Penetration Testing mit Metasploit E-Book

1.1  Ziel und Inhalt des Buches

Ziel dieses Buches soll nicht sein, dem erfahrenen Metasploit-Nutzer die letzten Tricks und Kniffe des Metasploit-Frameworks beizubringen. Vielmehr soll der unbedarfte (Security-)Administrator gezeigt bekommen, dass Metasploit ein mächtiges Werkzeug ist, das zum Verstehen und Nachstellen von gängigen Angriffsmethoden genutzt werden kann.

Die Veröffentlichung von Schwachstellen und Patches, die wiederum selbige schließen, ist heutzutage an der Tagesordnung. So vergeht kein Monat, in dem nicht eine kritische Schwachstelle im Internet bekannt gemacht wird und Hersteller Hals über Kopf als »kritisch« deklarierte Patches herausbringen.

Wie allerdings kann der normalsterbliche Administrator sicher sein, dass eine Lücke in erster Linie überhaupt vorhanden war? Und wie kann er dafür geradestehen, dass nach dem Einspielen von Patches und/oder begleitenden Konfigurationsänderungen diese Sicherheitslücken auch tatsächlich geschlossen sind?

Inhaltlich sind moderne Schwachstellen mittlerweile so komplex geworden, dass es ein eigener Karrierepfad ist, Schwachstellen aufzufinden und auszunutzen (sogenannte Exploits dafür zu entwickeln). Gerade abseits der Programmier-Berufe fehlt der Einblick und Tiefgang in die Funktionsweise moderner Technologien und Programmiersprachen, um die technischen Hintergründe von Schwachstellen zu verstehen. Selbst Programmierer mit jahrelanger Erfahrung sind nicht automatisch befähigt, Schwachstellen zu verstehen, geschweige denn, sie zu vermeiden. Dies stellt unter anderem auch einen Grund dar, weshalb immer wieder neue Schwachstellen in Software auftauchen.

Wie also soll der Administrator hiermit umgehen und sich sicher sein, dass Lücken existieren und geschlossen werden? Ein Weg ist es, die veröffentlichten Schwachstellen und Angriffstechniken unter sicheren Rahmenbedingungen selbst anzuwenden; Schwachstellen selbst auszunutzen und Exploits selbst einzusetzen, um mit eigenen Augen zu sehen, dass diese vor dem Patchen noch und nach dem Patchen nicht mehr funktionieren.

Genau hier kommt Metasploit ins Spiel.

Metasploit ist ein mächtiges Framework mit vielschichtigem Einsatzgebiet. So bringt das Metasploit-Framework z.B. Tools mit, die dabei helfen können, Schwachstellen zu finden und Exploits dafür zu entwickeln. Spannender für dieses Buch ist aber die Tatsache, dass mithilfe von Metasploit das Ausnutzen (Exploiten) von Schwachstellen von den technischen Hintergründen der Schwachstellen abstrahiert wird.

Gemeint ist damit, dass das Metasploit eine Vielzahl (2218 zum Zeitpunkt der Fertigstellung dieser Auflage – Mitte 2022) von Exploits für die unterschiedlichsten Betriebssysteme und Programmiersprachen mitbringt. Sie als Anwender müssen aber nur einmal die grundlegende Funktionsweise des Frameworks verstehen und können danach z.B. Linux- sowie Windows-Ziele angreifen, ohne eingefleischter Experte auf der Zielplattform zu sein.

Sie müssen also kein PHP-Guru oder Linux-Kernel-Entwickler sein, um eine PHP-Webapplikationsschwachstelle auszunutzen und danach mittels einer lokalen Linux-Kernel-Schwachstelle vom Apache-Nutzer zum Root-Benutzer zu eskalieren.

Bei all dem kann Metasploit Sie unter den richtigen Voraussetzungen mit ein paar einfachen, wenigen Befehlen unterstützen.

Metasploit kommt mittlerweile in verschiedenen Formen. So wurde das Open-Source-Projekt durch die Firma Rapid7 übernommen und parallel zu einem kommerziellen Produkt weiterentwickelt und vertrieben. Welche Version Sie einsetzen können und wie Sie diese am einfachsten verwenden, wird in Kapitel 2 thematisiert.

Wie zu Beginn schon erwähnt, ist es Ziel dieses Buches, Metasploit nicht nur als reines Angriffswerkzeug (z.B. für Penetration Testing) darzustellen, sondern es auch Systemadministratoren und IT-Security-Verantwortlichen für die Verteidigung zugänglich zu machen.

An dieser Stelle verzichte ich auf das in anderen Werken obligatorische Sun-Tzu-Zitat, da es meiner Meinung nach relativ logisch ist, Angriffstechniken zu verstehen und zu erlernen, um sich effektiv gegen selbige verteidigen zu können.

Kapitel 9 wird hierfür einige gängige Angriffspfade und Techniken erläutern und mithilfe von Metasploit nachstellbar machen.

Bevor dieses Buch entstand, habe ich bereits einige freie Community-Metasploit-Workshops sowie kommerzielle Metasploit-Trainings abgehalten. Für diesen Zweck entstand über die Jahre eine Laborumgebung, anhand der die Teilnehmer der Workshops Metasploit in der Praxis anwenden und testen können.

Da gewisse Angriffstechniken, wie z.B. clientseitige Angriffe sowie die Eskalation in modernen Windows-Domänen-Umgebungen, voraussetzen, dass man auch entsprechende Systeme zur Verfügung hat, ist diese Laborumgebung deutlich komplexer geworden, als einfach nur ein bis zwei ungepatchte Windows-Installationen zur Verfügung zu haben.

Im Verlaufe dieses Buches werde ich in Abschnitt 9.1.1 diese Laborumgebung zumindest teilweise erläutern und als Grundlage zur Demonstration von Metasploit verwenden. Das Kapitel wird außerdem Anregungen und Tipps zum Aufbau eines eigenen Labors geben.

Trotz Fokussierung auf Metasploit wird dieses Buch jedoch an vielen Stellen über den Tellerrand blicken und weitere Tools erwähnen und erklären, die sich mit Metasploit ergänzen.

1.2  Rechtliches‌

Wahrscheinlich kommt kein Buch, das sich um IT-Security dreht, ohne einen entsprechenden Warnhinweis aus:

Das unbedarfte und unkontrollierte Anwenden von Werkzeugen wie Metasploit und anderen Programmen, die sich in Kali Linux befinden, kann (gegebenenfalls versehentlich) zu Straftaten führen.

Es verstößt gegen deutsches Gesetz, ohne Erlaubnis der Eigentümer von IT-Systemen diese auf Schwachstellen zu überprüfen oder gar Schwachstellen in diesen Systemen auszunutzen.

Doch selbst mit Erlaubnis und Einverständniserklärung der Eigentümer von IT-Systemen kann es durchaus nicht rechtens sein, IT-Systeme zu auditieren. Nehmen wir einmal das Beispiel eines Mailservers in der eigenen Firma. Auf diesem Mailserver liegen gegebenenfalls vertrauliche oder private E-Mails, die nach dem deutschen Postgeheimnis zu betrachten sind.

Auch Shared-Hosting-Umgebungen, wie sie z.B. bei jeglichen Cloud-Providern vorliegen, stellen ein Problem dar: Decken oder nutzen Sie gar eine Schwachstelle in der unterliegenden Infrastruktur des Cloud-Providers auf, so kommen Sie gegebenenfalls an Daten anderer Nutzer dieser Infrastruktur.

Dies gilt es unbedingt zu vermeiden und bedarf ganz klarer vertraglicher Regelungen mit dem jeweiligen Provider.

Lassen Sie sich hiervon aber auch nicht einschüchtern. Sicherheitsaudits sind auch in diesen Umgebungen sehr nützlich und wichtig. Sicherheitsaudits lassen alle guten Cloud-Provider unter abgesteckten Bedingungen zu.

Auch könnte wiederum der Internet-Service-Provider, über dessen Infrastruktur ein einfacher Portscan läuft, ein Problem damit haben. Viele Internet-Service-Provider haben hierzu Klauseln in den Verträgen. Gerade bei privaten Anschlüssen wird das Portscanning gern pauschal verboten. Selbst habe ich zwar noch keine Fälle davon erlebt, dass Internet-Provider deshalb Anschlüsse gekündigt oder Kunden abgemahnt haben, aber auf Nummer sicher geht, wer sich auch hier explizit eine Freigabe einholt.

Zu guter Letzt sollte klar sein, dass es schon ein Kündigungsgrund sein kann, wenn Sie unbedarft mit Metasploit bei Ihrem Arbeitgeber experimentieren. Selbst wenn Sie dabei nichts zerstören und nur gute Beweggründe haben.

1.3  Die Einverständniserklärung‌

Zu jedem Penetrationstest und Schwachstellenaudit gehört also immer eine schriftlich und vertraglich festgehaltene Einverständniserklärung des Eigentümers der Infrastruktur und aller beteiligten Provider.

Vorlagen hierfür bekommen Sie beim Beauftragen von Schwachstellenscans und Penetrationstests bei professionellen Anbietern oder sicherlich auch frei verfügbar im Internet.

Vorsichtshalber lassen Sie eine solche Vorlage aber lieber durch Anwälte prüfen, bevor Sie größere Audits unternehmen.

1.4  Begrifflichkeiten und Glossar

Zu guter Letzt möchte ich drauf hinweisen, dass es bei tiefgehenden Themen wie Metasploit und IT-Security immer mal wieder vorkommen kann, dass Ihnen einzelne Begriffe oder Hintergründe unklar sind.

Ich habe daher versucht, entsprechende Begriffe im Glossar am Ende des Buches zu beschreiben.

Sollte Ihnen trotzdem beim Lesen noch etwas unklar sein, scheuen Sie sich nicht davor, den Begriff einfach in der Suchmaschine Ihrer Wahl einzugeben. Ich versichere Ihnen, dass Sie zu all dem Geschriebenen in diesem Buch eine Vielzahl von Webseiten finden werden, die Ihnen die Hintergründe weiter erläutern.

2.1  Die Geschichte‌ des Metasploit-Frameworks

Bevor das Buch sich in die technischen Tiefgründe von Metasploit stürzt, möchte ich an dieser Stelle erst einmal ein wenig die Hintergründe und die Historie von Metasploit aufzeigen.

Das Metasploit-Projekt ‌wurde im Sommer 2003 von H. D. Moore gegründet. Die ersten Versionen des Frameworks wurden in Perl geschrieben, mit dem Ziel, die Entwicklung und Anwendung von Exploits zu vereinheitlichen und zu vereinfachen.

Gegen Ende 2003 trat der zweite Kern-Entwickler »spoonm« dem Projekt bei und schaffte die Grundstruktur, nach der auch heute noch das Metasploit-Framework‌ aufgebaut ist und bedient wird.

Kurz danach kam auch Matt Miller »skape« an Bord und komplettierte als drittes Mitglied das Metasploit-Kernteam.

Im Jahr 2006 kam mit der Version 2.7 die letzte in Perl geschriebene Version des Frameworks heraus. Bereits 2005 begann das Team damit, Metasploit in Ruby neu zu schreiben, und brachte letztendlich 2007 mit Version 3.0 eine komplett in Ruby geschriebene Version heraus.

In einem weiterhin auf Github verfügbaren Artikel wird als einer der Hauptgründe hierfür angeführt, dass Perl gewisse Nachteile in fehlender Objektorientierung aufweist, sowie der einfache Grund, dass das Entwickler-Team mehr Spaß an Ruby als an Perl hatte.

Im Oktober 2009 wurde dann durch das Metasploit-Projekt-Team verkündet, dass das Projekt von der Firma Rapid7 gekauft und übernommen wurde. Rapid7 ist eine Firma mit dem Fokus auf IT-Security-Software, die neben Metasploit auch für ihren Schwachstellenscanner »Nexpose« bekannt ist.

Seit 2020 ist das Framework in Version 6.0 und derzeit in Version 6.1.41 verfügbar.

2.2  Die Editionen von Metasploit

Nach der Übernahme durch Rapid7 war Metasploit ‌zwischenzeitlich in vier Versionen verfügbar:

Metasploit Framework Edition

Metasploit Community Edition (eingestellt)

Metasploit Express (eingestellt)

Metasploit Pro

Im Jahr 2022 bietet Rapid7 allerdings nur noch eine kommerzielle Version an: Metasploit Pro.

2.3  Die Wahl der Open-Source-Framework-Edition

Warum habe ich mich auf die Open-Source-Framework-Edition fokussiert und basiere dieses Buch auf dieser Version?

Zum einen aus Überzeugung. IT-Security-Tools müssen nicht kostenpflichtig, kommerziell und Closed Source sein. Metasploit ist eines der Vorzeigeprojekte hierfür.

Auch die Firma Rapid7 gehört an dieser Stelle dafür gelobt, dass sie dem »Open Core«-Modell folgt und den Kern – also die Framework-Edition – weiterhin als kostenlose Open-Source-Version am Leben hält.

Darüber hinaus bin ich der Meinung, dass das Erlernen der Metasploit-Konsole gegenüber den vereinfachten Webinterfaces den großen Vorteil bringt, dass man sich genau überlegen muss, was man vorhat und erreichen will.

Den professionellen Penetrations-Tester unterscheidet vom »Script Kiddy«, dass er genau weiß, was er tut und seine Tools zielgerichtet und so schadfrei wie möglich einsetzt.

Genau dieses zielgerichtete Wissen und Anwenden möchte ich den Lesern dieses Buches zugutekommen lassen.

Als letzten Grund möchte ich dann noch die »Offenheit« der Version anführen, die dazu führt, dass kurz nach Bekanntwerden von großen Schwachstellen sehr häufig zeitnah ein Metasploit-Modul zum Auffinden der Schwachstelle (Auxilliary-Modul) sowie ein Exploit für die Schwachstelle für Metasploit bereitsteht.

Ein Beispiel stellt die Sicherheitslücke MS17-010 in Microsofts SMB-Dienst von Windows dar, die am Wochenende 13.05./14.05.2017 weltweite Bekanntheit dadurch erlangte, dass sie von der Ransomeware (Verschlüsselungstrojaner) »WannaCry‌« wurmartig ausgenutzt wurde und die schadhafte Verschlüsselung vieler Computer auf der ganzen Welt ermöglichte.

Das passende Scanner-Modul (smb_ms17_010) tauchte erstmals am 29.03.2017 in Metasploit auf.

Der passende Exploit (ms17_010_eternalblue) war am 14.05.2017 kurz nach den Schlagzeilen verfügbar und wäre wahrscheinlich durch seine Bekanntheit wegen seiner Herkunft bei der NSA sicherlich auch schon früher in Metasploit integriert gewesen, wenn er nicht große »SMB-Protokoll-Binary-Blobs« enthalten hätte, die mühselig von den Exploit-Modul-Entwicklern revers-engineert, also ohne Dokumentation manuell nachvollzogen und erprobt werden mussten.

Ein weiteres aktuelleres Beispiel stellt zur Zeit des Verfassens dieses Buches die Sicherheitslücke CVE-2021-44228 Log4Shell dar. Log4Shell wurde am 09.12.2021 veröffentlicht und löste so bei vielen Administratoren ein arbeitsintensives Wochenende und einen arbeitsintensiven Dezember im Jahr 2021 aus.

Das passende Scanner-Modul (log4shell_scanner) tauchte erstmals am 15.12.2021 – also 6 Tage nach Veröffentlichung der Schwachstelle – im Metasploit-Github-Repository auf.

Passende Exploits-Module wie beispielsweise log4shell_header_injection und vmware_vcenter_log4shell wurden erstmalig am 07.01. respektive 13.01.2022 im Github-Repository eingecheckt.

Metasploit ermöglicht es also, seine Systeme gezielt und zeitnah nach der Bekanntmachung solcher Schwachstellen zu auditieren.

Ich ermutige trotzdem jeden Leser dieses Buches dazu, auch die Pro-Edition von Metasploit zu erproben und zu testen. Gegebenenfalls weisen sie ja trotzdem Funktionen auf, die das Verwenden oder gar Erwerben dieser Editionen rechtfertigt.

IT-Security-Expertise basiert nicht zuletzt darauf, möglichst viele Systeme zu verstehen und so einen möglichst großen Überblick und Wissensschatz aufzubauen.

3.1  Die richtige Plattform

Bevor es losgeht und wir mit Metasploit durchstarten, sollten wir uns ein paar Gedanken über die Umgebung machen, auf der wir Metasploit laufen lassen.

Eine der wahrscheinlich am weitesten verbreiteten Plattformen ‌für Metasploit ist Kali Linux‌. Als Nachfolger der ehemals und wahrscheinlich immer noch sehr bekannten Linux-Distribution BackTrack ist Kali Linux eigentlich jedem IT-Security-Professional ein Begriff. Kali Linux ist eine auf Debian basierende Linux-Distribution mit dem Fokus auf Penetration Testing und DFIR (Digital Forensics and Incident Response). So enthält Kali Linux eine Menge vorinstallierte sowie über die Paketverwaltung nachinstallierbare IT-Security-Tools.

Die Webseite http://tools.kali.org bietet eine ausführliche Auflistung dieser Tools in alphabetischer Reihenfolge.

Klickt man unter dem Buchstaben M den Eintrag »Metasploit Framework« an, so gelangt man zu einer kleinen Beschreibungsseite (siehe Abbildung 3.1).

Wie in der Abbildung 3.1 zu sehen, findet man auf dieser Webseite auch eine kurze Beschreibung und kurze Kommandozeilen-Beispiele zu den einzelnen Werkzeugen. Es lohnt sich also durchaus, einmal alle Kategorien und Tools von Kali Linux auf der Webseite querzulesen und sich einen Überblick zu verschaffen, für welche Anwendungszwecke spezialisierte Werkzeuge zur Verfügung stehen.

3.2  Hintergründe zu Kali Linux

3.3  Muss es unbedingt Kali Linux sein?

Man ist natürlich nicht dazu gezwungen, Kali Linux als Plattform für Metasploit zu nutzen. Dieses Buch wird sich allerdings darauf beschränken, Kali Linux als Plattform zu erklären.

Es steht natürlich jedem frei, sich Metasploit und andere Tools, die in diesem Buch verwendet werden, auf beliebigen anderen Betriebssystemen zu installieren. Metasploit läuft unter nahezu jeder Linux-Distribution, Windows und auch unter macOS.

Es gibt allerdings auch sehr gute Gründe, die für Kali Linux sprechen:

Alle enthaltenen Tools sind vorpaketiert und über das Kali-Paketrepository verfügbar. Das bedeutet, man muss sich keinerlei Gedanken über die Herkunft der Tools und die richtige Installation machen. Ein apt-get-Befehl, und das Programm wird installiert, konfiguriert und ist einsatzbereit.

Wer schon mal ein komplexes Programm mit vielen Abhängigkeiten vergeblich zu installieren versucht hat, wird dies zu schätzen wissen.

Auch findet eine gewisse Qualitätssicherung statt. Man stelle sich vor, es ist das Wochenende vor einem Penetrationstest und man möchte noch mal alle Programme auf den aktuellsten Stand bringen. Nichts wäre ärgerlicher als ein Fehler im Metasploit-Github-Repository, der dazu führt, dass Metasploit nun nicht mehr funktioniert.

3.4  Fluch und Segen zugleich

So wichtig und sinnvoll Qualitätssicherung ‌ist, so hat sie auch Nachteile. Gerade wurde ein brandaktueller Exploit im Metasploit-Framework auf Github eingestellt?

Dieser wird noch nicht im Kali-Paket enthalten sein. Ein

wird Ihnen diesen Exploit wahrscheinlich noch nicht auf die Festplatte holen. Ganz so schnell sind die Verwalter der Kali-Paketrepositories leider nicht. Mit ein paar Tagen Verzögerung sollte man immer rechnen.

Doch auch hierfür gibt es eine Lösung: Es ist sowohl möglich, sich einzelne Exploits manuell herunterzuladen und im eigenen Metasploit-Profil zu hinterlegen als auch eine zweite »brandaktuelle« Metasploit-Installation von Github parallel zur Paketvariante zu betreiben.

Es bleibt auch zu erwähnen, dass es trotz Qualitätskontrolle nie ausgeschlossen werden kann, dass sich in Open-Source-Projekte Fehler eingeschlichen haben, die Teile der Funktionalität beeinträchtigen. So habe ich selbst vor Kurzem einen Metasploit-Workshop abgehalten, bei dem das Auxiliary-Scanner-Modul smb_ login nicht mehr funktionierte.

Ich empfehle daher immer, Kali (inklusive Metasploit) wie ein Werkzeug zu sehen, das regelmäßig (und vor allem direkt vor einem Einsatz) geprüft und gewartet werden sollte.

3.5  Nativ oder als VM?

Haben Sie sich dazu entschieden, dem Buch zu folgen und Kali als Plattform für Metasploit zu nutzen? Dann gibt es immer noch folgende Auswahlmöglichkeit:

Kali Linux ‌nativ auf einer Hardware installieren oder doch lieber als virtuelle Maschine?

Für beide Varianten gibt es Vor- und Nachteile.

3.6  Erste Schritte nach der Installation