検索
連載

Metasploit――大いなる力を手に入れるセキュリティ・ダークナイト ライジング(1)(2/2 ページ)

あのダークナイトが再び這い上がり、帰ってきた! ペンテスターとしての豊富な経験を踏まえ、自らの、そして周りの人々を守るために知るべき「攻撃者のやり方」を解説していく。

Share
Tweet
LINE
Hatena
前のページへ |       

アップデートと起動

 早速Metasploitの起動といきたいところだが、その前に、アップデートの方法を紹介しよう。

 Metasploitには、日々発見された脆弱性を利用するための「攻撃コード」(Exploit)が追加される。頻度はそこまでではないものの、ウイルス対策ソフトでいうところの「定義ファイル」が追加されるようなイメージである。

 アップデートを実行するには、スタートメニューから[プログラム]→[Metasploit]→[Framework Update]を選択する。Windows 8の場合は[Windowsキー]+[q]で検索窓を開き、入力欄に「framework update」と入力し、表示された[Framework Update]を選択する(画面14)。

 選択するとウインドウが表示され、新たなアップデートがある場合は開始される。更新がない場合はアップデートがない旨を通知するメッセージが表示される(画面15)。時々はこれを起動してアップデートを行っておくといいだろう。

 それでは、Metasploitの起動である。

 スタートメニューから[プログラム]→[Metasploit]→[Metasploit Console]を選択する。Windows 8の場合は[Windowsキー]+[q]で検索窓を開き、入力欄に「metasploit console」と入力し、表示された[Metasploit Console]を選択する(画面16)。

 するとウインドウが開き、しばらくするとコマンド入力待ちの画面になる(画面17)。

 なお、このとき表示されるアスキーアートはランダムなものだ。他のものも見てみたい場合は、[banner]コマンドを実行すると、ランダムにいろいろなものが表示される(画面18)。

パスワードを忘れた際の対処

 Metaploit WebUIはあまり使うことはないのだが、あまり使わないがゆえに、ログインパスワードを忘れる方がいるかもしれない。そこで最後に、Metasploit WebUIのログインパスワードを忘れた際の対処法を紹介しておこう。

 この場合はまず[https://localhost:3790/]にアクセスし、[I forgot my password]をクリックする(画面19)。

 すると、各OSのパスワードリセット方法を説明したページが表示される。Windows版ではスタートメニューの[プログラム]→[Metasploit]→[Password Reset]を選択。Windows 8の場合は[Windowsキー]+[q]で検索窓を開き、入力欄に「password reset」と入力し、表示された[Password Reset]を選択する(画面20)。

 しばらくするとパスワードをリセットするかどうかを確認するメッセージが表示される(画面21)ので、リセットする場合は[yes]と入力して、エンターを入力する。

 入力すると新しいパスワードが発行される(画面22)ので、そちらのパスワードでログインするといいだろう。ログイン後、任意のパスワードに変更したい場合は、右上にある[Account - アカウント名]をクリックし、[User Settings]から設定画面を開き、[Change Password]の必要項目を埋めて[Change Password]をクリックする。

まずは環境整備まで、次は被攻撃環境の整備を紹介

 今回はMetasploitを実行できるまでの環境を整える、いわば準備段階にすぎないため、もの足りなかった方もいるだろう。

 次回は、攻撃を実行される環境(被攻撃環境)を整えた上で、Metasploitを使って実際にその被攻撃環境に攻撃を行い、侵入する方法について紹介する予定だ。ちなみに被攻撃環境についての検証は既に終えている。Windodws Vista、7、8の32bit、64bit環境、それぞれ全て攻撃に成功しているものを紹介するので、少しの間お待ちいただきたい。

筆者紹介

辻 伸弘(つじ のぶひろ)

ソフトバンク・テクノロジー株式会社

セキュリティエンジニアとして、主にペネトレーション検査などに従事している。

民間企業、官公庁問わず多くの検査実績を持つ。

自宅では、趣味としてのハニーポットの運用、IDSによる監視などを行っている。

▼辻氏のブログ「(n)」: http://n.pentest.ninja/

▼辻氏のTwitter: http://twitter.com/ntsuji


Copyright © ITmedia, Inc. All Rights Reserved.

前のページへ |       
ページトップに戻る