www.morihi-soc.net

誰もが安心して使える、安全なインターネットを目指して

CLI から Metasploit をインストール

今回は全国約26万5千人のセキュリティエンジニア必携 Metasploit をコマンド入力だけでインストールする方法を紹介します.

なお GUI でインストールする方法は書籍Web でたくさん紹介されていますので,コマンド使いたくないって人はそちらを参照してください.

また「善悪はそれを用いる者の心の中にあり」なんて言葉は私が生まれる前から言われており,このブログを見に来る人にとっては耳タコな話題かと存じます.ですが今一度注意しておくと,ご自身のセキュリティ技術向上のためにご利用くださいませ.

 

インストール環境

今回,インストールは「Ubuntu 14.04」の 64bit 版,サーバ環境にインストールすることを前提としています.GUI 環境はありませんので,すべてコマンド入力して環境を整えます.

また Metasploit で効率よく検索ができるように PostgreSQL データベースと連携するように設定もします.

 

パッケージインストール

apt を利用して Metasploit が依存するパッケージ類をインストールします.言うまでもないことですが,apt は更新してから使いましょう.

 

Ruby のインストール

Metasploit を利用するためには Ruby のバージョン 2.1 以上がインストールされている必要があります.

apt で ruby をインストールすると標準では 1.9.1 がインストールされ,その他のバージョンは 2.0 しか指定できません.そのため手動でインストールします.

※今回は 2.1 系の最新の 2.1.6 をインストールします.インストールにはちょっとだけ時間がかかります.ゆっくり待ってね.

 

PostgreSQL 設定

Metasploit と連携する PostgreSQL データベースの設定をしておきます.

 

Metasploit のインストール

事前準備が終わったので,Metasploit をインストールします.

またちょっと時間がかかります.お茶でも飲んで待ちましょう( ´・ω・)つ旦

プロンプトが無事に返ってきたらインストールは終了です.

 

Metasploit データベース設定

Metasploit がデータベースを利用できるように設定情報を書いておきます.

 

Metasploit を起動する

いよいよ Metasploit を起動します.初回起動時は少し時間がかかります.

ascii アートが表示されて,「msf >」というプロンプトが表示されたら,データベースへの接続を確認します.

上記の2行目の「postgresql connected」のように表示されていれば,Metasploit は問題なく PostgreSQL データベースに接続できています.
キャッシュを作成しましょう.

ruby プロセスの CPU 使用率が落ち着いたら,おそらくキャッシュの作成が終わったと考えられます.

適当な CVE 番号(cve-2014-0160)で検索してみます.下記のような検索結果が返ってきたらOKです.
Metasploit で CVE 検索もし下記のようなメッセージが表示されるような場合は,キャッシュの作成が完了していません.もう少し待ちましょう.

[!] Database not connected or cache not built, using slow search

 

Metasploit の更新

Metasploit には随時,エクスプロイトコードやモジュールが追加されていきます.そこで Metasploit をインストールした後に追加されたものを使えるようにするために,アップデートをしましょう.

 

以上です.

 

参考

時論公論 「どうする?情報セキュリティ技術者不足」
http://www.nhk.or.jp/kaisetsu-blog/100/202598.html

実践 Metasploit ―ペネトレーションテストによる脆弱性評価
http://www.amazon.co.jp/dp/4873115388

Metasploit――大いなる力を手に入れる (1/2)
http://www.atmarkit.co.jp/ait/articles/1504/28/news011.html

Installing Metasploit Framework on Ubuntu 14.04 LTS and Debian 7
http://www.darkoperator.com/installing-metasploit-in-ubunt/

Howto: Install Metasploit (GIT) on Ubuntu 14.04.2
http://www.r00tsec.com/2014/10/howto-install-metasploit-git-on-ubuntu.html

Fix metasploit “Database not connected or cache not built”
http://www.dailysecurity.net/2013/05/11/fix-metasploit-database-not-connected-or-cache-not-built/

Metasploit Framework(GitHub)
https://github.com/rapid7/metasploit-framework

 

Written by 森久

6月 3rd, 2015 at 3:26 pm

Posted in Security