Depuis ses débuts en 2003, le framework Metasploit [MSF] s'est peu à peu imposé comme un outil de référence pour l'auditeur de la sécurité des systèmes d'information. La version 3.0 de Metasploit, sortie fin mars 2007, a introduit des évolutions majeures. Tout d'abord, la réécriture de l'ensemble du projet en Ruby (à la place de Perl précédemment) a été une opportunité pour améliorer la réutilisabilité des différentes briques et pour simplifier la possibilité de créer des extensions qui reposent sur la plate-forme. De plus, des fonctionnalités ont été ajoutées à certains composants, à commencer par le Meterpreter, qui sera décrit dans la suite de cet article.
Rappel des principales commandes de la console de Metasploit :
- show exploits : affiche les exploits disponibles ;
- show auxiliary : affiche les modules auxiliaires disponibles ;
- use NOM_EXPLOIT_OU_AUXILIARY : utilise un exploit ou un module auxiliaire ;
- set VARIABLE valeur : configuration d'une variable dans le DataStore ;
- setg VARIABLE valeur : configuration d'une variable globale dans le DataStore ;
- save : enregistrement du DataStore dans ~/.msf3/config ;
- show targets : affiche les variantes existantes (Service Pack, langue) ;
- set TARGET n : choix d'une variante ;
- show payloads : affiche les charges utiles ;
- set PAYLOAD nom_payload : choix de la charge utile ;
- show options : options disponibles ;
- show advanced : options avancées ;
- exploit : lancement de l'exploitation de la vulnérabilité.
1. Introduction
En considérant son aspect de plate-forme de développement d'outils de sécurité, nous allons décrire comment tirer parti des...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première
