El libre pensamiento para un internet libre

No estas registrado.  

Anuncio

Wifi-highpower.es es distribuidor oficial de Alfa Network

#1 19-02-2018 22:09:59

kcdtv
Administrator

Registrado: 14-11-2014
Mensajes: 4,068

Puesta en marcha y funcionamiento básico de Metasploit en Kali Linux

Cómo ejecutar y emplear metasploit en Kali Linux

metalsploit_7.jpg

  Una de las "marcas de fabrica" de Kali linux es Metasploit.
"Offensive security" (el equipo encargado del desarrollo de Kali Linux) trabaja estrechamente con "rapid7" (el equipo que hace metalsploit) para integrar de forma nativa la "Edición Comunitaria" (gratis) de Metasploit (aka "MSF Community Edition")
[email protected] imaginan que Metasploit está pensado para poder hacer cosas como instalar una puerta trasera con activación remota en un sistema comprometido.
Siento decepcionarlos pero no es realmente así porque esto no es el propósito de metasploit.
  Metasploit es una herramienta de White Hat que integra exploits "educativos" sobre brechas y vulnerabilidades publicadas en los sitos dedicados.
  No se trata de explotar brechas, más bien de enseñarlas.
  Poder identificar una brecha es obviamente es le paso previo a toda forma de intrusión pero metasploit no es una herramienta enfocada a intrusión.
  Para hacer una metáfora, Metasploit te enseña la puerta y te da la llave, nada más.

Puesta en marcha

Muy simple... Debéis hacer dos cosas

  1. La base de datos de metasploit tira de postgresql. Se debe arrancar el servicio antes de todo. Se hace así:

    sudo service postgresql start
  2. Una vez hecho hay que lanzar la base de datos de metalsploit

    sudo msfdb init

    Este paso se hace solo la primera vez, lo de arrancar postgresql se debe hacer cada vez

Ahora podéis emplear la consola interactiva de  metasploit

sudo msfconsole

(tarda un poco pero tendréis a un banner sorpresa cada vez, así que vale le pena esperar big_smile)
y verificar que la base de datos está correctamente inicializada con

db_status

metalsploit_1.jpg

Manejo (muy) básico de metasploit

¿Y ahora qué?

  Generalmente lo primero es lanzar un escaneo con nmap
En nuestra consola msf entramos:

db_nmap -v -T4 -PA -sV --version-all --osscan-guess -A -sS -p 1-65535 192.168.1.1

(pomed la IP de vuestro routers o de otro ordenador en lugar de 192.168.1.1.)
De este modo se hace un escaneo "extenso"

metalsploit_2.jpg

  La salida puede ser bastante larga y conviene tener todo resumido gracias a la orden

services

metalsploit_3.jpg

  Ahora usamos la base de datos para buscar unas vulnerabilidades.
El PA tiene un servicio "samba" para compartir archivos y un servicio "telnet"
Podemos empezar por ahí

search samba

Y vemos que tenemos a algunos exploits sugeridos:

metalsploit_4.jpg

Elegimos uno (el del 2017 en este caso que está marcado como "great") y lo ejecutamos con use

use exploit/linux/samba/is_known_pipename 

Para conocer las opciones debemos teclear info y/o advanced (para saber más)

metalsploit_5.jpg

Y para ver si podemos usar el exploit contra el objetivo hacemos check

metalsploit_6.jpg

No "hubo suerte" con este, hay que probar con otros.

Lo lógico es no poder explotar vulnerabilidades en su punto de acceso ya que son todas brechas conocidas.
No obstante es mejor verificarlo uno mismo.
Para practicar un poco la fase "explotación" lo mejor es conectar un cliente con un viejo windows XP o un viejo router sin actualizar. 
Pero ya habéis visto a grandes rasgos cómo se usa metasploit: escanear - buscar exploits en relación con el resultado del escaneo - comprobar si el objetivo es vulnerable a un exploit. 
Luego cada exploit lleva sus instrucciones, muchas veces se trata de obtener una consola "invertida" y es ahí que entra en juego "el talento" de cada uno para hacer algo con esta consola.
Lectura Recomendada

Desconectado

Anuncio

Wifi-libre.com: El libre pensamiento para un internet libre / Regístrese ahora

Temas similares

Tema Respuestas Vistas Ultimo mensaje
Pegado:
Pegado:: 1ª Sorteo Del Mercadillo por josep345  [ 1 2 3 6 ]
126 2988 Ayer 13:01:30 por kcdtv
Asrock 775i945GZ por josep345
9 211 20-06-2018 20:17:29 por josep345
46 6407 20-06-2018 18:12:25 por kcdtv
23 1436 19-06-2018 21:31:05 por kcdtv
14 328 19-06-2018 21:07:36 por josep345

Pie de página

Información del usuario

Ultimo usuario registrado: konansia
Usuarios registrados conectados: 0
Invitados conectados: 9

Estadisticas de los foros

Número total de usuarios registrados: 1,045
Número total de temas: 1,080
Número total de mensajes: 10,712

Máx. usuarios conectados: 69 el 15-10-2017 09:23:21