Metasploit Anaçatısı’na Giriş

0
765
views
Saldırı amaçlı bir çok araç kullanılmaktadır. Bu araçlardaki bazısı bilgisayarlardaki zafiyetleri kullanarak ele geçirmeye, bazısı uygulamalardaki açıklıkları tespit etmeye, bazısı bir kurum veya sistem hakkında bilgi toplamaya yarar. Kullanılan araçlar farklı ortamlarda / platformlarda çalışmakta, farklı programlama dillerinde yazılmaktadır. Metaploit ile saldırı araçları tek bir platforma taşınmıştır. Bu yazıda Metasploit anaçatısının temelleri incelenmiştir.

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

Metasploit ana çatısının başlıca getirileri aşağıdaki gibidir:

  • Birbirinden farklı alanlardaki saldırı tekniklerini bir araya toplar.
  • Farklı platformalarda hazırlanmış kodlar yerine, modüller ruby dili hazırlanmıştır.
  • Kodların derlenmesi ile uğraşmaya gerek kalmamıştır.
  • Kullanılabilecek istismar kodları (exploit) veya payload’lar için uygun olan tavsiye edilerek zaman kaybının önüne geçilir.
  • Birbirinden farklı istismar kodları için kullanılabilecek payload’lar otomatik olarak sunulmuştur.
  • İstismar kodları açık kaynaklı olup topluluk tarafından veya lişisel olarak güncellemeye imkan sunmaktadır.
  • Mevcut modüller kullanılarak amaca uygun şekilde farklı uygulamalar geliştirmeye açıktır.

Metasploit, 2003 yılında HD Moore tarafından önce Perl tabanlı olarak geliştirilmiş olup, sonrasında Ruby tabanlı olarak baştan geliştirilmiştir. 2009 yılında ise Metasploit projesi açık kaynaklı bir proje olarak Rapid7 bünyesine katılmıştır. Rapid 7 firması ayrıca ücretli olarak Metasploit Pro başta olmak üzere bir çok ürünün de ticaretini gerçekleştirmektedir. Ayrıca Rapid 7’nin açık kaynaklı zafiyet tarama aracı olan Nexpose ile de entegre çalışabilmektedir.

Metasploit ana çatısının bazı kullanım amaçları şu şekildedir:

  • Hedef ağ, sistem ve uygulamalarının güvenliğinin değerlendirilmesine yardımcı olmak
  • Sistemler hakkında bilgi toplanmasına yardımcı olmak
  • Güvenlik açıklıklarını bulmak
  • Sistemlerin açıklıklarının kullanılarak istismar edilmesini sağlamak
  • Anti-forensic tekniklerini kullanmak
  • Sistemlerdeki koruyucu mekanizmaları atlatmak
  • İhtiyaca göre yeni modüller geliştirmek veya mevcut modülleri kullanmak

Ana çatının hitap ettiği kullanıcılardan bazıları şu şekildedir:

  • Güvenlik denetleyicileri ve uzmanları
  • Saldırganlar
  • Modül geliştiriciler

 

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

CEVAP VER

Yorumunuzu giriniz
İsminizi giriniz

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.