Привет!⚡

Вчера мне попалась копия Metasploit Pro, и я решил сделать подробное сравнение с Community Edition. Так как планировалось много скриншотов и текста, хотел как всегда сделать пост на своем сайте. ОДНАКО...

Оказалось, что сравнивать там практически нечего. Все отличия можно вывести небольшим списком, а все скриншоты загрузить в шапку поста, что я сейчас и сделал. Итак, спидран по сравнению Metasploit Pro и Community Edition (CE для краткости). Поехали:

*️⃣ Ожидаемо, в Pro версии добавлен и, самое главное, поддерживается, Web-GUI интерфейс. Он содержит весь функционал msfconsole и даже больше. Установка и поддержка Pro-версии менее геморная, ставится за несколько нажатий кнопки "Далее". Командная строка полностью отсутствует.

*️⃣ Уклон Pro-версии сделан больше на удобное непрерывное использование. Есть вкладки с проектами, сканерами, автоэксплоитами, и так далее. Всё можно планировать по времени для проведения аудитов.

*️⃣ Pro-версия имеет проприетарные Pro модули. Проприетарные потому, что, в отличие в CE, они скомпилированы, и посмотреть исходники не так просто (но и не так сложно, Ruby всё-таки — интерпретатор, значит тут скорее всего просто трансляция в байт-код)

*️⃣ Добавлен фишинг, прямо как в как в Gophish. Можно планировать фишинговые компании с собственным письмом и поддельным веб-ресурсом.

*️⃣ Есть встроенный сетевой сканер. Доступен на той же вкладке с остальным функционалом.

На этом всё. И ценник приемлемый, 100500 тысяч денег за годовую подписку. Ладно, на самом деле всё очень плохо. Насколько? Сейчас расскажу:

1️⃣ Вы ГУИ видели на скриншотах? Там nmap флаги нужно ставить галочками. И еще эти 4 диаграммы в проектах... Ладно, возможно там не так всё плохо, но главную фичу Pro-версии можно и получше сделать. Например, добавить темную тему

2️⃣ Да, касательно сканера. Тот самый встроенный сетевой сканер — это буквально прекомпилированный nmap. И помимо него есть еще несколько внешних утилит — John The Ripper, VNCViewer и еще парочка. Ну хоть вывод парсится. И да, под автоэксплоитами поднимается запуск всех подряд модулей, которые хоть как-то подходит по сигнатуре целевых портов. Упомяну про лицензии, а именно, с GPL, которой подписан nmap, ведь данная лицензия не позволяет продавать ПО без согласия правообладателя. Ну тут, думаю, всё-таки договорились, а не втупую украли.

3️⃣ Когда я сказал про фишинг прямо как в Gophish, я ни капли не преувеличил. Это БУКВАЛЬНО Gophish. Весь функционал точь в точь совпадает.

4️⃣ До этого момента я ни слова не сказал про нашу любимую Advanced Payload, сердце метасплоита — Meterpreter. Знаете почему? Потому, что она не модифицирована абсолютно никак. Единственное отличие — чекбоксы вместо ключей командной строки при конфигурации нагрузки. Грустно 😢

Общее впечатление оставляет желать лучшего. Metasploit Pro позиционирует из себя решение как для Vulnerability Management, так и для проведения пентестов, а как мы знаем, попытка запихнуть несколько основных фич в один продукт редко приводит к хорошему результату. Единственный небольшой плюсик — это отсутствие командной строки, что делает доступность работы с Pro версией любому админу.

В заключение скажу несколько слов в защиту Rapid7. На мой взгляд, они являются если не отцами-основателями, то мощнейшими контрибьютерами в современную мировую ИБ. Концепция эксплоитов в качестве модулей, открытый исходный код, да тот же meterpreter, от которого пошли все современные C2. И при этом Metasploit развивается по сей день, несмотря на постепенное устаревание языка Ruby. Всё это необходимо монетизировать, так как работа стоит немалых трудозатрат, а на одном энтузиазме, как известно, не уедешь.

Спасибо за внимание!