Metasploit to najpopularniejszy na świecie framework do testów penetracyjnych — baza exploitów, payloadów i narzędzi, która pozwala testerom bezpieczeństwa systematycznie sprawdzać, czy systemy IT są podatne na znane ataki. Używają go zarówno etyczni hakerzy weryfikujący zabezpieczenia firm, jak i studenci uczący się cyberbezpieczeństwa na kursach takich jak OSCP.
Co to jest Metasploit i skąd pochodzi
Metasploit Framework powstał w 2003 roku jako projekt hobbystyczny H.D. Moore’a — badacza bezpieczeństwa, który chciał uprościć testowanie exploitów. Projekt rozwijał się jako open source, zyskując tysiące modułów tworzonych przez społeczność. W 2009 roku Metasploit przejęła firma Rapid7, która do dziś go utrzymuje.
Metasploit jest napisany w Ruby i dostępny bezpłatnie w wersji Community i Framework. Wchodzi w skład każdej dystrybucji Kali Linux — system operacyjny dla pentesterów ma go preinstalowanego. Baza Metasploita zawiera ponad 2000 exploitów na znane podatności w Windows, Linux, macOS, iOS, Android i setkach aplikacji.
Architektura i składniki Metasploit
Exploity to moduły wykorzystujące konkretne luki bezpieczeństwa. Każdy exploit jest przypisany do CVE (Common Vulnerabilities and Exposures) — identyfikatora podatności. Słynny exploit EternalBlue (MS17-010) atakuje lukę w protokole SMB Windows, przez którą rozprzestrzenił się WannaCry.
Payloady to kod uruchamiany na atakowanym systemie po udanym exploicie. Rodzaje payloadów:
- Shell — prosty dostęp do linii poleceń ofiary
- Meterpreter — zaawansowany interaktywny shell działający w pamięci RAM (nie zapisuje plików na dysk, co utrudnia wykrycie). Umożliwia zrzut haseł, keylogging, zrzut ekranu, ruch boczny w sieci
- Bind/Reverse shell — ofiara łączy się do atakującego (reverse) lub atakujący do ofiary (bind)
Auxiliary — narzędzia pomocnicze: skanery portów, skanery podatności, fuzzing, sniffing, brute force. Można skanować sieć pod kątem konkretnej podatności bez uruchamiania exploitu.
Post — moduły „po exploicie”: wyciąganie haseł, tworzenie trwałego dostępu (persistence), dump bazy SAM z Windows, pivot do dalszej części sieci.
msfconsole — interfejs Metasploit
msfconsole to interaktywna konsola tekstowa — główny interfejs Metasploita. Uruchamiasz ją komendą msfconsole w terminalu. Wygląda jak zaawansowany shell z własnymi komendami.
Kluczowe komendy msfconsole:
search eternalblue— szukaj modułów zawierających słowo kluczoweuse exploit/windows/smb/ms17_010_eternalblue— załaduj konkretny exploitshow options— wyświetl wymagane parametryset RHOSTS 192.168.1.100— ustaw adres celuset LHOST 192.168.1.50— ustaw adres atakującego (dla reverse shell)runlubexploit— uruchom atak
Jak wygląda typowy test penetracyjny z Metasploitem
- Rekonesans — skanowanie sieci (Nmap integruje się z Metasploitem), identyfikacja systemów i otwartych portów
- Identyfikacja podatności — moduły auxiliary skanują znalezione hosty pod kątem znanych CVE
- Exploitacja — dobierasz exploit do znalezionej podatności, konfigurujesz payload, uruchamiasz
- Post-exploitacja — przez Meterpreter lub shell: zbierasz informacje, zrzucasz hasła, sprawdzasz co atakujący mógłby zrobić w sieci
- Raportowanie — dokumentujesz znalezione podatności i rekomendacje naprawcze dla klienta
Metasploit Framework vs Metasploit Pro
Metasploit Framework (darmowy, open source) — pełnoprawne narzędzie, używane przez większość pentesterów. Brak GUI, wymaga znajomości msfconsole.
Metasploit Pro (płatny, Rapid7) — dodaje GUI webowe, automatyczne skanowanie, generowanie raportów, zarządzanie kampanią testową. Cena na zapytanie (kilka tysięcy USD rocznie). Używany głównie przez duże firmy i korporacyjne zespoły bezpieczeństwa.
Legalność i etyczne użycie
Metasploit jest legalnym narzędziem — jego posiadanie i testowanie na własnych systemach lub w środowisku laboratoryjnym (VM) jest dozwolone. Nielegalne jest użycie bez pisemnej zgody właściciela testowanego systemu. Pentest bez autoryzacji to przestępstwo niezależnie od narzędzia.
Certyfikat OSCP (Offensive Security Certified Professional) to branżowy standard certyfikacji pentesterów — egzamin polega na przeprowadzeniu testu penetracyjnego w środowisku laboratoryjnym, a Metasploit jest jednym z dozwolonych narzędzi (z ograniczeniami).
Źródła
- Netbe.pl: Metasploit Framework — kompleksowe narzędzie do testów penetracyjnych
- AVLab.pl: Wprowadzenie do Metasploit
- BoringOwl: Metasploit — narzędzie do testów penetracyjnych
Najczęściej zadawane pytania o Metasploit
Czy Metasploit jest darmowy?
Tak, Metasploit Framework jest darmowy i open source (licencja BSD). Dostępny na GitHub i przez instalator Rapid7. Metasploit Pro (z GUI i zaawansowanymi funkcjami raportowania) jest płatny — przeznaczony dla komercyjnych firm security.
Na jakim systemie operacyjnym działa Metasploit?
Metasploit działa na Linux, macOS i Windows. Najwygodniej używać go na Kali Linux, gdzie jest preinstalowany i stale aktualizowany. Na Windows działa, ale wymaga więcej konfiguracji. Większość pentesterów używa Kali lub Ubuntu z zainstalowanym Metasploitem.
Czy Metasploit wykrywa antywirus?
Standardowe payloady Metasploita (szczególnie Meterpreter) są dobrze znane antywirusom i często wykrywane. W realnych testach penetracyjnych pentesterzy używają technik obfuskacji i encoderów żeby ominąć AV. To część wiedzy wymaganej przy certyfikacji OSCP.
Ile czasu zajmuje nauka Metasploita?
Podstawy msfconsole można opanować w kilka dni korzystając z darmowych laboratoriów jak TryHackMe lub HackTheBox. Biegłe używanie w testach penetracyjnych wymaga miesięcy praktyki i dobrego zrozumienia sieci, systemów operacyjnych i protokołów. Certyfikat OSCP to benchmark — 24-godzinny egzamin praktyczny.
