Metasploit fournit un framework pour le pentesting que chaque personne intéressée dans les tentatives d'intrusion se doit de connaître et d'avoir dans son portfolio. Mais le pentest n'est pas toujours facile, est compliqué en termes légaux et pour plein d'autres raisons, notamment la satisfaction d'entrer dans un système, il est recommandé de pratiquer dans son propre lab. Et pour mettre en place son lab rien de plus pratique que de disposer d'une machine vulnérable. Pour cela, je vous invite à regarder un peu plus bas pour savoir comment le faire.
Comme annoncé dans la section Metasploit, l'environnement Metasploitable propose une machine remplie de vulnérabilités avec lesquelles nous pouvons tester des pratiques de pentesting. Tout est expliqué sur le site officiel Rapid7 : https://docs.rapid7.com/metasploit/metasploitable-2/
Par contre si vous souhaitez aller rapidement à l'essentiel, c'est-à-dire utiliser Proxmox pour installer une VM Metasploitable, voici les différentes étapes à suivre.
Connectez-vous sur votre serveur Proxmox et ouvrez un shell. Vous aurez besoin de
unzip donc faites un apt-get install unzip
wget https://sourceforge.net/projects/metasploitable/files/Metasploitable2/metasploitable-linux-2.0.0.zip
unzip metasploitable-linux-2.0.0.zip
cd Metasploitable2-Linux/
qemu-img convert -O qcow2 Metasploitable.vmdk metasploitable.qcow2
qm create 300 --memory 2048 --cores 2 --name Metasploitable2 --net0 virtio,bridge=vmbr0 --boot c --bootdisk ide0
qm importdisk 300 metasploitable.qcow2 local-lvm
qm set 300 --ide0 local-lvm:vm-300-disk-0Dans les étapes qui précèdent, nous faisons un téléchargement de la version linux de Metasploitable2. Le fichier obtenu est une image au format VMWare vmdk que nous allons convertir en format qcow2 de KVM/Proxmox.
Nous créons ensuite une VM avec l'ID 300, avec 2 Go de RAM, en utilisant les drivers virtio et le bridge vmbr0. Nous rendons cette VM bootable avec l'interface ide0.
Nous attachons ensuite le disque fraîchement importé à la VM d'ID 300 à travers l'interface --ide0.
Dans cet exemple, le fichier qcow2 obtenu est importé sur l'espace de stockage local-lvm mais rien n'interdit de la positionner sur tout autre stockage disponible sur votre environnement Proxmox. Par exemple, si vous disposez d'un espace avec ZFS nommé zfs-storage alors les deux dernières lignes seraient
qm importdisk 300 metasploitable.qcow2 zfs-storage
qm set 300 --ide0 zfs-storage:vm-300-disk-0