2010 und 2011 habe ich am BackTrack Day in Fulda teilgenommen. Dort hatte ich das Vergnügen Michael Messner kennenzulernen, der dort Workshops zum Metasploit Framework gehalten hat. Michael hat nun die Lücke gefüllt dass es kein deutsches Buch zur Einführung in das Metasploit Framework gibt. Und ich finde, dass ihm das sehr gut gelungen ist.
Metasploit – Das Handbuch zum Penetration-Testing-Framework führt auf ca. 500 Seiten schrittweise in das Metasploit Framework ein. Das erste Kapitel beschreibt grob die Bestandteile eines Penetrationstestes, gibt Tipps für die Dokumentation und macht Vorschläge für die Einrichtung eines Testlabors. Es versteht sich von selbst, dass die Beispiele im Buch nur entweder in einem Testlabor oder mit Genehmigung der Besitzer der getesteten Rechner durchgeführt werden dürfen!
Im zweiten Kapitel geht es um die Entstehungsgeschichte von Metasploit, die Installation unter verschiedenen Betriebssystemen und um eine kurze EInführung in die Benutzerschnittstelle. Danach geht es dann direkt in die Benutzung. Das Buch beschreibt, wie man die anzugreifenden Systeme analysiert und auf Schwachstellen hin überprüft. Schon hier bekommt man einen ersten Eindruck von der Leistungsfähigkeit des Frameworks. Danach geht es darum, wie man Schwachstellen auf den entdeckten Systemen ausnutzt und sich Zugriff verschafft. Auf den ersten Blick sieht es so aus, als ob mit vielen Konsolenausgaben Seiten gefüllt werden sollen. Aber dieser Eindruck täuscht. Sieht man sich die Beispiele genauer an, erkennt man wie ein Baustein auf dem anderen aufbaut. Die Konsolenausgaben sind für das Verständnis des Buches (und des Frameworks) sehr wichtig.
Wenn man nun Zugriff erhalten hat, möchte man ja seine Rechte auf dem System erweitern sowie weitere Systeme von dort aus angreifen. Ein ganzes Kapitel widmet sich deshalb der Post-Exploitation-Phase; hierbei liegt der Schwerpunkt auf Meterpreter, einem enorm mächtigen Payload. Allein hier gab es für mich viele neue Dinge zu entdecken.
Greift man nun viele Systeme an, stellt sich zwangsläufig die Frage nach Automatisierungsmöglichkeiten. Das nächste Kapitel widmet sich den Automatisierungsmöglichkeiten innerhalb von Metasploit; z.B. beim Thema des Passwortknackens. Zu diesem Thema ist anzumerken, dass nach dem Erscheinen des Buches db_autopwn (das automatisierte Ausnutzen von Schwachstellen) aus Metasploit entfernt wurde. In der nächsten Auflage des Buches wird das berücksichtigt werden, wie der Autor es auf seiner Webseite angekündigt hat. Da aber db_autopwn wohl weiterhin eingebunden werden kann, ist das Kapitel weiterhin sehr nützlich.
Nun gibt es aber nicht nur Betriebssysteme, sondern auch andere mögliche Ziele. Als Nächstes folgt im Buch ein Kapitel über Webapplikationen, Datenbanken und (sehr kurz) Angriffe auf virtualisierte Umgebungen. Metasploit bietet zwar nicht so viele Möglichkeiten wie ein dedizierter Webscanner, aber dieses Kapitel zeigt sehr schön, wie man die Ergebnisse aus anderen Tools in Metasploit einbinden kann.
Falls man keine Angriffsmöglichkeit auf Server hat, kann man den Einstieg ja auch über den Client versuchen. Folgerichtig widmet sich das nächste Kapitel den Attacken auf Clients (z.B. XSS-Angriffe). Passend dazu widmet sich das neunte Kapitel u.a. der Einbindung des Social Engineering Toolkits sowie von BeEf, dem Browser Exploitation Frameworks.
Wem jetzt noch nicht der Kopf raucht: im nächsten Kapitel geht es um die Entwicklung eines eigenen Exploits. Mit ein wenig Verständnis für Programmierung kann man dem Kapitel sehr gut folgen. Hierzu isr den Workshop vom BackTrack Day 2010 eine gute Ergänzung.
Das letzte Kapitel widmet sich den kommerziellen Versionen Metasploit Express und Metasploit Pro. Dieses Kapitel richtet sich mehr an den professionellen Pentester. Abgerundet wird das Buch mit einem Literatur- bzw. Linkverzeichnis mit fast 290 Einträgen.
Fazit: das Buch bietet eine sehr gute Einführung in das Metasploit Framework. Die Kapitel bauen logisch aufeinander auf und die Beispiele helfen beim Verständnis sehr. Das Buch lässt sich sehr gut lesen; ich habe es auf zwei langen Bahnfahrten komplett gelesen (ohne Rechnerzugriff). Der Autor ist offen gegenüber Kritik, Anregungen und Hinweisen auf Fehler. Wenn man dem Buch etwas vorwerfen kann: es ist (trotz 500 Seiten) zu kurz. Ich hätte vom Autor gerne zu verschiedenen Theme noch mehr gelsen; aber irgendwo muss man Abstriche machen. Das trübt aber den sehr guten Eindrcuk nicht. deshalb formuliere ich es mal als Wunsch und nicht als Kritik: gerne würde ich ein zweites Buch zu dem Thema lesen. Wie wäre es: Advanced Metasploiting?
]]>