HsbtDiary

■ [security][metasploit] metasploit に手を出した

これまでは開発プロセス改善や Ruby と Rails のコードレビューやリファクタリングを中心にやっていたものの技術基盤エンジニアの仕事内容 にあるセキュリティ関連もいい加減やっていかねばということでたださんが紹介していたmetasploit を試してみた。

試したと言っても metasploit を git clone してから bundle を実行して msfconsole 立ち上げ、db_connect の準備をしてから

• nmap によるポートスキャンとDBへの結果保存
• metasploit が持っているスキャンモジュールの実行(sshd や ftp のバージョンチェック等)
• ブルートフォースアタックの使い方

というところまでで1日が終わってしまった。実際に php や httpd の攻撃も仕掛けようと思ったんだけど payload の実行やその他の設定がうまく行ってないようで明日に続く。metasploit は気軽に試せて中々良いと思うのでもう少し深追いしたい。