1分钟教你学会Metasploit 安装与部署

李志宽
• 阅读 2086

前言

Metasploit是一款开源的安全漏洞检测工具,可以帮助安全和IT专业人士识别安全性问题,验证漏洞的缓解措施,并管理专家驱动的安全性进行评估,提供真正的安全风险情报。这些功能包括智能开发,代码审计,Web应用程序扫描,社会工程。团队合作,在Metasploit和综合报告提出了他们的发现。(来自百度百科)

总之是一款非常优秀的开源渗透测试框架。

安装Metasploit

本文只讨论在Linux系统下的安装, 包括Ubuntu、Centos、Deepin等, 读者可以直接安装Kali操作系统, 上面集成了许多工具, 就不用一个个去安装了。

安装方式两种:

1. 一键安装

这也是官方推荐的安装方法, 基本上一步到位:

curl https://raw.githubusercontent.com/rapid7/metasploit-omnibus/master/config/templates/metasploit-framework-wrappers/msfupdate.erb > msfinstall && \
  chmod 755 msfinstall && \
  ./msfinstall

假如下载速度非常慢,也可以尝试下面的方法:

chmod a+x metasploit-latest-linux-installer.run
./metasploit-latest-linux-installer.run

也可以(举例Ubuntu下):

vim /etc/apt/sources.list
  添加这两行
  deb http://http.kali.org/kali kali-rolling main contrib non-free
  deb-src http://http.kali.org/kali kali-rolling main contrib non-free
sudo apt-get update
sudo apt-get install metasploit-framework

2. 源码编译安装

先安装依赖:

sudo apt install -y autoconf build-essential libpcap-dev libpq-dev zlib1g-dev libsqlite3-dev

接着从github上clone项目到本地目录:

git clone git@github.com:rapid7/metasploit-framework.git

由于msf是基于Ruby开发的, 所以还需要安装Ruby和Gem。

Ruby 是一种语言,是某些软件包代码的执行环境。而Gem是管理这些基于Ruby程序的程序。

进入刚刚clone下来的项目中, 并查看Ruby版本:

cd metasploit-framework-5.0.74/

cat .ruby-version 

我的系统自带了Ruby和Gem, 安装过程就不再赘述了。

紧接着, 安装 Bundler 来打包安装源代码:

Bundler 能够跟踪并安装所需的特定版本的 gem,以此来为 Ruby 项目提供一致的运行环境。

Bundler 是 Ruby 依赖管理的一根救命稻草,它可以保证你所要依赖的 gem 如你所愿地出现 在开发、测试和生产环境中。 利用 Bundler 启动项目简单到只用一条命令:bundle install。

安装Bundle:

language
  sudo gem install bunlder

sudo apt-get install bundler  (非必须)

然后在源代码目录下执行即可: (之后是需要一个漫长的安装时间)

  bundle install

bundle命令需要有Gemfile来引导执行, 可以在项目目录下看到Gemfile文件。

1分钟教你学会Metasploit 安装与部署

1分钟教你学会Metasploit 安装与部署

过程中遇到的问题

说一下我这里遇到的坑, 在执行bundle install命令的时候, 报出了如下错误:

1分钟教你学会Metasploit 安装与部署

关键错误如下:

 Traceback (most recent call last):
    1: from /usr/local/bin/bundle:23:in `<main>'
/usr/local/bin/bundle:23:in `load': cannot load such file -- /usr/share/rubygems-integration/all/gems/bundler-1.17.3/exe/bundle (LoadError)

看起来是bundler文件损坏导致的不能正确执行,

Google了一下得到两种解决方法:

  • Gem版本过旧

1分钟教你学会Metasploit 安装与部署

于是升级了一下, 还是出现同样的错误。

  • bundle损坏

用命令: gem uninstall bundle 来卸载并重新安装bundle。

发现还是没有解决, 可能是bundle没有复原成功, 更新后的gem未与bundle完成整合。

于是再用:

gem update --system

gem pristine bundle

即可完成复原bundle为初始状态, 这样就可以对应上gem update后的system了。

安装postgresql

安装postgresql数据库:

安装数据库的时候会自动创建系统用户postgres,数据库用户postgres,数据库postgres

然后再启动它


  sudo systemctl start postgresql

切换到postgres用户(需要root), 登陆postgresql数据库,首次登陆没有密码

 sudo su - postgres  # 切换用户

psql -h localhost -p 5432 -U postgres -W

修改数据库用户postgres的密码为postgres:

password postgres

然后创建一个metasploit专用的数据库msf:

CREATE DATABASE msf;  # 创建数据库msf

\l;  # 查看所有数据库

1分钟教你学会Metasploit 安装与部署)1分钟教你学会Metasploit 安装与部署

配置及启动

然后退出postgres用户, 到metasploit目录下配置文件 database.yml:

  adapter: postgresql
  database: msf 
  username: postgres
  password: postgres
  host: localhost
  port: 5432
  pool: 200
  timeout: 5

然后启动metasploit:

msfconsole

1分钟教你学会Metasploit 安装与部署

【配套工具&源码】

点赞
收藏
评论区
推荐文章
李志宽 李志宽
2年前
1分钟教你学会Metasploit 安装与部署
前言Metasploit是一款开源的安全漏洞检测工具,可以帮助安全和IT专业人士识别安全性问题,验证漏洞的缓解措施,并管理专家驱动的安全性进行评估,提供真正的安全风险情报。这些功能包括智能开发,代码审计,Web应用程序扫描,社会工程。团队合作,在Metasploit和综合报告提出了他们的发现。(来自百度百科)总之是一款非常优秀的开源渗透测试框架。安装Met
专注IP定位 专注IP定位
3年前
网络态势感知是什么?
目前,对网络安全态势感知并未有一个统一而全面的定义,概念上可以大致理解为:网络安全态势感知是综合分析网络安全要素、评估网络安全状况、预测其发展趋势,并以可视化的方式展现给用户,并给出相应的报表和应对措施。拆分四个步骤:1、数据采集:通过各种检测工具,对各种影响系统安全性的要素进行检测采集获取,这一步是态势感知的前提。(包括网络结构数据、网络服务数据、漏洞数据
李志宽 李志宽
3年前
渗透测试:看“道德黑客”如何进行模拟攻击
前言:渗透测试是指安全专业人员在系统所有者的许可下,模拟对网络或计算机系统的攻击以评估其安全性的过程。不过,尽管是“模拟”攻击,但渗透测试员同样会把现实世界中攻击者的所有工具和技术都用到目标系统上,只是他们并不以发现的漏洞或获取的信息用来牟利,而是将结果上报给所有者,以帮助其提高系统安全性。由于渗透测试人员遵循与恶意黑客相同的攻击策略,所以他们有时候被称为“
可莉 可莉
3年前
10款常见的Webshell检测工具
当网站服务器被入侵时,我们需要一款Webshell检测工具,来帮助我们发现webshell,进一步排查系统可能存在的安全漏洞。本文推荐了10款Webshll检测工具,用于网站入侵排查。当然,目前市场上的很多主机安全产品也都提供这种WebShell检测能力,比如阿里云、青藤云、safedog等,本文暂不讨论。1、D盾\_Web
Stella981 Stella981
3年前
Appscan
IBMAppScan该产品是一个领先的Web应用安全测试工具,曾以WatchfireAppScan的名称享誉业界。RationalAppScan可自动化Web应用的安全漏洞评估工作,能扫描和检测所有常见的Web应用安全漏洞,例如SQL注入(SQLinjection)、跨站点脚本攻击(crosssitescripting)、缓
Stella981 Stella981
3年前
SonarQube 8.4.2.36762 最新版在 Ubuntu 下的安装配置
       SonarQube是一个开源工具,可以进行自动代码审查,可帮助进行代码质量分析和报告。它会扫描您的源代码以查找潜在的错误,漏洞和可维护性问题,然后将结果显示在报告中,该报告将使您能够识别应用程序中的潜在问题。       一、下载最新版本的安装包  一般都直接上官网下载,打开官网链接  https://www.son
新支点小玉 新支点小玉
11个月前
CNAS中兴新支点——源代码审计对企业有哪些好处
源代码扫描,对应用程序进行静态漏洞扫描,分析源代码中存在的安全风险,运行应用于模拟器中对应用进行实时漏洞攻击检测。你是否了解源代码扫描对企业的好处?一、源代码扫描,通常能够帮助企业解决这些问题:1、软件代码中安全漏洞和未声明功能的存在是信息安全事件频繁发生
网络审计:为什么定期检查您的网络很重要
在数字化时代,网络安全成为组织和个人必须面对的重要挑战。网络审计是一种关键的安全措施,通过定期检查和评估网络系统的安全性,帮助发现潜在的安全漏洞和弱点,从而防止数据泄露和其他安全威胁。本文将介绍网络审计的重要性,并提供一系列具体的操作步骤,帮助您有效地执行网络审计。
李志宽
李志宽
Lv1
男 · 长沙幻音科技有限公司 · 网络安全工程师
李志宽、前百创作者、渗透测试专家、闷骚男一位、有自己的摇滚乐队
文章
89
粉丝
25
获赞
43