Blog de Hacking ®

It's te Hack Generation!

  • Mensaje de Bienvenida

    Estimado Visitante. Le damos la más cordial bienvenida a nuestra Blog de Hacking. Esperamos que encuentre con nosotros la información que usted busca, y que como resultado de ello, nos veamos favorecidos con su elección y preferencia hacia nosotros. En este blog usted podra encontrar muchas cosas de su utilidad, desde herramientas, manuales, tutoriales hazta consejos los cuales ayudaran a seguir ampliando su conocimiento & siga aumentando su pasiòn por la informàtica. Le deceamos mucha suerte & que se divierta en nuestro Blog, esperemos este lugar sea de su agrado, un cordial saludo & bienvenido. Atte: SiriusBl@ck

Presentando Metasploit Express

Posted by SiriusBl@ck On 0 Comentarios

En este artículo se presenta la herramientaMetasploit Express, un front-end para el framework Metasploit que incorpora funcionalidades que automatizan el proceso de un test de intrusión y permite generar informes con los resultados.

Para realizar un test de intrusión con Metasploit Express se siguen las siguientes tareas:
  1. Crear un proyecto
  2. Descubrir dispositivos
  3. Conseguir acceso a los equipos
  4. Tomar el control de una sesión
  5. Recoger datos de las máquinas atacadas
  6. Limpiar la sesión
  7. Generar un informe
Veamos el proceso seguido para conseguir acceder a un equipo de la red, en concreto a una máquina (virtual) con Windows XP en la que el usuario está navegando tranquilamente por Internet:


Tras crear un proyecto, lo primero que hay que hacer es escanear la red para descubrir máquinas, puertos abiertos, sistemas operativos, versiones de los servicios...




A continuación, hay que buscar el exploit adecuado para los servicios vulnerables encontrados, pero la propia aplicación automatiza todo el proceso:



Si hemos tenido suerte, Metasploit Express habrá abierto una sesión en el equipo objetivo y podremos interactuar con ella:




Podemos, por ejemplo, obtener datos sensibles de la máquina objetivo, como capturas de pantalla, contraseñas o información del sistema:




También podemos subir un fichero al equipo atacado. En el ejemplo se muestra cómo subimos el fichero troyano, guardándolo en la unidad C: con el nombre index.php:



O también podemos lanzar una shell y ejecutar órdenes directamente. Como veis se ha listado el contenido del directorio y se visualizado la tabla de encaminamiento:



En la propia web del proyecto se puede descargar una máquina virtual Ubuntu, preparada con software y servicios con vulnerabilidades no parcheadas para jugar y practicar con ella.

Metasploit Express es un producto comercial (3000$ por usuario y año), pero puedes descargar untrial de varios días desde su web. El único requisito es que tengas una cuenta de correo electrónicoque no sea gratuita (gmail, hotmail, yahoo...).

¡Un saludo!

Categories:

0 Response for the "Presentando Metasploit Express"

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)