Audits de sécurité avec Metasploit

Magazine
Marque
MISC
HS n°
Numéro
1
Mois de parution
octobre 2007


Résumé

Depuis ses débuts en 2003, le framework Metasploit [MSF] s'est peu à peu imposé comme un outil de référence pour l'auditeur de la sécurité des systèmes d'information. La version 3.0 de Metasploit, sortie fin mars 2007, a introduit des évolutions majeures. Tout d'abord, la réécriture de l'ensemble du projet en Ruby (à la place de Perl précédemment) a été une opportunité pour améliorer la réutilisabilité des différentes briques et pour simplifier la possibilité de créer des extensions qui reposent sur la plate-forme. De plus, des fonctionnalités ont été ajoutées à certains composants, à commencer par le Meterpreter, qui sera décrit dans la suite de cet article.


Rappel des principales commandes de la console de Metasploit : 

  • show exploits : affiche les exploits disponibles ;
  • show auxiliary : affiche les modules auxiliaires disponibles ;
  • use NOM_EXPLOIT_OU_AUXILIARY : utilise un exploit ou un module auxiliaire ;
  • set VARIABLE valeur : configuration d'une variable dans le DataStore ;
  • setg VARIABLE valeur : configuration d'une variable globale dans le DataStore ;
  • save : enregistrement du DataStore dans ~/.msf3/config ;
  • show targets : affiche les variantes existantes (Service Pack, langue) ;
  • set TARGET n : choix d'une variante ;
  • show payloads : affiche les charges utiles ;
  • set PAYLOAD nom_payload : choix de la charge utile ;
  • show options : options disponibles ;
  • show advanced : options avancées ;
  • exploit : lancement de l'exploitation de la vulnérabilité.

1. Introduction

En considérant son aspect de plate-forme de développement d'outils de sécurité, nous allons décrire comment tirer parti des...

Cet article est réservé aux abonnés. Il vous reste 97% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite