Actividad-Analisis de Vulnerabilidades

Asignatura Datos del alumno Fecha
Análisis de Apellidos: Yauri Villegas 15/11/2021

Vulnerabilidades Nombre: Carlos Ernesto
Introducción
En la siguiente actividad deberás de realizar un ataque de Ingeniería Social usando

técnicas de Phishing. Para ello se hará uso de dos herramientas:
▸ Social Engineer Toolkit (SET) y Metasploit Project, ambas herramientas

seencuentran incorporadas en la distribución Kali Linux.
▸ Kali Linux puede ser descargada en formato instalable (ISO) que puede
ser isado en una máquina virtual, o ya como máquina virtual (disponible para
VMwarde o Virtual Box). https://www.kali.org/downloads/
▸ Como sistema operativo del equipo a ser atacado se recomienda Windows,
versión 7 en adelante, éste puede ser descargado de DreamSpark.
Objetivos
▸ Utilizar herramientas que ayudan a la realización de un ataque de Ingeniería

Social. Éstas permiten la clonación de sitios Web y generación de archivos
ejecutables que establecen una comunicación hacia una dirección IP y número
de puerto específico, entre otras facilidades.
▸ Aprovechar las facilidades ofrecidas por SET para la obtención de credenciales
de los usuarios víctima.
▸ Hacer uso de una aplicación diseñada para establecer conexiones remotas
(Metasploit), y aprovechar sus funcionalidades para la obtención de
información del equipo víctima.
© Universidad Internacional de La Rioja (UNIR)
Descripción
▸ La actividad será desarrollada en dos partes: obtención de credenciales

haciendo uso de SET, y control de un equipo remoto utilizando las facilidades
ofrecidas en conjunto por SET y Metasploit.
▸ Nota. La actividad sugiere el uso de correo electrónico para el envío de la
información al equipo víctima, esto puede ser sustituido ingresando el URL
directamente en el navegador del equipo víctima (obtención de credenciales),
y copiando el archivo en alguna carpeta del equipo víctima parasu ejecución
(control del equipo remoto).
Obtención de credenciales
▸ Entre las opciones de SET se tiene una destinada a la obtención de credenciales

(Credential Harvester Attack Method).
▸ Como sitio a ser usado para la obtención de credenciales se utilizará el de
Facebook (www.facebook.com).
▸ La idea es enviar un correo electrónico a una víctima con la URL de enlace
al equipo atacante. Tanto la URL como el contenido del correo, deberán
ser adecuados para que sean creíbles por la víctima. Para ello se sugiere utilizar
TinyURL (https://tinyurl.com/).
▸ Como resultado se debe obtener evidencia de la captura de credenciales
utilizadas en la máquina víctima al establecer una sesión con Facebook a través
del equipo atacante.
Desarrollo de actividad
- Verificamos que la aplicación de set este correctamente instalada.

- De no ser así, sepuede instalar mediante el comando sudo apt install set
Entramos a la herramienta.
- Sudo setoolkit -h
- Elegimos Social-Engenniering Attacks

- Elegimos la opción 2, Website Attack Vectors, el cual nos permitirá hacer un
credentialHarvester clonando una página web.
- Seleccionamos la opción credential harvester attack method
- Seleccionamos la opción de Site Cloner
- Dejamos nuestra IP para el ataque.

- Ingresamos el sitio web que queremos clonar, en este caso www.facebook.com
Una vez terminada de clonar, aparecerán los mensajes en azul, indicando que la
información aparecerá abajo.
Desde el cliente, en este caso una VM con Windows 7. Abriremos el navegador y
accederemos a la ip 10.0.2.15 desde el equipo víctima.
- Visualizamos actividad del servidor Kali

-Visualizamos las credenciales del usuario indicado.

- Hora y fecha.
Control del equipo remoto
▸ SET permite la generación de archivos ejecutables, que al ser lanzados en el

equipo víctima establecen una comunicación hacia una dirección IP y número
de puerto determinado. Por su parte Metasploit es una aplicación que permite
poner un número de puerto a la escucha y establecer una comunicación con
un equipo víctima.
▸ En este caso se pretende generar un archivo maligno que será enviado a la
víctima vía correo electrónico. Igual que el caso anterior, deberá ser
confeccionado de tal forma que sea creíble e invite a la víctima a ejecutar su
contenido.
▸ Para la generación del archivo maligno se hará uso de la opción de
Create a Payload and Listener.
▸ Nota, el archivo generado por Metasploit es considerado como maligno por las
aplicaciones antivirus, por lo que se deberán tomar las medidas necesarias
para su envío y ejecución.
▸ La información mínima para obtener del equipo víctima es la siguiente:
información del sistema, SID, nombre del usuario actual y listado del directorio
actual.
Desarrollo de actividad
Desde la aplicación de set usaremos la opción de Create a Payload and Listener
(recordemos que se accede a este menú mediante el comando sudo setoolkit)
- Elegimos Windows Reverse_tcp Meterpreter

- Ingresamos la ip de kali que estará escuchando
- Configuramos el puerto 3000 y vemos que nos genera un archivo ejecutable

- Se visualiza la ejecución.
- Para poder acceder al archivo se entró como root y se copió el archivo desde la
carpetahasta documentos usando el comando.
sudo cp root/.set/payload.exe /home/mlgr-usr/Documentos
- Una vez ahí se copia a la maquina víctima y se ejecuta

- Una vez ejecutado podemos observar una sesión activa desde meterpreter y
quetenemos acceso
-
• Accedemos a la maquina a través de los
comandosEnter
Sessions –l
• Elegimos nuestra sesión activa en este caso 1 con el comando sessions –i 1
• Se valida la injection del exploit.
• El login por el cual ingreso getsid.

Actividad-Analisis de Vulnerabilidades

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Actividad-Analisis de Vulnerabilidades

Cargado por

Copyright:

Formatos disponibles

Asignatura Datos del alumno Fecha

Análisis de Apellidos: Yauri Villegas 15/11/2021

En la siguiente actividad deberás de realizar un ataque de Ingeniería Social usando

▸ Social Engineer Toolkit (SET) y Metasploit Project, ambas herramientas

▸ Utilizar herramientas que ayudan a la realización de un ataque de Ingeniería

▸ La actividad será desarrollada en dos partes: obtención de credenciales

▸ Entre las opciones de SET se tiene una destinada a la obtención de credenciales

- Verificamos que la aplicación de set este correctamente instalada.

- Elegimos Social-Engenniering Attacks

- Dejamos nuestra IP para el ataque.

- Ingresamos el sitio web que queremos clonar, en este caso www.facebook.com

- Visualizamos actividad del servidor Kali

-Visualizamos las credenciales del usuario indicado.

Control del equipo remoto

▸ SET permite la generación de archivos ejecutables, que al ser lanzados en el

- Elegimos Windows Reverse_tcp Meterpreter

- Ingresamos la ip de kali que estará escuchando

- Configuramos el puerto 3000 y vemos que nos genera un archivo ejecutable

- Una vez ahí se copia a la maquina víctima y se ejecuta

También podría gustarte