ميتاسبلويت هي واحدة من أقوى الأدوات التي يعتمد عليها من يعمل في مجال أمن المعلومات واختبار الاختراق، والتي تسمح للمستخدم بإجراء عملية فحص شامل لنظام مستهدف واكتشاف ثغرات أمنية موجودة به والقيام بتجربة الاختراق من خلال حمولة (Payload) جاهزة توفرها الأداة. في هذا المقال إن شاء الله سنتعرف بالتفصيل على ما هي أداة Metasploit وكيفية عملها وما هي مميزاتها؟ وكيفية تنزيل ميتاسبلويت للأندرويد وأيضًا أفضل مصادر مجانية لتعلمها.
ما هي ميتاسبلويت Metasploit؟
- أداة ميتاسبلويت هي عبارة عن إطار عمل مفتوح المصدر مبني باستخدام لغة روبي وهي واحدة من أشهر الأدوات التي يتم الاعتماد عليها في مجال صيد الثغرات Bug Bounty بسبب ما تقدمه من مميزات لمختبر الاختراق كما سنتعرف في هذا المقال إن شاء الله.
- توفر Metasploit على المستخدم الكثير من الوقت والجهد في عملية البحث الخاصّ به عن الثغرات وكتابة الكود الخاصّ باستغلال الثغرة وغير ذلك من الأمور. كما أنها توفر واجهة رسومية تساعد المبتدئين في المجال على استكشاف هذا العالم.
- فهذه الأداة واحدة من أقوى الأدوات التي يعتمد عليها مهندسو الشبكات لحماية شبكاتهم عبر البحث عن أي ثغرات أمنية فيها، ومحاولة استغلالها، ثم ترقيع أي ثغرات أمنية قد يتم اكتشافها، وكذلك يستخدمه من يحاول الهجوم على الشبكات بشكل خبيث.
كيف تعمل أداة Metasploit؟
- تُعد ميتاسبلويت بيئة عمل متكاملة توفر الكثير من الأدوات التي تمكّن مسخدميها من القيام باختبار الاختراق بدايةً من فحص ثغرات المواقع والبحث عنها في قائمة الموجودة بالفعل في قاعدة بياناتها، ثم اختيار الحمولة / Payload التي يمكن استخدامها لاختراق ناجح ثم تجربة الاختراق بشكل فعلي.
- تضم الأداة الكثير من الأدوات التي يمكن استخدامها في عملية الاستطلاع مثل Nmap | Nessus لاكتشاف الثغرات في الأنظمة، بعد ذلك يتم اختيار البايلود Payload المناسبة للثغرة المكتشفة واستخدامها في اختراق الهدف.
- بعد الاختراق يمكن باستخدام ميتاسبلويت أيضًا عمل تصعيد للامتيازات التي تحصل عليها كمخترق مثل تصوير الشاشة أو جمع نقرات المستخدم على لوحة المفاتيح أو التجسس على اتصاله بالإنترنت أو غير ذلك.
ما هي مميزات ميتاسبلويت؟
- أداة مجانية مفتوحة المصدر.
- يتم تطوير الأداة بشكل مستمر ولها مجتمع ضخم.
- يمكن تخصيص الأداة لتلائم استخدام أو تجربة خاصّة.
- يمكن تثبيت ميتاسبلويت على Termux واستخدامها عبر الأندرويد.
- يمكنك استخدامها كشخص مسئول عن تأمين شبكات لفحص أمان الشبكة.
- تأتي بشكل افتراضي مع توزيعات لينكس المخصصّة للاختراق مثل توزيعة كالي.
- يمكن استخدام الأداة للعثور على ثغرات في الأنظمة الأمنية لمن يعمل في مجال صيد الثغرات.
- توفر الكثير من الجهد والوقت في تنصيب الأدوات التي تحتاجها وكتابة كود الاستغلال وغير ذلك.
- أداة لا غنى عن تعلمها واستخدامها لمن يبحث عن تعلم الاختراق الأخلاقي والعمل في هذا المجال.
- توفر بيئة متكاملة بكل الأدوات التي قد تحتاج إليها من أجل العثور على نقاط ضغف وحتى الاختراق.
أوامر Metasploit
- توجد الكثير من أوامر ميتاسبلويت التي يمكن استخدامها للتحكم في الأداة والقيام بالأمور التي تريدها سواءً بالبحث أو باستغلال الثغرات والهجوم وما إلى ذلك.
- يمكن الرجوع إلى الدليل الخاصّ بالشركة المطوّرة للأداة من الرابط في أسفل هذه الفقرة من أجل معرفة هذه الأوامر، وفيم تستخدم؟ وما هي الأوامر التي قد تحتاج إليها لتنفيذ الهجوم الخاصّ بك.
تنزيل ميتاسبلويت للأندرويد
- بالرغم من أن أداة ميتاسبلويت مخصصة للاستخدام على الحواسيب، إلا أنه من الممكن استخدام الأداة على أجهزة الأندرويد، سواءً كانت لديك صلاحية الروت أو لا، ولكن يفضل امتلاكها بالطبع ليكون لديك الصلاحية للقيام بكافّة الأمور التي قد تحتاج الأداة إليها.
- لا يمكن تنزيل ميتاسبلويت للأندرويد بشكل مباشر، ولكن يمكن الاعتماد على تطبيق Termux وهو محاكي الطرفية المعروف للأندرويد، والذي من خلاله يمكنك تنزيل ميتاسبلويت واستخدامها على هاتفك الأندرويد.
- يمكنكم مراجعة الفيديو في بداية هذه الفقرة للتعرف على كيفة تحميل Metasploit على Termux ويمكنكم الوصول من الأسفل إلى الروابط المستخدمة.
مصادر تعلم أداة ميتاسبلويت
- أخيرًا سنتحدث عن مجموعة مصادر وأيضًا دورات اختراق تشرح أداة Metasploit بشكل عملي، وكيف يمكنك احتراف استخدام هذه الأداة المميزة بشكل مجاني تمامًا.
1- الموقع الرسمي للأداة
- يمكنك مراجعة التوثيق الخاصّ بالأداة على الموقع الرسمي والذي يضم كل المعلومات التي تحتاج إلى معرفتها عن الأداة بشكل مفصّل، بالإضافة كيفية الاستخدام الأمثل للأداة وطرق تجربتها بشكل عملي وما إلى ذلك.
2- كتاب Metasploit The Penetration Tester S Guide
- كتاب Metasploit The Penetration Tester S Guide هو واحد من أقوى المصادر المتوفرة التي يمكن من خلالها فهم طريقة عمل الأداة وكيفية استخدامها بشكل فعّال في عمليات الاستطلاع وكذلك تعليم الهكر باستخدامها. يمكنكم تحميل الكتاب مجانًا بصيغة PDF من موقع Internet Archive من الرابط التالي.
3- كتاب Metasploit Penetration Testing Cookbook
- هذا الكتاب أيضًا من المراجع المميزة التي يمكن الاعتماد عليها، ويتميز بوجود شرح مصوّر أكثر من الكتاب السابق، وأيضًا يمكنك تحميله مجانًا من الرابط التالي.
4- كورس Metasploit For Beginners
- هذا كورس عملي يمكنك مشاهدته على اليوتيوب للتعرف أكثر على أداة ميتاسبلويت وكيفية استخدامها. الدورة قديمة نوعًا ما، لكنها ما زال توفر الكثير من المعلومات المفيدة عن الأداة وطرق استخدامها.