Forum de Fandeonepiece2

Bon dev :)


    [Pentesting] Exploitation Metasploit /*/ Scanning vuln Nmap

    Partagez
    avatar
    Salou

    Messages : 145
    Date d'inscription : 02/06/2014
    Age : 23
    Localisation : Le trou du cul de la france

    [Pentesting] Exploitation Metasploit /*/ Scanning vuln Nmap

    Message par Salou le Sam 17 Oct - 16:09

    Bonjour à tous ! Very Happy
    Aujourd'hui je me lance dans metasploit !

    1) Utiliser une distribution linux
    Debian, Kali, etc...

    /!\ Information /!\

    Je déconseille Ubuntu car il y a pas mal de bugs, et il aurait des backdoors.


    Si vous êtes sous kali alors rien à installer.
    Mais si vous êtes sous Debian 6-7-8 (je vous recommande la version Cool, il va falloir ajouter les dépots kali
    Exécutez donc ces commandes en root (su -)

    Ouvrez le fichier des dépôts de paquets
    Code:
    nano /etc/apt/sources/list

    Ajouter à la fin du fichier, pour ajouter les dépots kali.
    Code:
    ## Kali Linux
    deb http://http.kali.org/kali kali main non-free contrib
    deb-src http://http.kali.org/kali kali main non-free contrib

    ## Security updates
    deb http://security.kali.org/kali-security kali/updates main contrib non-free

    Faites Ctrl+x pour enregistrer le fichier.

    Installez :
    Code:

    apt-get update && apt-get install kali-archive-keyring && apt-get update
    Et :
    Code:

    apt-get install metasploit && service postgresql start
    Puis installez nmap
    Code:

    apt-get install nmap

    Vous devez ensuite désactiver l'ipv6 qui empêche les outils de marcher.
    tuto pour désactiver l'ipv6 : http://www.commentcamarche.net/faq/7032-linux-ubuntu-desactiver-le-support-ipv6


    Ensuite faite la commande :
    Code:

    msfconsole
    Et ensuite :
    Code:

    msfupdate
    Normalement toute est bon :-)

    Ensuite il faut une victime Twisted Evil  .

    Pour cela inscrivez vous sur : http://www.root-me.org
    Ce site permet de s’entraîner a exploiter des failles.
    Une fois inscrit allez dans http://www.root-me.org/fr/Capture-The-Flag/CTF-all-the-day/
    Créez une partie en sélectionnant Metasploit2
    Lancez vous, confirmer votre vote et cliquez sur lancer la partie et une fois démarré, ils vous donnent un nom de domaine relié à la machine virtuelle à exploiter.

    Première commande à entrer dans metasploit :
    Code:
    host ledomaine

    Copiez l'ip et faites :
    Code:
    nmap IP -sV -Pn

    Pourquoi ces arguments ?
    -sV va interroger tout les ports pour savoir quels services, versions sont utilisés.
    -Pn force le scan

    copiez le nom du service à exploiter, par exemple : vsftpd
    Entrez ça dans metasploit :
    Code:
    search LeNomDuService

    Des lignes défilent avec tout les exploits possibles.
    Vous en choisissez un avec la même versions que celle de la victime. (voir scan)
    Tapez ensuite 
    Code:
    use le_nom_de_l'exploit

    Visez une personne via son IP.
    Code:
    LHOST IpDeLaVictime

    Il est possible que le port du service ai été changé :
    Code:
    LPORT port_du_service_à_attaquer_(celui_définit)

    Nous avons besoin d'une charge (Payload)
    Après avoir acheté un pistolet il faut trouver des balles.
    faites :
    Code:
    show payloads

    Trouvez celui qui vous convient puis
    Code:
    set payload le_nom
    exploit

    /!\ Attention certains exploits nécessitent des options :
    Code:
    show options
    set le_nom_de_l'option la_valeur_demander

    En moyenne, ça prend 10 minutes Very Happy 
    j'ai mis 14-15 minute.
    L'épreuve de root-me est de récupérer un flag, là un mdp qui est dans un fichier /passwd dès que vous avez le contrôle de la machine ouvrez le fichier avec :
    Code:
    cat /passwd

    Cordialement SpaceMonkey
    avatar
    Aze (admin)
    Admin
    Admin

    Messages : 435
    Date d'inscription : 03/05/2014
    Age : 16
    Localisation : France

    Re: [Pentesting] Exploitation Metasploit /*/ Scanning vuln Nmap

    Message par Aze (admin) le Lun 19 Oct - 11:45

    J'ai corrigé les fautes Smile

      La date/heure actuelle est Mer 13 Déc - 17:54