If you can't read please download the document
Upload
tantascosasquenose
View
530
Download
0
Embed Size (px)
Citation preview
SEGURIDAD Y APLICACIONES WEB
Licencia Creative Commons
Esta obra esta distribuida bajo una licencia de:Reconocimiento (Attribution): En cualquier explotacin de la obra autorizada por la licencia har falta reconocer la autora.
No Comercial (Non commercial): La explotacin de la obra queda limitada a usos no comerciales.
Compartir Igual (Share alike): La explotacin autorizada incluye la creacin de obras derivadas siempre que mantengan la misma licencia al ser divulgadas.
SEGURIDAD Y APLICACIONES WEB. Ataques automatizados: Beef
Prctica: Ataques Automatizados: BEEF
SEGURIDAD Y APLICACIONES WEB. Ataques automatizados: Beef
En estas prcticas usaremos una herramienta de ataque automtizado: BeefBrowser Exploitation Framework
Es una herramienta que se concentra en la explotacin de vulnerabilidades en navegadores.
Para disponer de esta herramienta configurada y preparada utilizaremos una imagen virtual de la distribucin de seguridad Backtrack5
SEGURIDAD Y APLICACIONES WEB. Ataques automatizados: Beef
Los objetivos de esta prctica son:Conocer Beef
Comprobar como la navegacin por sitios inseguros puede llevar a que tomen control remoto de nuestro equipo
Observar el tipo de ataques que se pueden realizar a travs de la inyeccin de contenido en un navegador web.
SEGURIDAD Y APLICACIONES WEB. Ataques automatizados: Beef
Para esta prctica utilizaremos:
La mquina virtual de BacktrackBeef
Metasploit
La mquina virtual de windows XP/SP2Internet Explorer 6
Arrancamos la imagen de Backtrack5
User: root
Pass: toor
X: startx
Arrancamos Beef
SEGURIDAD Y APLICACIONES WEB. Ataques automatizados: Beef
SEGURIDAD Y APLICACIONES WEB. Ataques automatizados: Beef
Arrancamos el navegador e introducimos la url:
http://10.0.2.3/beef/
Esto nos dar acceso a la consola de administracin de beef
SEGURIDAD Y APLICACIONES WEB. Ataques automatizados: Beef
SEGURIDAD Y APLICACIONES WEB. Ataques automatizados: Beef
Ahora pasaremos a arrancar la mquina con Windows que ser desde donde accedamos a la pgina web con vulnerabilidades
SEGURIDAD Y APLICACIONES WEB. Ataques automatizados: Beef
Una vez arrancada la mquina abrimos internet explorer e introduciremos la siguiente url
http://10.0.2.3/beef/hook/example.php
La ip ser la de la
mquina donde
tenemos levantado
beef
SEGURIDAD Y APLICACIONES WEB. Ataques automatizados: Beef
Volvemos a la mquina backtrack donde ya deberamos ver el resultado de haber entrado en una pgina maliciosa
SEGURIDAD Y APLICACIONES WEB. Ataques automatizados: Beef
A continuacin pulsando en zombies veremos la informacin con la que contamos sobre el equipo que controlamos
SEGURIDAD Y APLICACIONES WEB. Ataques automatizados: Beef
Pulsando en Standard modules veremos los mdulos de ataque disponibles
SEGURIDAD Y APLICACIONES WEB. Ataques automatizados: Beef
Comenzamos seleccionando Alert Dialog
Esto pintar un alert en el navegador del zombie
SEGURIDAD Y APLICACIONES WEB. Ataques automatizados: Beef
Veamos que podemos llegar a conseguir de un zombie ejecutando el script de beef al haber navegado por un lugar que lo contiene
SEGURIDAD Y APLICACIONES WEB. Ataques automatizados: Beef
SEGURIDAD Y APLICACIONES WEB. Ataques automatizados: Beef
Ingeniera social: Si persuadimos al usuario para que introduzca datos confidenciales en esta ventana podremos robarselos
SEGURIDAD Y APLICACIONES WEB. Ataques automatizados: Beef
Como vemos obtenemos en beef los datos introducidos por el usuario del equipo zombi
SEGURIDAD Y APLICACIONES WEB. Ataques automatizados: Beef
Tambin podemos capturar los datos que el usuario zombi tenga en el clipboard
SEGURIDAD Y APLICACIONES WEB. Ataques automatizados: Beef
Lanzamos el ataque y obtenemos los datos en pantalla desde beef
SEGURIDAD Y APLICACIONES WEB. Ataques automatizados: Beef
Desde beef tambin podemos utilizar metasploit para explotar las vulnerabilidades del navegador
Antes de hacerlo tendremos que conectar metasploit con beef
Abrimos una consola y escribimos:
cd /pentest/exploits/framework
sudo ./msfconsole
Cuando aparezca el prompt msf>
load xmlrpc Pass=BeEFMSFPass
SEGURIDAD Y APLICACIONES WEB. Ataques automatizados: Beef
Tras realizar esto iremos a beef y seleccionaremos la opcin para lanzar ataques metasploit
SEGURIDAD Y APLICACIONES WEB. Ataques automatizados: Beef
SEGURIDAD Y APLICACIONES WEB. Ataques automatizados: Beef
Tambin existe la opcin de lanzar automticamente todos los exploits de navegadores contenidos en metasploit
SEGURIDAD Y APLICACIONES WEB. Ataques automatizados: Beef
Llegados a este punto si conseguimos explotar una vulnerabilidad del navegador tendremos el control que nos permita el usuario con que se ha lanzado el navegador zombie
SEGURIDAD Y APLICACIONES WEB. Ataques automatizados: Beef
Como hemos visto a travs de la navegacin por pginas preparadas especialmente para hackear mquinas podemos resultar atacados con consecuencias que pueden llegar al control remoto de nuestro equipo.
Este mismo ataque puede ser lanzado desde una pgina legitima en la cual existe una vulnerabilidad XSS con lo cual se aumenta el riesgo de este tipo de ataques ya que navegaremos confiados por dicho site
Muokkaa otsikon tekstimuotoa napsauttamalla
Muokkaa jsennyksen tekstimuotoa napsauttamallaToinen jsennystasoKolmas jsennystasoNeljs jsennystasoViides jsennystasoKuudes jsennystasoSeitsems jsennystasoKahdeksas jsennystasoYhdekss jsennystaso