MetaSploit en Kali Linux Top 10top 10

Lorenzo Morales
MetaSploit en Kali Linux Top 10top 10

Pruebas de penetración con Kali Linux


Internet está lleno de acechadores con intenciones maliciosas que desean acceder a las redes y explotar sus datos mientras evaden la detección. Solo tiene sentido garantizar la seguridad de una red midiendo sus vulnerabilidades. Las pruebas de penetración o la piratería ética es cómo probamos redes o servidores para objetivos de embarazo identificando todas las violaciones posibles que un hacker podría usar para obtener acceso, reduciendo así los compromisos de seguridad. Las pruebas de penetración a menudo se realizan a través de aplicaciones de software, la más popular de las cuales es Kali Linux, preferiblemente con el marco de MetaSploit. Pegue hasta el final para aprender a probar un sistema ejecutando un ataque con Kali Linux.

Una introducción al marco de Kali Linux y MetaSploit

Kali Linux es una de las muchas herramientas de seguridad del sistema avanzadas desarrolladas (y actualizadas regularmente) por seguridad ofensiva. Es un sistema operativo basado en Linux que viene con un conjunto de herramientas principalmente concebidas para pruebas de penetración. Es bastante fácil de usar (al menos en comparación con otros programas de prueba de pluma) y lo suficientemente intrincados como para presentar resultados adecuados.

El Marco de metasploit es una plataforma de prueba de penetración modular de fuente abierta utilizada para atacar sistemas para evaluar las exploits de seguridad. Es una de las herramientas de prueba de penetración más utilizadas y viene incorporada en Kali Linux.

MetaSploit consta de almacén de datos y módulos. DataStore permite al usuario configurar los aspectos dentro del marco, mientras que los módulos son fragmentos autónomos de códigos de los cuales MetaSploit deriva sus características. Como nos estamos centrando en ejecutar un ataque para las pruebas de lápiz, mantendremos la discusión en los módulos.

En total, hay cinco módulos:

Explotar - Evade la detección, se rompe en el sistema y carga el módulo de carga útil
Carga útil - Permite el acceso al usuario al sistema
Auxiliar -apoya la violación realizando tareas no relacionadas con la explotación
Correo-Explotación - permite un mayor acceso al sistema ya comprometido
NOP generador - se usa para omitir IPS de seguridad

Para nuestros propósitos, utilizaremos módulos de exploit y carga útil para obtener acceso a nuestro sistema de destino.

Configuración de su laboratorio de pruebas de pluma

Necesitaremos el siguiente software:

Kali Linux:

Kali Linux será operado desde nuestro hardware local. Utilizaremos su marco de metasploit para localizar las exploits.

Un hipervisor:

Necesitaremos un hipervisor, ya que nos permite crear un máquina virtual, que nos permite trabajar en más de un sistema operativo simultáneamente. Es un requisito previo esencial para las pruebas de penetración. Para una navegación suave y mejores resultados, recomendamos usar cualquiera Virtualbox o Microsoft Hyper-V Para crear la máquina virtual en.

Metasplotable 2

No debe confundirse con Metasploit, que es un marco en Kali Linux, MetaSploitable es una máquina virtual intencionalmente vulnerable programada para capacitar a profesionales de seguridad cibernética. MetaSploitable 2 tiene toneladas de vulnerabilidades comprobables conocidas que podemos explotar, y hay suficiente información disponible en la web para ayudarnos a comenzar.

Aunque atacar el sistema virtual en el metasplotable 2 es fácil porque sus vulnerabilidades están bien documentadas, necesitará mucha más experiencia y paciencia con máquinas y redes reales para las que eventualmente realizará la prueba de penetración para. Pero el uso de MetaSploitable 2 para las pruebas de lápiz sirve como un excelente punto de partida para aprender sobre el método.

Usaremos MetaSploable 2 para promover nuestras pruebas de lápiz. No necesita mucha memoria de computadora para que esta máquina virtual funcione, un espacio de disco duro de 10 GB y 512 MB de RAM debería funcionar bien. Solo asegúrese de cambiar la configuración de la red para metasplotable al adaptador solo al host mientras lo instala. Una vez instalado, inicie el metasplotable e inicie sesión. Startup Kali Linux para que podamos hacer que su marco MetaSploit funcione para iniciar nuestras pruebas.

Explotación de VSFTPD V2.3.4 Ejecución de comando de puerta trasera

Con todas las cosas en su lugar, finalmente podemos buscar una vulnerabilidad para explotar. Puede buscar la web para diferentes vulnerabilidades, pero para este tutorial, veremos cómo VSFTPD V2.3.4 se pueden explotar. VSFTPD significa un demonio FTP muy seguro. Hemos seleccionado este porque nos otorga acceso completo a la interfaz de MetaSploable sin buscar permiso.

Inicie la consola de Metasploit. Vaya al símbolo del sistema en el Kali Linux e ingrese el siguiente código:

$ sudo msfconsole

Con la consola ahora abierta, escriba:

$ Search VSFTPD

Esto plantea la ubicación de la vulnerabilidad que queremos explotar. Para seleccionarlo, escriba

$ use Exploit/unix/ftp/vsftpd_234_backdoor

Para ver qué más información se requiere para iniciar la explotación, escriba

$ Show Opciones

La única información de cualquier importancia sustancial que falta es la IP, que le proporcionaremos.

Busque la dirección IP en el metasplotable escribiendo

$ ifconfig

En su shell de comando

La dirección IP es al comienzo de la segunda línea, algo así como

# INET ADDR: 10.0.2.15

Escriba este comando para dirigir el metasploit al sistema de destino y comenzar la exploit. Estoy usando mi IP, pero dará como resultado un error, sin embargo, si usa una IP de víctima diferente, obtendrá resultados de la exploit

$ set rhost [víctima IP]
$ run

Ahora, con un acceso completo otorgado a metasplotable, podemos navegar a través del sistema sin restricciones. Puede descargar cualquier datos clasificados o eliminar cualquier cosa importante del servidor. En situaciones reales, donde un Blackhat gana acceso a dicho servidor, incluso pueden apagar la CPU, causando que cualquier otra computadora conectada también se bloquee.

Envolviendo las cosas

Es mejor eliminar los problemas de antemano en lugar de reaccionar ante ellos. Las pruebas de penetración pueden ahorrarle mucha molestia y ponerse al día cuando se trata de la seguridad de sus sistemas, ya sea una sola máquina de computadora o una red completa. Con esto en mente, es útil tener conocimiento básico sobre las pruebas de lápiz. MetaSploitable es una excelente herramienta para aprender sus elementos esenciales, ya que sus vulnerabilidades son bien conocidas, por lo que hay mucha información sobre ello. Solo hemos trabajado en un exploit con Kali Linux, pero le recomendamos que los analices más.

php
Cómo usar la función php str_split
La función php str_split () es una herramienta útil para dividir las cadenas en caracteres individua...
Lorenzo Canales
golang
Cómo recortar una cadena en Golang
El recorte de cadenas es un proceso de eliminación de espacios o caracteres adicionales desde el pri...
Jacobo Piña
Programación C
Cómo imprimir % usando printf en la programación C?
Impresión del símbolo%en un programa C usando printf () requiere usar dos porcentaje símbolos juntos...
Andrés Barrientos
Pitón
Pandas explota múltiples columnas
Lorenzo Canales
Pitón
Python Count caracteres en cadena
Pilar Melgar
Fuerza de ventas
Salesforce Apex - Lista
Salvador Anaya
Javascript
¿Qué hace el método ATOB en JavaScript?
Pilar Melgar
AWS
¿Qué es el proceso por lotes y cómo usarlo en AWS??
Mariana Cotto
Oracle Linux
¿Cuál es la diferencia entre Oracle Virtualbox y VMware??
Beatriz Enríquez
Base de datos Oracle
Cómo instalar Oracle Instant Client en Linux?
Mariana Cotto
Potencia Shell
Cómo usar el cmdlet de movimiento de movimiento en PowerShell?
Mariana Cotto
MS SQL Server
¿Qué es mysql rdbms una guía completa?
Carolina Guzmán
c agudo
Romper y continuar las declaraciones en C#
Pilar Alemán