Forum Linux.debian/ubuntu Alternative crédible, libre et gratuite à metasploit

Posté par  . Licence CC By‑SA.
Étiquettes : aucune
2
24
nov.
2016

Tout est dans le titre, ça fait quelques temps que je recherche une alternative fiable (pas spywaré par un organisme étatique ou mafieux) pour pentester mes services. Mes recherches pour le moment ont été infructueuses, à mon plus grand étonnement.
Depuis que metasploit pratique la politique de la récupération d'informations pour l'oncle Sam, je ne l'utilise/participe plus se qui, je n'en doute pas, fait diminuer ma sécurité.

  • # Sparta ?

    Posté par  (site web personnel) . Évalué à 5. Dernière modification le 24 novembre 2016 à 16:39.

    Peut-être Sparta ? Mais ça ne semble pas sous licence libre sauf la version Beta qui est sous licence GPL V3.D'ailleurs, je préfère Sparta à Metasploit. Ca rame beaucoup moins déjà.

    • [^] # Re: Sparta ?

      Posté par  . Évalué à 1.

      Merci pour l'infos. Si tu sais faire un petit comparatif vite fait entre metasploit et sparta, je suis preneur :)
      (je dois avouer que j'appréciais énormément msf avec lequel je joue depuis msf2, c'est à contre cœur que je l'abandonne :'( c'est le seul projet qui m'a fait goutter à ruby)

      Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat

      • [^] # Re: Sparta ?

        Posté par  (site web personnel) . Évalué à 3.

        Bien ça fait tout automatiquement et ça ne rame pas beaucoup contrairement à Metasploit (armitage) qui demande beaucoup de ressources. Par contre ça lance d'emblée Hydra donc tests d'intrusion par mot de passe donc à faire seulement sur son propre site. C'est donc assez rapide et ça teste pas mal de trucs,et je trouve que les réponses sont assez détaillées plus que Metasploit. Ceci dit, ça ne gère pas l'exploitation en elle-même. C'est plutôt un test pour savoir si c'est exploitable, et ce qu'un malotru pourrait tenter ensuite.

  • # refaire ce qu'il te manque

    Posté par  . Évalué à 1.

    parce que generalement c'est un distrib toute prete avec des logiciels dispos
    ils sont juste été assemblé pour toi dans une distrib

    donc tu pourrais installer metasploit, regarder quels sont les outils qui sont dedans,
    installer alors les memes outils sur ta distrib à toi, et avoir la meme chose.

    evidemment si ensuite ils ont ajouté des scripts "persos" pour des tests automatiques, et des retours visuels,
    ce sera un peu plus long, mais ca te permettra aussi d'apprendre à faire les tests par toi meme.

    • [^] # Re: refaire ce qu'il te manque

      Posté par  . Évalué à 1. Dernière modification le 28 novembre 2016 à 17:30.

      parce que generalement c'est un distrib toute prete avec des logiciels dispos
      ils sont juste été assemblé pour toi dans une distrib

      metasploit est une suite logiciel qui à la base était un jeux vidéos, à ne pas confondre avec les distributions linux comme KaliLinux, Blackbuntu ou encore Samourai qui intègrent, entre autre, une version de metasploit qu'on ne peut pas mettre à jours*1 :)
      C'est vrai qu'il embarque certains logiciels tiers (Nessus, nmap) mais tout le cœur (msfrpcd), le système de contrôle (msfconsole|msfweb) ou de création, de malware (msfvenom) font partie intégrante du logiciel. Il n'y a que armitage, qui vient en rajout et dois sûrement être utilisable avec d'autres logiciels si des alternatives existe.
      .

      La question qui me vient est : metasploit étant libre (licence BSD "modifiée" (?) d'après wikipedia), ai-je le droit de le forker, de virer le spyware dedans (si j'y arrive) et de le repartager?

      *1 sauf à s'inscrire (à coups d'infos privées ou de fausses infos) et demander une licence gratuite étudiant

      Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat

  • # github

    Posté par  (site web personnel, Mastodon) . Évalué à 2.

    https://github.com/rapid7/metasploit-framework =)

    On ne peut pas mettre d'array dans le string...

    • [^] # Re: github

      Posté par  . Évalué à 2. Dernière modification le 04 décembre 2016 à 18:47.

      Je pensais cette réponse stupide mais enfaîte, après avoir testé : il semblerait que l'installation de metaspoloit soit différente si on passe par l'installeur officiel ou si on passe directement par github.
      Donc j'ai réussi a faire un msfupdate depuis github sans me prostituer et je suis en train de rédiger un tuto (qui sera suivis d'un live twitch 4 fun ou je l'installerais puis on jouera avec contre des VM histoire de ré-apprendre a l'utiliser :))

      Ca ne donne pas une alternative a metasploit, mais au moins ça permet d'utiliser ce dernier sans devoir fournir des infos bidons :)

      +1 pour @sputnick merci ;)

      Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.