Vom Metasploit-Framework gibt es seit Mai einen besonders verwundbar konfigurierten Server namens Metasploitable. Mit dem hochgerüsteten Metasploit-Client lernen sicherheitsbewusste Admins, wie Angreifer Bruteforce-Attacken ausführen oder Backdoors in PDFs einbauen.

© MorzKerl, Photocase.com

Ständig neue Exploits, Payloads und Angriffsvektoren: Die Metasploit-Community ist definitiv eines der aktivsten Open-Source-Projekte. In der neuesten Version finden sich auch Module für Bruteforce-Angriffe auf SSH, MySQL und Telnet sowie die Möglichkeit, in Adobes PDFs Exe-Dateien unterzubringen, die Windows insgeheim im Hintergrund ausführt. Dies ist umso gefährlicher, als der Hersteller des Readers sein Produkt immer noch nicht gepatcht hat und alle Versionen bis zur aktuellen 9.3 betroffen sind. Das Framework [1] entwickelt sich so zum Standard aller sicherheitsbewussten IT-Security-Spezialisten und Admins, die sicherstellen müssen, dass ihr Virenschutz derartige Trojaner rechtzeitig erkennt.

Richtig unsicher

Zu dem aufgerüsteten Client gesellt sich auf der DELUG-DVD mit Metasploitable [2] ein virtueller Ubuntu-Server als VMware-Image. Diese Maschine ist löchrig wie ein Schweizer Käse und dient als perfektes Testobjekt für Admins, die später ihre eigenen, vermeintlich sicheren Server unter die Lupe nehmen, sich aber zunächst ohne Risiko mit dem Pen-Testing-Tool vertraut machen wollen.

So hat auch der Metasploitable-Server mit seinen absichtlich unsicher konfigurierten Diensten und den eingebauten Sicherheitslücken das Zeug zum idealen Testobjekt für jede IT-Sicherheitsschulung. Mit dem bootfähigen Client-Image (auf der DELUG-DVD auch für USB-Sticks) kann der Admin direkt loslegen.

SVN-Update

Wer jedoch eine selbst installierte Version bevorzugt, sollte vor den ersten Tests an Metasploitable das eigentliche Framework des Clients auf Version 3.4 aktualisieren. Das ist früher oder später auch bei den Images der DVD notwendig und mit einem simplen »svn update« im Projektverzeichnis erledigt.

Vor dem Start von Metasploitable sollte der Tester noch die MAC-Adresse notieren, damit er den verwundbaren Server schneller findet. Der Befehl »nmap -sP Netzwerk« zeigt dann schnell die zugehörige IP-Adresse, im folgenden Beispiel »192.168.0.189«. Als Nächstes ermittelt Nmap offene Ports:

# nmap 192.168.0.189
Starting Nmap 5.00 ( http://nmap.org ) at 
2010-06-12 11:52 CEST
Interesting ports on 192.168.0.189:
Not shown: 988 closed ports
PORT     STATE SERVICE
21/tcp   open  ftp
22/tcp   open  ssh
23/tcp   open  telnet
25/tcp   open  smtp
53/tcp   open  domain
80/tcp   open  http
139/tcp  open  netbios-ssn
445/tcp  open  microsoft-ds
3306/tcp open  mysql
5432/tcp open  postgresql
8009/tcp open  ajp13
8180/tcp open  unknown
MAC Address: 08:00:27:80:7A:46 (Cadmus 
Computer Systems)

Hier sieht der Admin viele Ports, die er für die ersten Bruteforce-Attacken nutzen kann. In Metasploit sucht er dazu geeignete Exploits (Listing 1).

01 ./msfconsole
02 search login
03 (...)
04 scanner/ftp/ftp_login              normal  FTP Authentication Scanner
05 scanner/mysql/mysql_login          normal  MySQL Login Utility
06 scanner/postgres/postgres_login    normal  PostgreSQL Login Utility
07 (...)
08 scanner/smb/smb_login              normal  SMB Login Check Scanner
09 scanner/ssh/ssh_login              normal  SSH Login Check Scanner
10 scanner/ssh/ssh_login_pubkey       normal  SSH Public Key Login Scanner
11 scanner/telnet/telnet_login        normal  Telnet Login Check Scanner
12 (...)

Sie können diesen Artikel als PDF für 99 Cent kaufen. Klicken Sie dazu einfach auf eine der beiden Bezahloptionen Paypal oder ClickandBuy.

Vom Metasploit-Framework gibt es seit Mai einen besonders verwundbar konfigurierten Server namens Metasploitable. Mit dem hochgerüsteten Metasploit-Client lernen sicherheitsbewusste Admins, wie Angreifer Bruteforce-Attacken ausführen oder Backdoors in PDFs einbauen.