1

Corporación Universitaria Santa Rosa de Cabal - UNISARC

Especialización en Informática Forense
Proyecto Escaneo de vulnerabilidades Con Nessus Essentials

Asignatura: Seguridad Informática

Docente: Julio César Gómez Castaño
Estudiante: Elkin Andrés Sanchez Vega - Milton Gonzalo ríos chiquito

Objetivos:

 Comprender como funciona la herramienta Nessus

 Utilizar la herramienta Nessus para escanear vulnerabilidades
 Descargar Informe de vulnerabilidades de Nessus

INTRODUCCIÓN:

Este proyecto esta enfocado al escaneo de vulnerabilidades con Nessus Herramienta

de paga, pero con la licencia de 7 días podremos hacer escaneos de vulnerabilidades a
distintas máquinas virtuales, servidores y nuestro propio computador, y conocer el
poder de esta herramienta y para esta práctica usaremos una maquina con altas
vulnerabilidades para ver el funcionamiento de Nessus.

Recursos:

 Computador Windows 10 y conexión a Internet.

 Computador con Ubuntu o virtualizado.
 Cuenta temporal en Yop Mail
 VMware o VirtualBox
 Cuenta en Nessus
 Maquinas Vulnerables
2

1 ) Preparar el laboratorio controlado.

Descargamos la máquina virtual VMware:

Vamos a la pagina oficial Download VMware Workstation Pro | CO descargamos la

última versión y hacemos la instalación de manera gratuita para esta práctica, el paso

a paso de la instalación la podremos ver en el siguiente video ✅ Como Instalar y

Descargar VMware Workstation Pro 16 - Ultima Versión + Licencia de por Vida -
YouTube

Después de la descarga e instalación de VMware veremos una ventana como la

siguiente

2) Descargar las maquinas vulnerables.

Máquinas Virtuales Vulnerables:

Nada mejor que tener un laboratorio para practicar los conocimientos adquiridos sobre
Pruebas de Penetración. Esto aunado a la facilidad proporciona por el software de
virtualización, hace bastante sencillo crear una máquina virtual vulnerable
personalizada o descargar desde Internet una máquina virtual vulnerable.

A continuación, se lista metasploitable2 creada especialmente con vulnerabilidades, las

cuales pueden ser utilizadas para propósitos de entrenamiento y aprendizaje en temas
relacionados a la seguridad, hacking ético, pruebas de penetración, análisis de
vulnerabilidades, informática forense, etc

 Metasploitable2
 Link de Descarga: Download Metasploitable from SourceForge.net
3

Vulnhub proporciona materiales que permiten a cualquier interesado ganar experiencia

práctica en seguridad digital, aplicaciones de computadora y administración de redes.
Tiene un extenso catálogo de “cosas” que se pueden (legalmente) “romper, hackear y
explotar”.

Sitio Web: Vulnerable By Design ~ VulnHub

Procedemos a realizar la descarga de la maquina dando clic en el link de descarga.

Luego de la descarga, realizaremos la instalación de metasploitable2 en VMware

3) Instalación de Metasploitable2:

Entramos en el VMware y damos clic en crear una máquina virtual y buscamos la ISO
de la maquina metasploitable2.
4

Ya cargada la ISO prendemos la máquina.

Al prender la maquina instalará unas dependencias y configuraciones que hará en

automático la máquina, después de cargar toda su configuración te pedirá un usuario y
contraseña la cual son las siguientes:

Usuario: msfaadmin
Contraseña: msfadmin

Cuando ingreses las credenciales vamos a digitar el siguiente comando ifconfig la cual
con ella vamos a obtener la IP de nuestra máquina que vamos a usar en Nessus
Essentials donde vamos a realizar un escaneo avanzado de las vulnerabilidades que
tendrá la maquina metasploitable2.

Ip: 192.168.180.128
5

4) Obteniendo licencia de Nessus Essentials:

1.Nos dirigimos a la siguiente pagina Escáner de vulnerabilidades Nessus Essentials |

Tenable®

Paso1:

Imagen 01

2. llenamos los espacios marcados con rojo, al correo electrónico nos llegara el link de
descarga de Nessus y la clave de licencia temporal, pero como recomendación para NO
poner nuestros correos personales usaremos la siguiente herramienta YOPmail - E-mail
temporal. dirección de correo electrónico desechables. Antispam
6

La herramienta es YopMail la cual nos crea correos temporales (desechables) para más
detalles en la página habla de sus características y funcionalidades.

En ella crearemos nuestra cuenta temporal la cual usaremos para registrarnos en

Nessus para esta prueba usare el correo temporal.

Creamos nuestra cuenta y para esta práctica usaremos la siguiente cuenta

pruebanessus@yopmail.com, luego saldrá la bandeja de entrada vacía hasta que
registremos nuestro correo con Nessus.

Volvemos al paso 1 imagen 1

Ingresamos el correo temporal creado y

Damos en el botón empezar.

Ahora tenemos que ir a la bandeja de YopMail del correo creado y allí vamos a
encontrar nuestra licencia y link de descarga de Nessus Essentials.
7

Descargamos Nessus desde el botón de descarga que tenemos en el correo.

Descargamos la primera en la lista y tenemos que seleccionar la descarga

según el sistema operativo donde lo vamos a instalar.

5) instalación de Nessus:

Buscamos el instalador de Nessus que acabamos de descargar y realizamos la

instalación.

siguiente -- aceptar términos y siguiente

8

 Instalé Finalizar

Cuando finaliza la instalación se abre una ventana en el navegador web de

tu computador como la siguiente y le damos clic en Continuar a localhost (no
seguro)

Luego te sale la ventana donde indicaras cual es Nessus

que vas instalar en nuestro caso es Nessus Essentials
9

 Ahora seleccionamos conectar vía SSL

En este paso pondremos la información que

Dimos anteriormente cuando creamos la cuenta
En Nessus para obtener la licencia

Al correo electrónico que registramos

llego el código de activación, debemos
agregar en esta casilla
10

En este paso tenemos que crear un

usuario y contraseña de ingreso

En este paso la maquina Nessus está instalando los

Plugins tenemos que esperar unos minutos que
Termine su instalación.

Cuando termina la instalación sale esta ventana en la cual nos dice que está
instalado más pluguins, y Nessus estará corriendo en el localhost de nuestra
computadora y escribiendo lo siguiente https://localhost:8834/ podremos
entrar a la consola Nessus cuando necesitemos de ella y debemos esperar
unos minutos hasta que nos salga la siguiente ventana.
 11

6) Lanzar el Primer Escáner en Nessus

Cuando termina la
instalación de plugins sale
esta ventana donde
pondremos nuestra IP
objetivo a escanear y
damos Submit.

Seleccionamos nuestra IP a
escanear y damos clic en
lanzar escaneo.

Aquí ya nuestro escaneo ha sido lanzado y si damos clic en

nuestro escaneo nos ira mostrando lo que va encontrando
12

Vamos a notar que estará listando las vulnerabilidades que está encontrando y al lado
derecho en el Status podemos ver si esta escaneando o ha terminado su escaneo.

Al terminar nos mostrara su estado completado y el listado de vulnerabilidades que ha

tenido nuestra maquina vulnerable la cual hemos puesto a escanear en este caso
encontró 69 vulnerabilidades.

En la parte superior derecha podremos encontrar el botón de Informe este botón nos
da la opción de descargar un informe detallado del escaneo realizado, en la versión
gratuita solo tenemos para descargar en formato HTML o CSV en licencias pagadas
podemos descargar en formatos mas profesionales diseñados por la misma plataforma
de Nessus.
13

Aquí seleccionamos el formato y lo que queremos ver en el informe detalladamente y

damos clic en generar informe.

Luego de descargarlo se verá una visualización del informe de esta manera.

14

7) lanzamiento de un escaneo

Para realizar un nuevo escaneo de vulnerabilidades lo haremos de la siguiente manera,

entramos al https://localhost:8834/

Ingresamos nuestras
credenciales

Se abrirá una ventana como la siguiente y tenemos que ir a la parte superior derecha y
dar clic en el botón nuevo escáner

Saldrá la siguiente ventana donde vamos a tener varias formas de escaneo cada
opción está programada y configurada para una vulnerabilidad especifica,

Dependiendo la tarea que quieras realizar Nessus te da 24 opciones de escáner como

también puedes configurar nuestro propio escaneo generando asi la unión de varias
opciones en un solo escaneo esto lo podrás hacer con las licencias de paga.
15

Para lanzar nuestro nuevo escaneo usaremos la opción Advanced Scan,

16

Llenamos la información que solicita el formulario muy importante verificar la que la IP

de la maquina o servidor este bien escrita para que el escaneo sea exitoso.

Ahora damos clic en el botón guardar y saldrá la siguiente pantalla

Damos clic en el escáner que acabamos de crear y le damos play para que empiece el
escaneo.

Ya terminado nuestro segundo escáner tenemos a disposición lo antes visto ya

sabemos que hay dos maneras de descargar el informe para atender nosotros las
vulnerabilidades o al oficial de seguridad.

Conclusiones:
17

Bibliografía:

 Vulnerable By Design ~ VulnHub. Vulnhub.com. Published 2022. Accessed

November 24, 2022. Vulnerable By Design ~ VulnHub

 Sistemas vulnerables para practicar legalmente ataques hacking. Blog

elhacker.NET. Published 2022. Accessed November 24, 2022. Blog elhacker.NET:
Sistemas vulnerables para practicar legalmente ataques hacking

 Download VMware Workstation Pro. VMware. Published November 17, 2022.

Accessed November 24, 2022. Download VMware Workstation Pro | CO

 Tenable Multiproduct. Tenable.com. Published 2022. Accessed November 24,

2022. Tenable Multiproduct