La semana pasada, los días 21 y 22 de este mes de enero, me cogí unos días libres para ir a la formación de
metasploit que se daba en las oficinas de
Informática 64.
Como la mayoría de las veces, este tipo de herramientas puede tener dos enfoques en lo que a su uso se refiere:
- El primero, y para lo que está concebida, en teoría, que sería para realizar auditorias y tests de intrusión (penetration tests)
- El otro, resumiéndolo mucho: para realizar maldades y comportarse de una forma muy, muy poco ética.
Como siempre, en este blog se quiere buscar el uso ético de los conocimientos y descubrimientos que se van adquiriendo. O, en su defecto, saber las posibles maldades que nos pueden hacer y cómo se podrían (si es que se puede) resolver. Vamos, nada que alguien con un poco de cabeza no necesita que se le diga.
Bueno. Que me disperso (como de costumbre).
Era la primera vez que arrancaba de verdad una de las herramientas de las que consta el
framework: el
msfconsole. De hecho, tendría que haberla lanzado cuando me leí el libro de
metasploit, escrito por
Pablo González, y que la empresa publicó.
Lo primero que se hizo fue una presentación de qué constituía el
framework, con la misma presentación en
power point que nos puso en el
Asegur@IT Camp4, (está muy bien reutilizar, esa parte era teoría).
Después de la teoría, se empezó con lo bonito: lanzó el msfconsole y se buscó un exploit de Windows XP bastante conocido: el MS08_067_netapi. Según tengo entendido, bastante conocido por los que llevan un tiempo en este mundillo.
Una vez nos mostró cómo utilizar, en general, alguno de estos exploits, como el mencionado aquí, cada uno de los cinco participantes que estábamos apuntados intentamos hacer lo mismo desde nuestras máquinas virtuales. Unas veces con más éxito que otras (todo sea dicho).
Y... más o menos, el primer día se quedó en eso, en el haber podido acceder al equipo "víctima" y haberle hecho alguna que otra barrabasada.
¿Qué hicimos el segundo día? El segundo día, aprovechando el mismo exploit nos lanzamos a hacer algo más: lo que se llama pivoting. A todos los efectos, se trata de ver qué podemos encontrar a través del equipo vulnerado e intentar aprovecharse de esta circunstancia para vulnerar algún equipo vecino al que no podríamos acceder sin habernos colado en el primero. Y así, podríamos hacerlo sucesivamente.
¿Qué más vimos? Vimos cómo preparar un servidor web para que todo aquel que cargue la URL establecida, se le empiecen a cargar vulnerabilidades, probando a ver si funciona una a una, hasta que podamos cantar "bingo!" con alguna de ellas. Para conseguirlo, haría falta obligar a la(s) victima(s) a acceder a la URL, ya sea por un
iframe oculto, o por una URL acortada, o incluso, poniendo un enlace y decirle que podrá ver un montón de
pr0n gratis (eso siempre funciona, pero en este caso, siento mucho que os haya enviado al about:blank [contadme cuántos de vosotros le habéis dado sin pensar al enlace]). Una de las cosas que hicimos fue buscar el exploit de, en su momento,
0day de java que salió hace unas pocas semanas.
También hicimos un ejercicio de búsqueda. Teniendo un equipo accesible, vimos los servicios que tenía instalados, y localizamos que uno de ellos era vulnerable. Se hizo una búsqueda por google, se localizó qué vulnerabilidad era, y nos la bajamos de
exploit-db (¿o nos bajamos de este el de java?) para actualizar el
framework sin tener que lanzar el msfupdate (que añade y elimina cosas sin un control por nuestra parte).
La verdad, lo disfruté mucho. Quiero seguir jugando con las máquinas virtuales. Creo que haré alguna cosa de estas y las publicaré, sin importarme que ya sean del todo conocidas.
Si os gustan estas cosas, creo que disfrutaréis mucho si hacéis esta formación la próxima vez que la hagan.