Introducción a Metasploit
Metasploit Framework (MSF) es una excelente herramienta para pentesters. Contiene numerosos exploits integrados para diversas vulnerabilidades públicas y proporciona una forma sencilla de usarlos contra objetivos vulnerables. MSF cuenta con muchas otras características, como:
Ejecución de scripts de reconocimiento para enumerar hosts remotos y objetivos comprometidos
Scripts de verificación para probar la existencia de una vulnerabilidad sin comprometer realmente el objetivo
Meterpreter, que es una gran herramienta para conectarse a shells y ejecutar comandos en los objetivos comprometidos
Muchas herramientas de post-explotación y pivoteo.
Para abrir el framework de de Metasploit hay que usar el siguiente comando:
Si no quieres que salga el banner:
Una vez en Metasploitejecución, podemos buscar nuestra aplicación objetivo con el comando search exploit. Por ejemplo, podemos buscar la vulnerabilidad SMB que identificamos anteriormente:
Encontramos un exploit para este servicio. Podemos usarlo copiando su nombre completo y usando USE:
Antes de ejecutar el exploit, debemos configurar sus opciones. Para ver las opciones disponibles, podemos usar el comando show options:
Cualquier opción con Required = yesdebe estar configurada para que el exploit funcione. Normalmente suele pedir configurar el host de destinio RHOSTS, el host local LHOST y el puerto local LPORT. Para hacerlo usaremos el comando set.
Una vez configuradas ambas opciones, podemos iniciar la explotación. Sin embargo, antes de ejecutar el script, podemos realizar una comprobación para asegurarnos de que el servidor sea vulnerable:
No todos los exploits admiten la comprobación. Finalmente para ejecutar el exploit tenemos 2 formas.
Cuando una vez se ejecuta el exploit de forma exitosa y abre una sesión podemos acceder al terminal de la maquina de la siguiete forma:
Last updated