UNIVERSIDAD DR.

ANDRS BELLO
FACULTAD DE CIENCIAS ECONMICAS

TEMA DEL PROYECTO:

METASPLOIT FRAMEWORK

ASIGNATURA:
AUDITORIA DE SISTEMAS.

CATEDRATICO.
ELMER ANTONIO SORTO

PRESENTADO POR:
Introduccin

Metasoploit framework Community es una herramienta que permite ejecutar y

desarrollar exploits contra sistemas objetivos. Actualmente se encuentra integrado en
kali Linux, una distribucin de Linux con diversas herramientas orientadas a la
seguridad y es ampliamente utilizado para realizar pruebas de prenetacion.
En esta pequeo documentos daremos a conocer la forma de instalar correctamente
Kali Linux y sus respectivos repositorios para su previa utilizacin. Tambin haremos un
ataque para detectar vulnerabilidades en otro Sistema Operativo (Windows ) con la
herramienta del Metasploit Framework.
Metasploit es un tipo de ataque de autentificacin remota, lo que nos permitir
conectarnos remotamente a algn equipo sin tener los permisos necesarios, esto claro
si el sistema operativo posee aquellas vulnerabilidades, como por ejemplo sistemas
Windows desactualizados.
Realizar pruebas de penetracin
Objetivos.

Objetivo General

Realizar pruebas de penetracin un Sistema Windows conectndonos

remotamente a este sin tener los permisos necesarios, identificar las
vulnerabilidades que podran explotarse y los daos que podra causar y
realizar un proceso de hacking tico para identificar qu incidentes podran
ocurrir antes de que sucedan y, posteriormente, reparar o mejorar el sistema,
de tal forma que se eviten estos ataques.

Especficos

Monitorear las especificaciones de una computadora conectada en red.

Verificar las posibles vulnerabilidades de la computadora a atacar.

Analizar y crear el informe correspondiente con todos los resultados obtenidos

en el posible ataque a realizar.
Cuerpo del trabajo
Instalar Kali Linux en su ordenador es un proceso fcil. Primero necesitar hardware
que sea compatible en su ordenador. Kali es soportado en las siguientes plataformas:
i386, en amd64, y en ARM (tanto armel como armhf). Los requisitos de hardware son
mnimos y se enumeran a continuacin, aunque mejor hardware naturalmente ofrece
un mejor rendimiento. Las imgenes i386 tienen un ncleo predeterminado PAE, por
lo que pueden ejecutarse en sistemas con ms de 4 GB de RAM. Requisitos previos de
instalacin Un mnimo de 8 GB de espacio en disco para la instalacin de Kali Linux.
Para las arquitecturas i386 y amd64, un mnimo de 512 MB de RAM.
Cmo Trabaja?
Con una base de datos en la cual se encuentran toda la lista de exploits y
vulnerabilidades, lo nico que tenemos que indicarle a Metasploit es que
vulnerabilidad, sistema y que tipo de ataque utilizaremos y datos diversos que utilizara
para atacar al host.
Modalidades
Trabaja en 2 modalidades las cuales se pueden ejecutar en todas las plataformas.

Modo Web
Esta modalidad de Metasploit es una manera muy cmoda de trabajar ya que aqu
toda la interface es web y no tienes que escribir mucho, todo lo dems consiste en
seleccionar opcin por opcin y al final solo presionar un botn de Exploit para
comenzar con el ataque, tambin tiene su modalidad de ataque por Shell el cual lo
maneja por secciones, para entrar a este modo, lo nico que se tiene que hacer es
abrir el archivo msfwebde Metasploit.
Nota: Si se cierra la consola msfweb.bat la pgina web dejara de cargar, es necesario
que este en ejecucin para hacer tus ataques.

Modo Consola
El modo de consola de Metasploit aunque es un poco ms engorroso trabajar con l,
suele funcionar de una manera ms rpida y a veces mejor, para ejecutarlo, tienes que
ejecutar el archivo msfconsole de la carpeta de Metasploit. E ir trabajando por medio
de comandos en lugar de una interface:

Diagramas

Esquema comn en la web:

Esquema modo consola.

Sistema Metasploit.
La seleccin y configuracin de un cdigo el cual se va a explotar. El cual entra al
sistema objetivo, mediante el aprovechamiento de una de bugs; Existen cerca de 900
exploits incluidos para Windows, Unix / Linux y Mac OS X.
Metasploit se ejecuta en Unix (incluyendo Linux y Mac OS X) y en Windows. El Sistema
Metasploit se puede extender y es capaz utilizar complementos en varios idiomas.
Para elegir un exploit y la carga til, se necesita un poco de informacin sobre el
sistema objetivo, como la versin del sistema operativo y los servicios de red
instalados. Esta informacin puede ser obtenida con el escaneo de puertos y "OS
fingerprinting", puedes obtener esta informacin con herramientas como Nmap,
NeXpose o Nessus, estos programas, pueden detectar vulnerabilidades del sistema de
destino. Metasploit puede importar los datos de la exploracin de vulnerabilidades y
comparar las vulnerabilidades identificadas.
Como funciona Metasploit
1. Se activa una consola o la interface grfica.
2. Se debe tener desconectados firewall y antivirus.
3. Msfconsole es la interfaz ms completa de operacin, con acceso a todas las
opciones del framework, si no se conocen comandos, teclear en la consola
show all para desplegarlos y seleccionar uno de ellos y lanzarlo.
4. Puede tambin teclear show exploits, show payloads y show encoders.
5. Una vez seleccionado un exploit, checar si el sistema objetivo es susceptible a
ese exploit.
6. Seleccionar el payload (cdigo que ser ejecutado en el sistema objetivo).
7. Seleccionar el encoders para codificar el payload y evitar que el sistema IPS lo
detecte.
8. Ejecutar el exploit (run o launch).

Metasploitable
Uno de los problemas que encuentre al aprender a usar un Framework de explotacin
est tratando de configurar los objetivos de exploracin y ataque. Por suerte, el equipo
de Metasploit es consciente de ello y lanz una mquina virtual VMware vulnerable
llamada "Metasploitable. Esta mquina virtual tiene una serie de servicios vulnerables
y los paquetes instalados para que usted pueda perfeccionar sus habilidades en
metasploit framework.
El msfconsole es, probablemente, la interfaz ms popular de la MSF. Se ofrece un
"todo-en-uno" de la consola central y permite un acceso eficiente a prcticamente
todas las opciones disponibles en el Framework de Metasploit. Msfconsole puede
parecer intimidante al principio, pero una vez que aprender la sintaxis de los
comandos que aprender a apreciar el poder de utilizar esta interfaz.
 La interfaz msfconsole funcionar en Windows con la versin 3.3, sin embargo los
usuarios de la versin 3.2 tendr que instalar de forma manual el Framework en el
Cygwin, junto con el parche de la instalacin de Ruby, o acceder al emulador de la
consola a travs de la web incluidas o componentes GUI.
Beneficios de la msfconsole
* Es la nica forma de apoyo para acceder a la mayora de las caractersticas dentro de
Metasploit.
* Proporciona una interfaz basada en consola con el Framework
* Contiene la mayora de las caractersticas y la interfaz de MSF ms estable
* Soporte readline completa, tabulacin y el completado de comandos
* Ejecucin de comandos externos en msfconsole es posible:

Ventajas y desventajas de Metasploit Framework.

VENTAJAS DESVENTAJAS

Esta para el alcance de todos los usuarios Solo es actualizado espordicamente

Plataforma unificada y de uso sencillo
Es una plataforma unificada y de uso
sencillo.
Metasploit cuenta con una comunidad de
desarrolladores.
No es totalmente seguro entrar a
cualquier red, se recomienda solo usar
redes de confianza

Costos.
El costo de esta herramienta en la pgina de venta de productos por internet Rapid7
se encontr esta informacin.
Metasploit Express es una solucin de inteligencia de riesgos de seguridad diseado
para organizaciones con redes pequeas. Utilizando una base de datos se puede
simular de forma segura los ataques del mundo real en la red para entrenar a su
equipo de seguridad para detectar y detener la cosa real.
Tambin existen diferentes libros que se pueden adquirir siempre con tiendas virtuales
que seran de mucha utilidad para la capacitacin del personal.
Conclusiones
Recomendaciones
Anexos
Glosario
FrameWork: En el desarrollo de software, un Framework es una estructura de soporte
definida en la cual otro proyecto de software puede ser organizado y desarrollado. Un
framework puede incluir soporte de programas, libreras y un lenguaje de scripting
entre otros softwares para ayudar a desarrollar y unir los diferentes componentes de
un proyecto.
Exploit: Viene de to exploit aprovechar. Cdigo escrito con el fin de aprovechar un
error de programacin para obtener diversos privilegios.
Shell: Parte fundamental de un sistema operativo encargada de ejecutar las rdenes
bsicas para el manejo del sistema. Suelen incorporar caractersticas tales como
control de procesos, redireccin de entrada/salida y un lenguaje de rdenes para
escribir programas por lotes o scripts.
GNU: Es un acrnimo recursivo que significa GNU No es Unix. Se sugiere que se
pronuncie u. UNIX es un sistema estable. Fue diseado para ser totalmente
compatible con UNIX.
CYGWIN: Es una consola UNIX emulada bajo entornos no Unix, como son Windows y
Mac, en ella se encuentran todos los comandos unix y funciona de la misma manera.