Dopo aver definito cos’è Metasploit, vediamo in questo articolo come installarlo. Il mio consiglio è di passare a una distribuzione di test di penetrazione come Kali-Linux o Parrot Security OS perché questi strumenti verrebbero già preinstallati con la distribuzione. Possiamo anche eseguirlo in un ambiente virtualizzato.
Se invece vogliamo installare Metasploit come strumento separato, possiamo farlo facilmente su sistemi che funzionano su Linux, Windows o Mac OS X.
Step by Step, installazione di Metasploit Framework su Ununtu
Step 1: Ottenere i privilegi di root
Su Ubuntu, root è un account utente particolare che ha accesso a tutti i comandi, file e servizi. È l’account più privilegiato con accesso completo a tutto. Usiamo il comando sudo su per diventare un utente root o superuser su qualsiasi sistema Linux. Al momento dell’esecuzione del comando, verrà richiesta la password dell’account corrente per conferma.
Step 2: Aggiornare e aggiornare il sistema
Usiamo il comando apt-get update per risincronizzare i file di indice dei pacchetti dalle loro fonti su Linux tramite Internet. Ora eseguiamo apt-get upgrade per installare le versioni più recenti di tutti i pacchetti attualmente installati sul sistema Ubuntu. In altre parole, ottenere gli aggiornamenti di sicurezza per la tua macchina. Possiamo anche fare questo in una singola riga utilizzando la sintassi.
apt-get update && apt-get upgrade
Step 3: Installazione delle dipendenze richieste
È necessario installare molte dipendenze necessarie per eseguire Metasploit. Di seguito è riportato il comando che eseguiremo per installare le dipendenze:
apt install -y ruby ruby-dev build-essential zlib1g zlib1g-dev libpq-dev libpcap-dev libsqlite3-dev
Dopo aver dato il comando, ci troveremo di fronte a questa schermata
Step 4: Clonare il repository di Metasploit
È necessario clonare il repository di Metasploit su GitHub, utilizziamo il comando git clone e il link del repository, quindi torniamo al nostro terminale, incolliamo e eseguiamo, che scaricherà il repository nella nostra directory home. Ci vorrà un po’ di tempo perché è un repository piuttosto grande e contiene molte cose. Eseguimo il seguente comando:
git clone https://github.com/rapid7/metasploit-framework.git
Dopo aver dato il comando ci troveremo davanti a questa schermata:
Se la schermata di output mostra “Comando ‘git’ non trovato”, dobbiamo prima installare git e poi eseguire il comando precedente. Per installare git utilizzare:
apt install git
Step 5: installazione del gestore pacchetti bundler di Ruby
Dopo aver finito di clonare il repository Metasploit GitHub nella nostra directory home, la prossima cosa che dobbiamo fare è installare il gestore pacchetti bundler di Ruby, possiamo farlo facendo:
gem install bundler
Step 6: installazione dei pacchetti Ruby per Metasploit
Ora dobbiamo installare i pacchetti Ruby per Metasploit. Per prima cosa passiamo alla directory del framework Metasploit utilizzando il comando cd che abbiamo appena clonato in quella directory.
cd metasploit-framework
All’interno di questa directory dobbiamo andare a finire di installare il resto dei pacchetti per Metasploit e possiamo farlo digitando nel terminale il comando:
bundle install
Dopo aver dato il comando ci troveremo di fronte a questa schermata
Quando l’intsllazione sarà completata, a video avremo questo risultato:
Una volta terminato possiamo avviare il framework Metasploit semplicemente eseguendo su terminale il comando ./msfconsole
Limitazioni per Metasploit
Sebbene Metasploit includa tantissimi strumenti per identificare le vulnerabilità, valutarle e creare exploit, presenta anche alcune restrizioni e inconvenienti come qualsiasi altra cosa.
Alcuni di essi includono:
Scarso supporto per la GUI. La maggior parte delle attività dovrebbe essere completata utilizzando la CLI.
Deve essere trattato con attenzione, non farlo rischia di mandare in crash il nostro stesso sistema.
È difficile installare Metasploit su un computer dotato di firewall o software antivirus.
È Difficile da imparare se non si ha una giusta preparazione informatica
Attenzione! Il contenuto di questo articolo è a scopo puramente informativo: l’uso illegale di pratiche e software che permettono la violazione dei protocolli di sicurezza è severamente punito dalla legge.
L’autore declina ogni responsabilità sull’uso improprio dei contenuti. CyberAngel si prefissa lo scopo di divulgare pratiche di Ethical Hacker per migliorare la sicurezza degli utenti e mai per commettere crimini e reati informatici.