualquier aplicación web, servicio web o API, independientemente del marco
  • Proporciona informes optimizados con vulnerabilidades priorizadas y pasos de solución.
  • Elimina los falsos positivos explotando de forma segura las vulnerabilidades mediante métodos de solo lectura
  • Se integra fácilmente en las operaciones de desarrollo y proporciona comentarios rápidos para evitar errores futuros.

Contras:

  • Me gustaría ver una prueba en lugar de una demostración.

Se ofrece como plataforma SaaS o para instalación en ventanas y Servidor de windows .

2. Acunetix (ACCESO A DEMO GRATIS)

Este es un escáner de vulnerabilidades. El sistema se ofrece en tres ediciones y el plan más bajo, llamado Estándar, proporciona análisis de vulnerabilidades bajo demanda que buscan más de 7.000 vulnerabilidades . El paquete intermedio, llamado Profesional , incluye un escáner de red que puede detectar más de 50.000 hazañas conocidas . El escáner externo observará el perfil de Internet de una red y escaneará sitios web y aplicaciones web. Además, puede monitorear las operaciones de las API y evaluar las debilidades de seguridad de los módulos que las soportan.

Ventajas:

  • Diseñado específicamente para la seguridad de las aplicaciones
  • Se integra con una gran cantidad de otras herramientas como OpenVAS
  • Puede detectar y alertar cuando se descubren configuraciones erróneas
  • Aprovecha la automatización para detener inmediatamente las amenazas y escalar los problemas según la gravedad.

Contras:

  • Me gustaría ver una versión de prueba para probar.

Acunetix se proporciona como un alojamiento SaaS plataforma. Sin embargo, también es posible descargar el paquete de software e instalarlo en ventanas , Mac OS , o linux .

3. Armitage

Este paquete no es tanto una alternativa a Metasploit; esta herramienta gratuita mejora Metasploit Framework y lo convierte en un mejor rival de Metasploit Pro. Armitage funciona como interfaz para Metasploit Framework. Permite al usuario utilizar Metasploit para sistemas de sonda , recopilar información e identificar posibles puntos de entrada. Almacena los resultados de la investigación y los incorpora a las estrategias de ataque.

Ventajas:

  • Diseñado para mejorar el marco Metasploit.
  • Permite a los usuarios sondear sistemas, recopilar información y más
  • Puede almacenar información y combinarla con estrategias de ataque.
  • Nativo de Kai Linux

Contras:

  • Puede tomarse un tiempo para explorar completamente todas las funciones y herramientas.

Esta herramienta está disponible para ventanas , Mac OS , y linux . Está precargado en KaliLinux .

4. Suite de eructos

Finalmente, este paquete de puertoSwigger, Es una coincidencia muy cercana a Metasploit porque está disponible de forma gratuita. Edición comunitaria y una versión paga, llamada Edición profesional . También existe una Enterprise Edition, que es un escáner de vulnerabilidades totalmente automatizado. Tanto la versión gratuita como la de pago tienen la misma interfaz. Sin embargo, muchas de las funciones dentro de esa aplicación están deshabilitadas para los usuarios de Community Edition. Esos servicios pagos incluyen escaneos de vulnerabilidad automatizados . Un beneficio significativo de la interfaz de Burp Suite es que el usuario puede seleccionar datos de la utilidad de investigación y enviarlos directamente a los servicios de ataque. Burp Suite se ejecuta ventanas , Mac OS , y linux .

Ventajas:

  • Una colección de herramientas de seguridad diseñadas específicamente para profesionales de la seguridad.
  • La Community Edition es gratuita, ideal para pequeñas empresas
  • Disponible multiplataforma para sistemas operativos Windows, Linux y Mac

Contras:

  • Toma tiempo para explorar todas las herramientas disponibles en la suite.

Puede descargar la edición comunitaria gratis o solicitar una prueba gratuita de la edición Profesional.

5. mapa sql

Esta utilidad de línea de comandos ofrece solo un comando, pero tiene cientos de opciones, lo que cambia la función que se ejecuta. Esta utilidad documenta la base de datos y también lanza ataques. El servicio incluye procesos valiosos, como descifrar contraseñas y ataques de inyección. Algunos de los episodios se pueden realizar sin dejar rastro, mientras que otros tienen como objetivo alterar datos en la base de datos atacada.

Ventajas:

  • Completamente libre
  • Proyecto transparente de código abierto
  • Atiende específicamente a la identificación de ataques SQL
  • Disponible para Windows, Linux, Mac OS, BSD gratuito

Contras:

  • Está ligeramente desactualizado en comparación con otras herramientas VAPT

Sqlmap es de uso gratuito y se instala en ventanas , Mac OS , y linux .

6. Ettercap

Esta utilidad de captura de paquetes también es una herramienta de ataque porque puede inyectar tráfico en una secuencia. Esto es una utilidad de línea de comandos que tiene una extensa biblioteca de comandos. Los ataques de esta utilidad se basan en la estrategia del intermediario. Sus métodos dependen de que la utilidad se ejecute desde dentro de una red. El paquete Ettercap ofrece una interfaz de usuario. Sin embargo, al igual que la consola Metasploit, esta es solo una ventana personalizada de símbolo del sistema/terminal. Ettercap también se puede utilizar para captura de contraseña , suplantación de DNS, y Negación de servicio .

Ventajas:

  • Plataforma de seguridad de código abierto
  • Específicamente para identificar ataques de hombre en el medio.
  • Bien documentado con una gran comunidad.
  • Completamente libre

Contras:

  • Es más una herramienta especializada que una solución completa

Esta utilidad es de uso gratuito y se ejecuta en linux , Unix , Mac OS X , Windows 7 y 8 . Desafortunadamente, no funcionará en macOS o Windows 10.

Preguntas frecuentes sobre Metasploits

¿Para qué se utiliza Metasploit?

El marco Metasploit es un paquete de herramientas que investiga la seguridad de los sistemas de TI y utiliza esa información para lanzar ataques. Esta herramienta puede ser utilizada por piratas informáticos y también es ampliamente utilizada por probadores de penetración.

¿Puedo hackear con Metasploit?

Metasploit fue creado para piratear. Su gran ventaja es que incluye métodos para identificar debilidades en un sistema informático y otras herramientas para intentar penetrar en ellas. El sistema también es una buena herramienta para los probadores de penetración.

¿Metasploit sigue siendo gratuito?

Metasploit Framework es un sistema gratuito de código abierto. Hay una versión mejor, llamada Metasploit Pro, que es Metasploit Framework con funciones adicionales agregadas por Rapid7. Metasploit Pro no es gratuito.

^