Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
INSTITUTO TECNOLÓGICO SUPERIOR PROGRESO Organismo Público Descentralizado del Gobierno del Estado FORMATO DE PRÁCTICA 2023B Carrera Semestre Clave de la asignatura Nombre de la materia Ingeniería en Sistemas Computacionales. 7 CID-2101 Seguridad en la Web Practica No. Laboratorio de Nombre de la practica 7 Taller de redes Community Labs Objetivo Aprender a encontrar vulnerabilidades en las aplicaciones Nombre de los integrantes de equipo Matrícula Wilberth Rafael Madera Poot 04200014 Estado del arte una amplia gama de tecnologías y prácticas diseñadas para proteger sistemas, redes y datos de amenazas digitales. Descripción 1. El alumno entrará a la página de https://attackdefense.com/ y se registrará o acceder con la cuenta de gmail 2. Una vez que se ingrese al sitio, se accederá al laboratorio online 3. En la parte izquierda del menú aparecerá en Community Labs 4. Seleccionar HTTP Request Smuggling o elegir otras opciones y presionará el botón Start 5. Aparecerá una nueva pestaña emuladora de Linux 6. Seguir el manual en pdf de cada una de las opciones y pegar capturas de su ejecución con descripción de lo que se realiza. 7. Completar las secciones de la práctica Desarrollo En esta práctica de gestión de credenciales se realizó para poder comprobar la administración y la comprobación de y la protección al momento de vulnerar algún equipo de cómputo ya que podemos saber el nombre de usuario como también la contraseñas Para esta primera parte se realizó el laboratorio de Credencial Management para esto tendremos dos equipos uno Windows y una maquita con Linux para esto cambiaremos a la máquina que queremos vulnerar que en este caso es el de Windows https://attackdefense.com/ Una vez que estemos dentro de la máquina que queremos atacara para tenderemos que verificar las diferentes credenciales que estén alojadas dentro de esta máquina para esto tendremos que abrir el PowerShell para poder ingresar el comando cmdkey/list ya que este comando nos permite ver las credenciales que están alojadas dentro de la máquina. A continuación ejecutamos en el PowerShell runas.exe /savecred /user: administrador cmd whoami y nos desplegara una ventana de símbolo de sistema ya que esto nos ermitita entrar al momento de ejecutar como el cómo el administrador ya que no tendremos que ingresar la contraseña Para esto abrimos primero meterpreter con msfconsole -q ya que con este comando nos abrirá el meterpreter Ahora nos cambiamos de máquina de Linux y ahora ejecutamos el módulo de hta_serve para poder obtener el acceso por medio de Shell de meterpreter ya que nos podremos alojar en una aplicación al ser abierta se puede ejecutar un payload que está a través del PowerShell. Ahora colocamos el exploit y nos creara una dirección ip y nos da una payload el cual copiaremos y la pegaremos en el símbolo de sistema que en la máquina que vulneramos para poder tener el acceso completo al sistema Una ves que colocamos nuestro payload y ahora observamos nuestro meterpreter Observamos que ya ternemos acceso después de ingresar nuestro payload le damos enter para que nos salte Una línea para poder ingresar un comando Ejecutamos el comando de sesión -i 1 para poder obtener el acceso total de la sesión de nuestro meterpreter una vez que estamos ahí hacemos un ls para leer todo los archivos que tenemos en la maquina una vez que ubicamos la ruta en la que se ubica nuestro archivo cd C:\\Users\\Administrator\\Desktop accedemos con el cd a la ruta que esta ejecutamos el comando ls y nos aparecerá dos archivos el cual el que necesitamos se llama flag.txt para poder abrirlo necesitamos usar el comando de cat mas el nombre de nuestro archivo txt que es cat flag.txt y ahora podemos visualizar el contenido ahora copiamos el cometido. Una ves que copiamos el contenido regresamos a la página de community labs para poder verificar el contenido que nos dio en el meterpreter pegamos y le damos en subir y nos marcara que se verifico y que es el archivo correcto. Conclusiones personales Wilberth Madera: En esta practica aprendimos como objetivo a como demostrar como un atacante puede obtener el acceso a las credenciales de un usuario y que pueda tener acceso total al la maquina ya que se pueden verificar las credenciales que tengamos almacenadas en los equipos. Criterios de evaluación Excelente Regular Mal Funcionalidad Se entregó funcionando la práctica sin errores Se entregó parcialmente funcionando la práctica Se entregó sin funcionar Tiempo y forma Se entregó en tiempo y con el formato adecuado Se entregó en tiempo o con el formato adecuado No se entregó Trabajo en equipo Todos los integrantes trabajaron en equipo Casi todos los integrantes trabajaron en equipo No trabajaron en equipo Fotografías o vídeo (evidencia) Muestra el funcionamiento completo de la práctica desde el inicio, desarrollo y final en su reporte Muestra parcialmente el funcionamiento de la práctica en su reporte No hay vídeo o no muestra el funcionamiento de la práctica en su reporte Conclusiones Tiene conclusiones personales expresado en forma técnico sin errores ortográficos y con formato en. Tiene conclusiones personales expresado formalmente sin errores ortográficos No tiene conclusiones personales o esta expresado en forma coloquial o tiene errores ortográficos. Cada error ortográfico es -1 punto
Compartir