Verwundbare VM für Security-Tests Metasploitable als Security-Testumgebung

Autor / Redakteur: Thomas Joos / Peter Schmitz |

Metasploitable ist eine virtuelle Linux- bzw. Windows-Maschine, die absichtlich angreifbar ist. Die VM kann zum Beispiel dazu verwendet werden, Sicherheitsschulungen durchzuführen, Sicherheitswerkzeuge zu testen und Penetrationstests durchzuführen.

Anbieter zum Thema

Metasploitable ist ein absichtlich verwundbares Windows- oder Linux-System, auf dem angreifbare Dienste laufen. Damit können Sicherheitsexperten digitale Angriffe nachvollziehen.
Metasploitable ist ein absichtlich verwundbares Windows- oder Linux-System, auf dem angreifbare Dienste laufen. Damit können Sicherheitsexperten digitale Angriffe nachvollziehen.
(© Gorodenkoff - stock.adobe.com)

Im Fokus der Lösung von Metasploitable steht das Erstellen einer VM auf Basis von Linux, die angreifbar ist und über zahlreiche Sicherheitslücken verfügt. Metasploitable3 steht darüber hinaus auch als virtueller Windows-Computer zur Verfügung, um Angriffe durchzuführen. Neben Windows kann aber auch ein Linux-System in Metasploitable3 erstellt werden.

Das Tool stellt also im Netzwerk auf Basis einer VM einen Computer mit IP-Adresse im Netzwerk zur Verfügung. Um sich eine umfassende Testumgebung für Sicherheitslücken zu erstellen, bietet es sich an eine VM mit Metasploitable zu installieren, und diese mit den Tools aus Kali-Linux zu untersuchen. Metasploitable3 wird als Open Source zur Verfügung gestellt. Eine Liste der integrierten Sicherheitslücken ist auf der Seite „Vulnerabilities“ zu finden.

Bildergalerie
Bildergalerie mit 6 Bildern

Metasploitable und Metasploit nutzen

Der virtuelle Computer kann mit VMware-Produkten und VirtualBox gestartet werden. Der virtuelle Server selbst hat keinerlei Aufgaben, sondern wird lediglich gestartet und ist danach im Netzwerk angreifbar. Für Sicherheitstests arbeiten Administratoren also nicht mit Metasploitable, sondern mit den entsprechenden Sicherheitstools, mit denen die Sicherheitslücken des Servers untersucht werden. Die VM ist also ideal für Testumgebungen und für Schulungen. Neben den Tools in Kali und allen anderen verfügbaren Sicherheitstools, kann auch das bekannte Sicherheitstool Metasploit zusammen mit Metasploitable eingesetzt werden, um dessen Funktionen zu testen.

Um Metasploitable zum Beispiel mit Metasploit auf Basis von Kali zu testen, kann Kali auch im Windows-Subsystem für Linux auf Rechnern mit Windows 10 oder Windows Server 2019 installiert werden. Damit in der Kali-Distribution Tools zur Verfügung stehen, müssen diese manuell installiert werden. Der Vorteil besteht darin, dass das Image klein bleibt, und nur die Tools Platz benötigen, die auch tatsächlich benötigt werden. Die Installation erfolgt in der Kali-Shell ebenfalls wieder mit „apt-get“. Auch hier sollte im Vorfeld mit „apt-get update“ eine Aktualisierung erfolgen. Um das Metasploit-Framework in Kali zu installieren, werden zum Beispiel folgende Befehle eingegeben:

sudo apt-get updatesudo apt-get install metasploit-framework

Danach stehen die Tools zur Verfügung und können in der Eingabeaufforderung, der PowerShell und im Windows Terminal so verwendet werden, wie in einem Linux-Terminal. Wo Metasploitable selbst anschließend virtualisiert wird, spielt keine Rolle.

Beim Einsatz von Metasploitable und Kali können also auch Windows-Administratoren eine Sicherheitsumgebung auf ihrem Windows 10-Rechner aufbauen und Sicherheitslücken testen und Tools für die Sicherheitsanalyse einsetzen, die bisher meistens nur für Linux eingesetzt wurden.

Metasploitable nutzen

Metasploitable wird als ZIP-Datei heruntergeladen und enthält alle Dateien, um eine VM in VMware Workstation, ESXi oder VirtualBox zu erstellen. Wer Kali und Metasploitable mit Hyper-V virtualisieren will, muss die virtuellen Festplatten von Metasploitanble in das VHJDX-Format konvertieren. Microsoft stellt dazu kostenlos „Microsoft Virtual Machine Converter 3.0“ zur Verfügung. Alternativ können die Dateien vom Metasploitable3 auch über die PowerShell oder das Linux-Terminal heruntergeladen werden.

Nach dem Start der VM steht diese sofort zur Verfügung. Es sind keinerlei Konfigurationen notwendig. Um sich anzumelden, zum Beispiel für das Abrufen der IP-Adresse des virtuellen Servers, wird der Benutzername „msfadmin“ und das Kennwort „msfadmin“ genutzt. Die Angriffe werden nicht in der VM gestartet, sondern im Netzwerk. Die VM dient generell immer nur als Ziel, um Angriffe anderer Tools zu simulieren. Solche Tools können von allen anderen Rechnern im Netzwerk gestartet werden, auch von Windows oder macOS aus. Auch Sicherheits-Distributionen wie Kali-Linux können genutzt werden, um Angriffe auf die VM zu starten.

Die Sicherheitslücken lassen sich zum Beispiel auch mit Zenmap und Nmap durchgeführt werden, aber auch professionellere Tools entdecken schnell die einzelnen Sicherheitslücken. Ein Beispiel ist VSFTP, das in Metasploitable in der Version 2.3.4 installiert ist. Diese Version hat verschiedene Sicherheitslücken, die wiederum mit Sicherheitstools ausgenutzt werden können.

Metasploitable 3 installieren

Um die Version 3 von Metasploitable zu installieren, kann in Linux auf das Terminal und in Windows auf die Befehlszeile gesetzt werden. Die Installation in Linux wird mit folgenden Befehlen durchgeführt:

mkdir metasploitable3-workspacecd metasploitable3-workspacecurl -O https://raw.githubusercontent.com/rapid7/metasploitable3/master/Vagrantfile && vagrant up

In Windows werden die entsprechenden Daten mit folgenden Befehlen installiert:

mkdir metasploitable3-workspacecd metasploitable3-workspaceInvoke-WebRequest -Uri "https://raw.githubusercontent.com/rapid7/metasploitable3/master/Vagrantfile" -OutFile "Vagrantfile"vagrant up

In Windows werden die Installationsdateien von Vagrant benötigt.

Die weiteren Voraussetzungen und Anleitungen zur Installation sind auf der GitHub-Seite von Metasploitable zu finden. Einige Videos zum Einrichten von Metasploitable gibt es auf Youtube im Kanal „Hacking Metasploitable 3“.

(ID:46401251)