Introducción a Metasploit

Índice
1 | ¿Qué es Metasploit? 3

2 | Arquitectura 4

1. ¿Qué es Metasploit?
Metasploit es un proyecto open source de seguridad informática que
proporciona información acerca de vulnerabilidades de seguridad y
ayuda en tests de penetración “Pentesting” y el desarrollo de firmas
para sistemas de detección de intrusos.
Imagen 136 Logo Metasploit
Introducción a Metasploit | TELEFÓNICA // 3
Su subproyecto más conocido es el Metasploit Framework, una
herramienta para desarrollar y ejecutar exploits contra una máquina
remota. Otros subproyectos importantes son las bases de datos
de opcodes (códigos de operación), un archivo de shellcodes, e
investigación sobre seguridad. Inicialmente fue creado utilizando el
lenguaje de programación de scripting Perl, aunque actualmente el
Metasploit Framework ha sido escrito de nuevo completamente en
el lenguaje Ruby.
 Introducción a Metasploit | TELEFÓNICA // 4

2. Arquitectura
En la imagen se puede visualizar la LIBRERÍAS INTERFACES
arquitectura de la que está compuesta
Mestasploit. En ella se pueden observar
CONSOLA
las 3 principales librerías (Rex, MSF Core
y MSF Base), las distintas interfaces y los HERRAMIENTAS REX
módulos que dispone el framework. Las CLI
herramientas externas (Tools) y los Plugins
externos también se especifican y se pueden
visualizar con que librería interactúan MSF CORE WEB
directamente.
GUI
La librería Rex es la básica y se encarga de la
mayoría de las tareas, manejando sockets, PLUGINS MSF BASE
protocolos (SSL, SMB, HTTP, …) y otras
operaciones interesantes como son las
codificaciones (XOR, Base64 o Unicode, por
ejemplo)
MÓDULOS

La librería MSF Core y MSF Base proporcionan

APIs al framework. Las interfaces, módulos PAYLOADS EXPLOITS ENCODERS
y plugins interactúan con la API Base y Core
que se encuentran en ambas librerías. Con
ese esquema se puede entender que las NOPS AUXILIARY POST
librerías son el núcleo del framework y que
todos los elementos de alrededor dependen
de estas. Ruby es el lenguaje encargado de
implementar el núcleo de Metasploit.
Imagen 137 Metasploit - Arquitectura

Metasploit dispone de módulos los cuales ayudan a aumentar de
manera sencilla las funcionalidades del framework. Un módulo
es una pieza de bloque de código que implementa una o varias
funcionalidades, como puede ser la ejecución de un exploit concreto
o la realización de un escaneo sobre maquinas remotas. Los
módulos que componen el framework son el núcleo de Metasploit y
los que hacen que sea tan poderoso. Estos pueden ser desarrollador
por los usuarios y de esta manera ampliar el framework de manera
personalizada, y en función de las necesidades del auditor.
Introducción a Metasploit | TELEFÓNICA // 5
• Auxiliary: proporciona herramientas externas al framework para
la integración y utilización con Mestasploit. De este modo el
auditor puede utilizar escáneres, herramientas para denegación
de servicio, sniffers, fuzzers, …
• Encoders: proporciona codificadores para ofuscar el código
de las shellcodes y de ese modo evitar que los sistemas
antivirus puedan detectar el payload. Se disponen para diversas
arquitecturas entre las más comunes x86 y x64.
• Exploits: este módulo contiene los exploits alojados. Se organizan
mediante categorías, por sistemas operativos o tecnología.
• Payloads: concentra los distintos códigos maliciosos ordenados
por categorías. En este caso, las categorías on singles, stagers
y stages, y como subcategorías se organizan por payloads para
distintas tecnologías o sistemas operativos.
• Nops: contiene código capaz de generar instrucciones NOP para
los códigos maliciosos. No existe gran cantidad de aplicaciones de
este tipo en el módulo nops. Están organizados por arquitecturas.
• Post: almacena en su interior código para ejecutar acciones
referidas a la fase de post-explotación como son la escalada de
privilegios, la impersonalización de tokens, captura de pruebas
sobre la maquina remota, … Se organizan por categorías, como
puede ser por sistema operativo.
 Introducción a Metasploit | TELEFÓNICA // 6

Metasploit dispone de varias interfaces

con las que interactuar con el framework.
El usuario puede interactuar mediante una
interfaz gráfica, línea de comando o consola.
También se dispone de la posibilidad de
acceder directamente a las funciones y
módulos que componen el framework. Esta
acción puede resultar muy útil para utilizar
ciertos exploits sin necesidad de lanzar todo
el entorno.

Imagen 138 Metasploit - Módulos

 Introducción a Metasploit | TELEFÓNICA // 7

La primera interfaz que se presenta en msfconcole. Es el todo en uno del framework, el auditor dispone de una consola desde la cual puede
acceder a todas las opciones disponibles de Metasploit. La consola dispone de un gran número de comandos, los cuales disponen de una
sintaxis sencilla y fácil de recordar. Esta interfaz se lanza ejecutando el comando msfconsole en una terminal, si se encuentra en Linux

Imagen 139 Metasploit - Consola

 Introducción a Metasploit | TELEFÓNICA // 8

La segunda interfaz que se presenta es Armitage. Esta interfaz proporciona un entorno grafico e intuitivo al auditor para llevar a cabo el test
de intrusión y entender el hacking de manera sencilla. Esta interfaz se lanza ejecutando el comando armitage en una terminal.

Imagen 140 Metasploit - Armitage

 Introducción a Metasploit | TELEFÓNICA // 9

La tercera interfaz que se presenta en la web UI de Metasploit. Con esta interfaz se puede gestionar el test de intrusión de manera remota,
sin necesidad de disponer del framework en local, pudiendo realizar casi todas las opciones que se pueden realizar desde la consola.

Imagen 141 Metasploit - WebUI