Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
INSTITUTO TECNOLÓGICO SUPERIOR PROGRESO Organismo Público Descentralizado del Gobierno del Estado FORMATO DE PRÁCTICA 2023B Carrera Semestre Clave de la asignatura Nombre de la materia Ingeniería en Sistemas Computacionales. 7 CID-2101 Seguridad en la Web Practica No. Laboratorio de Nombre de la practica 2 Taller de redes Practica de metaexploit de FTP Objetivo Ayudar aumentar de manera mas sencilla las funcionalidades de un framework Nombre de los integrantes de equipo Matrícula Miguel angle de la cruz centeno 04200007 Wilberth Rafael Madera Poot 04200014 Estado del arte Es un área de gran relevancia ya que debido ala a digitalización de la sociedad. Descripción Obtener un backdoor aprovechando la vulnerabilidad del protocolo FTP en Metasploitable 2. El FTP es un protocolo utilizado para transferir archivos entre equipos en una red, pero es vulnerable debido a la falta de cifrado, lo que permite a los hackers acceder a los datos durante la transmisión. 3. A completar el formato de práctica y colocar en el desarrollo la captura de lo que escribió y especificar para que tipo de personas fue su objetivo. 4. Entregar este formato por integrante Desarrollo Para esta práctica aprenderemos sobre el uso de Metasploit para poder obtener un backdoor aprovechado las diferentes vulnerabilidades del protocolo FTP Que es el backdoor: es un método que se utiliza para poder hacer ataques cibernéticos para poder evadir las autentificaciones y las encriptaciones de un ordenador y pode hacer un acceso secreto que nos permitirá acceder y pode tener control total de un equipo sí que se dé cuenta un usuario Que es el FTP: es un protocolo de capas de las aplicaciones que esta en un modelo de tcp /ip el cual se utiliza para poder transferir todo tipo de información entre equipos que están conectados en una red ya que este tiene habilitado dos puertos para poder transmitir información en esos canales ya que estos son el puerto 21 y el puerto 20 ya que para el protocolo no es muy recomendado para poder hacer la transferencia de los datos ya que tiene poca seguridad en el cifrado ya que este no brinda demasiada información ya que esto puede significar que su capacidad de captura y modificación que cual quiera que tenga el conocimiento pueda acceder sin problema alguno ya que los datos durante su transmisión se tiene la capacidad de capturar y modificar a su dirección. Para esta práctica utilizaremos la máquina virtual que utiliza la dirección ip 192.168.1.10 para esto tendremos que utilizar el framework de Nmap para poder hacer un escaneo en la red y poder encontrar la ip de la máquina que queremos. Para esta parte usaremos el siguiente comando en super usuario para esto colocamos sudo a continuación nos pedirá que agreguemos una contraseña y colocaremos la contraseña que esta predeterminada que Kali. Ahora a continuación con el nmap usaremos el siguiente script para poder detectar a vulnerabilidad esta sirve para poder hacer auditorias para esto usamos nmap –script vuln 192.168.1.10 cuando coloquemos este script tendremos que esperar algunos minutos para que termine el escaneo para poder visualizar los resultados. Una vez que termine nmap termina el proceso de encontrar vulnerabilidades que corren en Metasploitable nos dará una lista de toda para esto solo tendremos que checarlas vulnerabilidades de vsFTPd ya que esto es un servicio que implementa archivos mediante el protocolo FTP. Ahora una vez que hemos buscado las vulnerabilidades con Nmap a continuación usaremos los servicios de Metasploitable para poder abrir hora tendremos que abrir una nueva pestaña para hacer usar la vulnerabilidad que encontramos para eso usamos el comando sudo ingresamos la contraseña y luego ejecutamos el siguiente comando msfconsole. Para esta parte utilizamos el comando sacar vsFTPd ya que este comando nos buscara un exploit para poder obtener un backdoor para poder vulnerar nuestro objetivo. Ahora copiamos el nombre de nuestro exploit que se llama exploit/unix/ftp/vsftpd_234_backdoor Ahora a continuación usaremos el siguiente comando Usaremos (use exploit/unix/ftp/vsftpd_234_backdoor, set RHOST 192.168.1. host, RUN) Tendremos que usar un Shell para el backdoor ya que ahí nos dará respuesta y nos mostrara un interprete Ahora ejecutamos el comando de whoami para que el nuestro sistema informe que tiene iniciado en el sistema siendo usuario root ahora una vez que somos usuarios root en la máquina de Metasploit podemos ejecutar el comando root para poder crear archivos y directorios ya que también podemos ver la información de esta maquina tal como si hubiéramos accedidos al los servidores de esta para luego poder salir de nuestro directorio que accedimos . Conclusiones personales Wilberth Madera: En esta práctica aprendimos como objetivo a como demostrar como un atacante puede obtener el acceso a los servidores de una empresa para poder saber que vulnerabilidades tiene para poder hacer el ataque de manera que con nuestras herramientas podamos accederé de manera que no nos detecten nuestra presencia la cual poder hacernos de su informaciones muy valiosas y que pueda tener acceso total al la maquina ya que se pueden verificar las credenciales que tengamos almacenadas en los equipos como también material sensible de estas empresas. Miguel Ángel De la Cruz Centeno: Al realizar esta práctica debemos tener en cuenta, que la seguridad en la información es muy importante, debido a que manejamos información sensible por parte del usuario, para tener una mejor seguridad debemos indagar la invulnerabilidad que tiene nuestro software, puertos, servicio, etc.. Valorar cada vez la seguridad del usuario en esta práctica nos enseña la vulnerabilidad que tiene el FTP, es un protocolo ofrecido por la capa de Aplicación del modelo TCP/IP, sus puerto que maneja son el 20 y el 21, este modelo ofrece la transferencia de archivos entre equipo, generando un Metasploitable o un Backdor para aprovechar la vulnerabilidad que tiene el FTP nos ayudó entender lo menos seguro que es este modelo también aprendimos de cómo obtener información si un software lo maneja debemos tener mucho cuidado la información que entra en ese servicio. Criterios de evaluación Excelente Regular Mal Funcionalidad Se entregó funcionando la práctica sin errores Se entregó parcialmente funcionando la práctica Se entregó sin funcionar Tiempo y forma Se entregó en tiempo y con el formato adecuado Se entregó en tiempo o con el formato adecuado No se entregó Trabajo en equipo Todos los integrantes trabajaron en equipo Casi todos los integrantes trabajaron en equipo No trabajaron en equipo Fotografías o vídeo (evidencia) Muestra el funcionamiento completo de la práctica desde el inicio, desarrollo y final en su reporte Muestra parcialmente el funcionamiento de la práctica en su reporte No hay vídeo o no muestra el funcionamiento de la práctica en su reporte Conclusiones Tiene conclusiones personales expresado en forma técnico sin errores ortográficos y con formato en. Tiene conclusiones personales expresado formalmente sin errores ortográficos No tiene conclusiones personales o esta expresado en forma coloquial o tiene errores ortográficos. Cada error ortográfico es -1 punto
Compartir