Penetrasyon testinde herhangi bir zaman geçirdiyseniz, Metasploit ile yolları geçme ihtimali vardır. Metasploit’in ikinci baskısı, kitabı Pentesters’ın aracı nasıl kullandığına uygun olarak getirmeye çalışır. Çoğunlukla, deneyim seviyenize ve bundan çıkmayı umduğunuza bağlı olarak bazı uyarılarla başarılı olur.
Yazarlar hakkında
David Kennedyİkili Savunma ve TrustedSec’in kurucusu, Bay Robot dizisine tavsiyede bulunan bir siber güvenlik lideridir. 27 BasamakOffSec kurucusu, büyük güvenlik kusurlarını ortaya çıkaran kıdemli bir penetrasyon test cihazıdır. Devon Kearns istismar veritabanı ve Kali Linux’u kurdu. Jim O’Gorman Offsec’te Kali Linux projesine başkanlık ediyor. Daniel G. Graham Virginia Üniversitesi’nde bilgisayar bilimi profesörü ve Microsoft’ta eski bir program yöneticisidir.
Kitabın içinde
Özünde, kitap hala hem yoldan hem de referans olarak işlev görüyor. Penetrasyon testi metodolojisini ortaya koyarak başlar: öngörme, yeniden yapılanma, tarama, sömürü, sömürü sonrası ve raporlama. Daha sonra bu aşamaların her birini yol boyunca Metasploit’i nasıl kullanabileceğinizle eşler. Okuyucuya sistematik olarak düşünmenin bir yolunu verir, bu da kendi yaklaşımınızı oluşturuyorsanız veya geliştiriyorsanız yararlıdır.
İlk bölümler Kali ve Metasploable ile bir laboratuvar kurmak, çerçevenin yapısını keşfetmek ve Metasploit’in modüller, yükler ve dinleyicilerin bileşenlerini nasıl birbirine uydurduğunu anlamaktan geçer.
En güçlü bölümlerden biri kitabın ortasıdır, burada sömürüye, meterpreter ile sömürü sonrası ve kaçırma tekniklerine girer. Yazarlar sadece bir kabuğun nasıl patlayacağını değil, aynı zamanda nasıl yapışacağını göstermek için zaman ayırırlar. Ayrıcalık tırmanışı, kalıcılık ve yanal hareket gibi konular, okuyucuya daha derine inmek için bolca alan sağlayın.
Yazı basit ve pratiktir. Örnekler komut satırı ağırdır, bu da beklediğiniz şeydir. Kitap, bir terminalde rahat olduğunuzu ve biraz komut dosyasından korkmadığınızı varsayar.
Başka bir artı, kitabın sadece bir senaryo kiddie gibi metasploit kullanmanın ötesine geçmesidir. Kendi modüllerinizi inşa ederek ve istismarları çerçeveye taşıyarak yürür. Bu bölümler sizi bir gecede bir istismar geliştiricisine dönüştürmeyecek, ancak Metasploit’in kaputun altında nasıl çalıştığına dair bir temel ve takdir verecekler.
Bölüm 15’teki simüle edilmiş çirkin de hoş bir dokunuş. Daha önceki bölümlerden parçaları bir araya getirir ve her şeyin sahada nasıl bir araya gelebileceğine gerçekçi bir bakış sunar.
Kimin için?
Bu kitap, özellikle metasploit kullanarak saldırı becerilerini keskinleştirmek isteyen penetrasyon test cihazları veya BT profesyonelleri için en uygun olanıdır. Metasploit’i biraz kullandıysanız, ancak sadece yüzeyi çiziyormuş gibi hissediyorsanız, bu kitap daha derine inmenize yardımcı olacaktır.
Zaten tam kapsamlı kırmızı takım etkileşimleri yapıyorsanız ve düzenli olarak özel araçlar yazıyorsanız, muhtemelen burada çok sayıda yeni hile öğrenmeyeceksiniz. Ancak yine de yapısı ve bir tazeleme olarak sıyırmaya değer olabilir.
Metasploit, 2. baskı, Infosec topluluğunda bir temel olan bir kitap için sağlam bir güncelleme. Kitabı bitirmeyecek ve uzman olmayacaksınız. Ama güçlü bir vakfınız olacak ve daha sonra ne yapacağınızı bileceksiniz. Güvenlik içinde veya çevresinde çalışan Profesyoneller için, bu kitap öğrenme cephaneliğinde değerli bir araç olmaya devam ediyor.