INSTITUTO DE EDUACIÓN SUPERIOR CIBERTEC

DIRECCIÓN ACADÉMICA
CARRERA PROFESIONALES

CURSO : 1942 - Intrusión Ética

PROFESOR : Ing. Gerardo Sarmiento Quistán
SEMESTRE : 2023 - 2
CICLO : Quinto
SECCIÓN : T5AN
GRUPO : 01
FECHA : sábado, 25 de noviembre de 2023
DURACIÓN : 24 horas

ALUMNO (A) :DAVID ESPEJO LAZO

EXAMEN FINAL DE LABORATORIO

Logro
Tenga presente que el logro de esta evaluación, es que usted aplique de manera correcta
y eficiente las herramientas de intrusión ética para la recopilación de información

Consideraciones generales:

 En la calificación influirá el orden, la limpieza y la claridad de las respuestas.

 La evaluación será entregada a través del aula virtual.
 Poner su “Apellido” como nombre de la máquina virtual (Parrot)
 Evidenciar con capturas de pantalla completa sus respuestas

Consolidado

Puntaje Llenar solo en caso de Recalificación justificada

Pregunta
Máximo Obtenido Sustento Puntaje
1 07
2 06
3 07
Nota Recalificada

https://cibertecedu-my.sharepoint.com/:f:/g/personal/pgsarmie_cibertec_edu_pe/End-
G5F5IJlMtqhCmpTAI_sBQ65FuYkrxE5aGtW82_6-Ww
Pregunta 01

A través de la máquina De-Ice.110, herramientas de Linux como Strings o pluma y John the
Riper complete la siguiente información

 Vulnerabilidad encontrada
 encontrar la contraseña de la cuenta del servidor ftp
 03 medidas de seguridad que tomaría.

1.Primero analizamos la red en busca del servidor De-Ice.110

2.Procedemos ha encontrar la vulnerabilidad del servidor

3.Se intento con videos de internet, diferentes comandos,libros ,manual pero no se pudo

llegar hasta el final ☹

Medidas de seguridad
1. Contraseñas únicas:
 No uses la misma contraseña para múltiples cuentas. Si un servicio se ve
comprometido, tus otras cuentas seguirán estando seguras.
2. Uso de gestor de contraseñas:
 Utiliza un gestor de contraseñas confiable para almacenar y generar
contraseñas complejas. Esto te permite tener contraseñas únicas para cada
cuenta sin tener que recordarlas todas.
3. Autenticación de dos factores (2FA):
 Habilita la autenticación de dos factores siempre que sea posible. Esto
agrega una capa adicional de seguridad, ya que incluso si alguien conoce tu
contraseña, necesitaría un segundo método de verificación.
4. Actualizaciones regulares de contraseñas:
 Cambia tus contraseñas periódicamente, especialmente en cuentas críticas
como correo electrónico, banca en línea y redes sociales.
5. Verificación de actividad de la cuenta:
 Revisa regularmente la actividad de tus cuentas en línea para detectar
cualquier actividad sospechosa.
Pregunta 02

Mediante la herramienta Beef demostrar un “ataque de ingeniería social” (no usar

Pretty Theaf) al navegador de su preferencia y mostrar los resultados del comando.
Además, mencionar tres (03) medidas se seguridad se podría implementar para
mitigar el ataque.

1. Primero abrimos beef

2.Luego abrimos la pagina de butcher en el mismo kali

3.Para luego abrir en otro iso pero esta vez cambiando la ip inicial por la ip del kali
4.Como podemos ver en el kali en la pagina de beef se ah registrado la ip de la maquina en
la que pusimos la direccion.

5.Usaremos un Windows 10 adicionalmente para aplicar fishing y damos execute para

obtener credenciales.
Las medidas que tomaría para evitar estos ataques de ingeniería social serian :
1. Actualizaciones y Parches:
 Mantén todos los sistemas y software actualizados con los últimos parches
de seguridad.
 Automatiza el proceso de actualización cuando sea posible para garantizar
que las vulnerabilidades conocidas se aborden rápidamente.
2. Auditorías de Seguridad y Pruebas de Penetración:
 Realiza auditorías de seguridad y pruebas de penetración periódicas para
identificar y abordar posibles vulnerabilidades en tu infraestructura.
 Contrata profesionales de seguridad para evaluar la resistencia de tus
sistemas contra ataques de ingeniería social.
3. Monitorización de Actividad Anómala:
 Implementa soluciones de monitorización de seguridad que puedan
detectar patrones de actividad anómala en tiempo real.
 Establece alertas para notificar a los administradores sobre posibles
incidentes de seguridad.
4. Control de Acceso y Privilegios:
 Limita el acceso a la información y los recursos solo a aquellos que lo
necesitan para realizar sus funciones.
 Implementa el principio de privilegios mínimos, asegurando que los
usuarios tengan solo los permisos necesarios para realizar sus tareas.

Al adoptar estas medidas de seguridad y mantener una postura proactiva, se puede

fortalecer significativamente la resiliencia de alguna organización frente a los ataques de
ingeniería social.
Pregunta 03

Mediante la herramienta OWASP ZAP realizar escaneo dinámico a una página de su

preferencia que empiece con la letra de tu apellido paterno, evidenciar un parámetro
post vulnerable, además mencionar 3 medidas de seguridad para mitigar el ataque.

1.Primero abrimos el owasp zap

2.Procedemos a actualizar
3.Hacemos un escaneo automatico
4.Ahora procederemos hacer una búsqueda manual

5.Como vemos la pagina se logra abrir , le damos a continue to your target

6.Le damos a iniciar sesion para luego buscar el usuario

7.Procederiamos a buscar el usuario y contraseña
En el area de sites

8.Una vez encontramos vemos que contraseña se habia ocultado

 Medidas para evitar el ataque
1. Gestión de permisos:
 Revisa y limita los permisos de las aplicaciones y servicios en línea
para reducir el riesgo de acceso no autorizado.

2. Conciencia de seguridad:
a. Educa a los usuarios sobre las mejores prácticas de seguridad,
incluida la importancia de no compartir contraseñas y la
necesidad de proteger la información personal.
3. Almacenamiento seguro de contraseñas:
a. Utiliza administradores de contraseñas para almacenar y
gestionar contraseñas de forma segura.
4. Registro de actividad:
a. Activa y revisa los registros de actividad de tus cuentas para
detectar cualquier actividad sospechosa.
5. Cierre de sesiones no utilizadas:
a. Cierra sesión en tus cuentas cuando no las estés utilizando,
especialmente en dispositivos compartidos o públicos

RÚBRICA DE EVALUACIÓN

CRITERIO ESCALA DE CALIFICACIÓN

 Conecta el servidor a la  Conecta el servidor a la  Conecta el servidor a la Conecta el servidor a la

red red red red
 Logra ingresar al servidor  Logra ingresar al  Logra ingresar al servidor
Pregunta 1 vulnerado servidor vulnerado vulnerado
 Enumera las cuentas de  Encuentra la cuenta de
Reto De-Ice usuario y contraseñas usuario y contraseña
 Indica las acciones a
mejorar
(7 puntos)

7 puntos 4 puntos 2 puntos 1 punto

Pregunta 2  Demuestra que la  Demuestra que la

 Visualiza el contenido  No evidencia la
pagina es vulnerable y página es vulnerable
de la página web pérdida de control
Beef corrige el acceso OWASP A9
 5 puntos 4 puntos 2 puntos 2 puntos

 Carga el proxy zap  Carga el proxy zap  Carga el proxy zap  Carga el proxy zap
 Logra encontrar una  Logra encontrar una  Logra encontrar una
página vulnerable página vulnerable página vulnerable
Pregunta 5  Encuentra el parámetro  Encuentra el parámetro
post post
 Indica las acciones a
Owasp-zap
mejorar

(7 puntos)

7 puntos 5 puntos 3 puntos 1 punto