Metasploit-Framework

Sie können Exploit-Code mit dem Metasploit Framework erstellen, testen und ausführen, einem modularen Penetrationstest-Tool, das auf der Programmiersprache Ruby basiert. Mit den Tools im Metasploit Framework können Sie Sicherheitslücken testen, Netzwerke aufzählen, Angriffe starten und einer Erkennung vorbeugen. Das Metasploit Framework besteht im Wesentlichen aus einer Reihe weit verbreiteter Tools, die eine umfassende Umgebung für die Erstellung von Exploits und Penetrationstests bieten.

Kursinhalte | Der komplette praktische Metasploit-Framework-Kurs

  • Kapitel 1: Einführung in das Metasploit Framework
  • Kapitel 2: Metasploit-Module verstehen
  • Kapitel 3: Scannen und Informationsbeschaffung
  • Kapitel 4: Ausnutzung von Sicherheitslücken
  • Kapitel 5: Meterpreter verstehen
  • Kapitel 6: SMB-Ausnutzung
  • Kapitel 7: Tiwiki-Ausnutzung
  • Kapitel 8: Ausnutzung des Tomcat-Webservers
  • Kapitel 9: Ausnutzung des Icecast-Browsers
  • Kapitel 10: Ausnutzung der Oracle-Datenbank
  • Kapitel 11: Druckerausnutzung
  • Kapitel 12: Rechteausweitung unter Windows
  • Kapitel 13: Datenexfiltration
  • Kapitel 14: Umgehung des Antivirenprogramms

Testimonials (LinkedIn)

Wie kaufe ich den kompletten praktischen Kurs zum Metasploit Framework?

Sie können die Broschüre direkt kaufen, indem Sie auf die Schaltfläche unten klicken

Holen Sie sich den Kurs

Komponenten des Metasploit Frameworks

Die primäre Metasploit-Befehlszeilenschnittstelle (CLI) heißt MSFconsole. Tester können damit Exploits ausführen, Netzwerkaufklärung durchführen, Systeme auf Schwachstellen prüfen und vieles mehr.

Mithilfe von Exploit-Modulen können Tester gezielt auf eine bestimmte, bekannte Schwachstelle abzielen. In Metasploit sind viele Exploit-Module verfügbar, beispielsweise für Pufferüberläufe und SQL-Injections. Jedes Modul enthält eine schädliche Nutzlast, die Tester auf den vorgesehenen Computern ausführen können.

Mithilfe von Hilfsmodulen können Tester während eines Penetrationstests zusätzliche Aufgaben erledigen, die nichts mit der tatsächlichen Ausnutzung von Schwachstellen zu tun haben. Zum Beispiel Fuzzing, Scanning und Denial of Service (DoS).
Tester können durch den Einsatz von Post-Exploitation-Modulen besseren Zugriff auf ein Zielsystem und die damit verbundenen Systeme erhalten. Beispiele hierfür sind Hash-Dumps, Netzwerk-Enumeratoren und Anwendungs-Enumeratoren.

Payload-Module: Diese bieten Shell-Code, der ausgeführt wird, sobald der Penetrationstester Zugriff auf ein System erlangt hat. Statische Skripte oder Meterpreter, eine erweiterte Payload-Technik, die es Testern ermöglicht, benutzerdefinierte DLLs zu schreiben oder neue Exploit-Funktionen zu entwickeln, sind zwei mögliche Payload-Formate.

Das Ziel des NOPS-Generators (No Operation) besteht darin, Intrusion Detection and Prevention (IDS/IPS)-Systeme zu umgehen, indem zufällige Bytes generiert werden, die zum Auffüllen von Puffern verwendet werden können.

Tester können mithilfe des Datastore, einem zentralen Konfigurationsbereich, festlegen, wie Metasploit-Komponenten funktionieren. Darüber hinaus ist es möglich, dynamische Parameter und Variablen modul- und nutzlastübergreifend festzulegen und wiederzuverwenden. Jedes Modul in Metasploit verfügt zusätzlich zum globalen über einen eigenen Datenspeicher.

Kostenloses Metasploit Framework-Training

Schauen Sie sich die Playlist unten auf meinem YouTube-Kanal für kostenloses Metasploit Framework Training an