Actividad 4 2 Laboratorios

Vista previa del material en texto

INSTITUTO TECNOLÓGICO SUPERIOR 
PROGRESO 
Organismo Público Descentralizado del Gobierno del Estado 
FORMATO DE PRÁCTICA 
2023B 
 
 
Carrera Semestre Clave de la asignatura Nombre de la materia 
Ingeniería en Sistemas 
Computacionales. 
7 CID-2101 Seguridad en la Web 
 
Practica 
No. 
Laboratorio de Nombre de la 
practica 
7 Taller de redes Community Labs 
 
Objetivo 
Aprender a encontrar vulnerabilidades en las aplicaciones 
 
Nombre de los integrantes de equipo Matrícula 
Wilberth Rafael Madera Poot 04200014 
 
Estado del arte 
una amplia gama de tecnologías y prácticas diseñadas para proteger sistemas, redes y datos de amenazas digitales. 
 
 
Descripción 
1. El alumno entrará a la página de https://attackdefense.com/ y se registrará o acceder con la cuenta de gmail 
2. Una vez que se ingrese al sitio, se accederá al laboratorio online 
3. En la parte izquierda del menú aparecerá en Community Labs 
4. Seleccionar HTTP Request Smuggling o elegir otras opciones y presionará el botón Start 
5. Aparecerá una nueva pestaña emuladora de Linux 
6. Seguir el manual en pdf de cada una de las opciones y pegar capturas de su ejecución con descripción de lo que se 
realiza. 
7. Completar las secciones de la práctica 
 
 
Desarrollo 
En esta práctica de gestión de credenciales se realizó para poder comprobar la administración y la comprobación de y la 
protección al momento de vulnerar algún equipo de cómputo ya que podemos saber el nombre de usuario como 
también la contraseñas 
 
Para esta primera parte se realizó el laboratorio de Credencial Management para esto tendremos dos equipos uno 
Windows y una maquita con Linux para esto cambiaremos a la máquina que queremos vulnerar que en este caso es 
el de Windows 
 
https://attackdefense.com/
 
 
Una vez que estemos dentro de la máquina que queremos atacara para tenderemos que verificar las diferentes 
credenciales que estén alojadas dentro de esta máquina para esto tendremos que abrir el PowerShell para poder 
ingresar el comando cmdkey/list ya que este comando nos permite ver las credenciales que están alojadas dentro 
de la máquina. 
 
A continuación ejecutamos en el PowerShell runas.exe /savecred /user: administrador cmd whoami y nos desplegara 
una ventana de símbolo de sistema ya que esto nos ermitita entrar al momento de ejecutar como el cómo el 
administrador ya que no tendremos que ingresar la contraseña 
 
 
 
 
 
Para esto abrimos primero meterpreter con msfconsole -q ya que con este comando nos abrirá el meterpreter 
 
 
 
 
 
 
 
Ahora nos cambiamos de máquina de Linux y ahora ejecutamos el módulo de hta_serve para poder obtener el acceso 
por medio de Shell de meterpreter ya que nos podremos alojar en una aplicación al ser abierta se puede ejecutar un 
payload que está a través del PowerShell. 
 
 
Ahora colocamos el exploit y nos creara una dirección ip y nos da una payload el cual copiaremos y la pegaremos en el 
símbolo de sistema que en la máquina que vulneramos para poder tener el acceso completo al sistema 
 
 
 
 
 
 
 
 
Una ves que colocamos nuestro payload y ahora observamos nuestro meterpreter 
 
 
 
Observamos que ya ternemos acceso después de ingresar nuestro payload le damos enter para que nos salte 
Una línea para poder ingresar un comando 
 
 
Ejecutamos el comando de sesión -i 1 para poder obtener el acceso total de la sesión de nuestro meterpreter una vez 
que estamos ahí hacemos un ls para leer todo los archivos que tenemos en la maquina una vez que ubicamos la 
ruta en la que se ubica nuestro archivo cd C:\\Users\\Administrator\\Desktop accedemos con el cd a la ruta que esta 
ejecutamos el comando ls y nos aparecerá dos archivos el cual el que necesitamos se llama flag.txt para poder 
abrirlo necesitamos usar el comando de cat mas el nombre de nuestro archivo txt que es cat flag.txt y ahora 
podemos visualizar el contenido ahora copiamos el cometido. 
 
 
 
 
 
 
 
 
 
 
 
 
Una ves que copiamos el contenido regresamos a la página de community labs para poder verificar el contenido que nos 
dio en el meterpreter pegamos y le damos en subir y nos marcara que se verifico y que es el archivo correcto. 
 
 
 
 
 
Conclusiones personales 
Wilberth Madera: En esta practica aprendimos como objetivo a como demostrar como un atacante puede obtener 
el acceso a las credenciales de un usuario y que pueda tener acceso total al la maquina ya que se pueden verificar 
las credenciales que tengamos almacenadas en los equipos. 
 
 
Criterios de evaluación 
 Excelente Regular Mal 
Funcionalidad Se entregó funcionando la 
práctica sin errores 
Se entregó parcialmente 
funcionando la práctica 
Se entregó sin funcionar 
Tiempo y forma Se entregó en tiempo y con 
el formato adecuado 
Se entregó en tiempo o con 
el formato adecuado 
No se entregó 
Trabajo en equipo Todos los integrantes 
trabajaron en equipo 
Casi todos los integrantes 
trabajaron en equipo 
No trabajaron en equipo 
Fotografías o vídeo 
(evidencia) 
Muestra el funcionamiento 
completo de la práctica 
desde el inicio, desarrollo y 
final en su reporte 
Muestra parcialmente el 
funcionamiento de la 
práctica en su reporte 
No hay vídeo o no muestra 
el funcionamiento de la 
práctica en su reporte 
Conclusiones Tiene conclusiones 
personales expresado en 
forma técnico sin errores 
ortográficos y con formato 
en. 
Tiene conclusiones 
personales expresado 
formalmente sin errores 
ortográficos 
No tiene conclusiones 
personales o esta 
expresado en forma 
coloquial o tiene errores 
ortográficos. 
Cada error ortográfico es -1 
punto