使用Metasploit远程检查服务增强漏洞扫描

Metasploit远程检查服务扩展了扫描引擎的远程漏洞检查功能,允许它利用Metasploit模块执行漏洞检查。

要求

这些要求可能会发生变化

Metasploit远程检查服务目前正处于测试阶段。随着开发的继续,系统需求可能会发生变化。

Metasploit远程检查服务需要以下步骤来运行:

  • 扫描引擎必须安装在Linux操作系统的主机上。
  • 扫描引擎必须是产品版本6.6.63或更高版本。
  • 与标准扫描相比,该服务将在扫描引擎主机上平均额外消耗1GB的RAM。在启用服务之前,请验证扫描引擎主机的现有RAM是否能够吸收此额外负载。
  • 只有安全控制台中的分布式扫描引擎和本地扫描引擎才有资格使用该服务。
    • 不支持通过外部扫描服务提供的宿主扫描引擎。

在你开始之前

你需要使用InsightVM命令控制台在一个或多个符合条件的扫描引擎上启用Metasploit远程检查服务。您的用户帐户必须具有全局管理员角色才能访问此控制台并执行命令。

命令控制台提供了允许您执行以下操作的命令:

  • 在上启用或禁用Metasploit远程检查服务全部的支持与安全控制台配对的扫描引擎。
  • 在上启用或禁用Metasploit远程检查服务自定义列表根据扫描引擎名称配对到安全控制台的扫描引擎数量。
    • 如果您不确定分配给与安全控制台配对的扫描引擎的名称,请导航到发动机管理屏幕审查他们。

如何启用Metasploit远程检查服务

在一个或多个扫描引擎上启用Metasploit远程检查服务可能需要几分钟。完成后,命令控制台将通知您。它还将报告任何受影响的扫描引擎是否未能启用Metasploit远程检查服务。

要在与安全控制台配对的所有受支持扫描引擎上启用Metasploit远程检查服务,请执行以下操作:

Linux主机上安全控制台的本地扫描引擎包含

为安装在Linux主机上的安全控制台运行以下命令也将在本地扫描引擎上启用Metasploit远程检查服务。

  1. 在命令控制台中输入并执行以下命令:
         

          

           
          

         

          

           

            1

           在所有引擎上启用mrc-service
  1. 命令完成后,命令控制台将通知您。

要在与安全控制台配对的一个或多个扫描引擎上启用Metasploit远程检查服务,请执行以下操作:

  1. 在命令控制台中,输入并执行以下命令,该命令按名称列出要作为目标的扫描引擎。用逗号分隔多个发动机(如下所示{引擎名称- #}例子):
         

          

           
          

         

          

           

            1

           在引擎{engine-name-1}, {engine-name-2}, {engine-name-3}上启用mrc-service
  1. 命令完成后,命令控制台将通知您。

如何禁用Metasploit远程检查服务

禁用Metasploit远程检查服务的命令的工作方式与启用对应的命令相同。

在与安全控制台配对的所有扫描引擎上运行以下命令禁用Metasploit远程检查服务:

         

          

           
          

         

          

           

            1

           在所有发动机上禁用mrc服务

要禁用自定义扫描引擎列表上的服务,请使用名称指定的每个扫描引擎运行以下命令。用逗号分隔多个引擎名称:

         

          

           
          

         

          

           

            1

           在引擎{engine-name-1}, {engine-name-2}, {engine-name-3}上禁用mrc-service

如何为Metasploit远程检查服务配置扫描模板

一旦在扫描引擎上启用,所有未来的扫描都将使用Metasploit远程检查服务,只要使用的扫描模板配置为执行漏洞检查。如果要逐个扫描启用或禁用Metasploit远程检查,可以在扫描模板中进行以下调整以适应此情况:

  • 修改可用时使用Metasploit远程检查服务(测试版)复选框
  • 修改所包含的漏洞检查类型

此服务的扫描模板要求

要运行Metasploit远程检查服务,扫描模板必须同时启用相应的复选框和Metasploit包括支票类型。使用此模板时,禁用其中任何一种配置都将禁用整个服务。如果您希望禁用特定扫描的服务,则只需禁用其中一种配置。

使用扫描配置复选框启用或禁用Metasploit远程检查:

  1. 在扫描模板配置页面上,单击漏洞检查标签。
  2. 在“检查配置”下,切换可用时使用Metasploit远程检查服务(测试版)根据需要选中复选框。

Metasploit远程检查服务扫描配置选项

使用漏洞检查类型启用或禁用Metasploit远程检查:

  1. 在扫描模板配置页面上,单击漏洞检查标签。
  2. 在选中的检查下,展开通过检查类型下拉。
  3. 默认情况下Metasploit检查类型将已经包括在内。如果您希望禁用Metasploit远程检查服务,请单击删除支票类型的复选框Metasploit漏洞检查类型,然后单击拯救
  4. 如果希望在最初禁用Metasploit检查类型后再次启用它,请使用添加支票类型按钮

Metasploit远程检查服务漏洞检查类型

支持选项

如果您在扫描引擎上遇到Metasploit远程检查服务问题,请验证您的扫描引擎主机满足需求在本文开头详细介绍。

如果你还是有问题,就提交一个案子Rapid7支持团队这样我们就能解决问题了。如果您还提供了针对Metasploit远程检查服务出现问题的扫描引擎的支持包,我们的支持工程师将为您提供最好的帮助。的支持命令可以生成支持包,您可以将其作为文件手动附加到您的案例中,或直接发送给我们的支持团队。看到InsightVM命令控制台有关使用此命令的其他说明的文档。