Existen 3 versiones de Metasploitable. La primera de ellas data de hace 7 años, la segunda de hace 6 años y Metasploitable3, la versión más reciente de esta máquina virtual vulnerable, de hace un par de años, siendo la opción recomendable al ser la más actualizada y útil para probar nuestras habilidades hoy en día. A diferencia de las versiones anteriores (que eran snapshots de las máquinas virtuales), esta nueva máquina depende de Vagrant y Packer para poder compilar fácilmente la imagen en el sistema, ser mucho más dinámica y permitir a la comunidad participar fácilmente.
En el siguiente enlace podemos ver todas las vulnerabilidades que encontraremos en Metasploitable3, pudiendo encontrar desde puertos abiertos y contraseñas inseguras hasta las aplicaciones más comunes que podemos encontrar por la red, listas para ser atacadas.
Cómo descargar y poner en marcha nuestra máquina Metasploitable
Para poder utilizar estas máquinas virtuales necesitamos un sistema operativo compatible con las dependencias, que vamos a ver a continuación, además de tener un procesador compatible con las funciones de virtualización (VT-x o AMD-V), 4.5 GB de memoria RAM y 65 GB de espacio en el disco duro.
Además, vamos a necesitar instalar en nuestro ordenador las herramientas Packer, Vagrant, Vagrant Reload Plugin y un sistema de virtualización, ya sea VMWare o VirtualBox. Podemos compilar nosotros mismos la imagen cuando vayamos a utilizarla, o podemos descargar las dos versiones ya compiladas de Metasploitable siguiendo las instrucciones que nos aparecen en los siguientes repositorios:
Metasploitable3 basada en Windows Server 2008 Metasploitable3 basada en Ubuntu 14.04 Por ejemplo, para montar nuestro Metasploitable3 basado en Ubuntu 14.04 simplemente tendremos que ejecutar el siguiente box en Vagrant:
Un excelente entorno para poner a prueba nuestras habilidades de hacking ético, aunque con necesidad de mejorar
Sin duda, Metasploitable es uno de los entornos más completos para llevar a cabo estas prácticas de hacking ético, sin embargo, tiene muchas cosas que mejorar. La primera de ellas, y desde nuestro punto de vista la más importante, es ofrecer actualizaciones mucho más frecuentes que incluyan las últimas versiones de los programas y vulnerabilidades nuevas que poder explotar, no fallos de seguridad de hace varios años que seguramente no encontremos abiertos en ninguna otra máquina.
Los sistemas operativos también deberían mantenerse actualizados. Actualmente podemos encontrar Metasploitable para Windows 2008 y Ubuntu 14.04, dos sistemas operativos bastante antiguos hoy en día. Estaría bien poder encontrar máquinas para explotar con Ubuntu 18.04, o con Windows 10, para poder practicar con sistemas modernos.
Gracias al diseño del proyecto, ahora basado en Vagrant, debería ser posible incluir diferentes niveles de dificultad, pudiendo crear las instancias virtuales con distintas características en función de si queremos algo más básico o complejo.
Por último, sería de agradecer, y ahorraría tiempo, poder encontrar máquinas virtuales compiladas que fuera descargar, montar en VMware o VirtualBox y a usarlas. Con Vagrant, si no tienes práctica con esta herramienta, perderás bastante tiempo en prepararlo todo a tu gusto.
fuente:.redeszone.net
- Visto: 997