SEGURIDAD Y APLICACIONES WEB
Licencia Creative Commons
Esta obra esta distribuida bajo una licencia de:Reconocimiento
(Attribution): En cualquier explotacin de la obra autorizada por la
licencia har falta reconocer la autora.
No Comercial (Non commercial): La explotacin de la obra queda
limitada a usos no comerciales.
Compartir Igual (Share alike): La explotacin autorizada incluye
la creacin de obras derivadas siempre que mantengan la misma
licencia al ser divulgadas.
SEGURIDAD Y APLICACIONES WEB. Ataques automatizados: Beef
Prctica: Ataques Automatizados: BEEF
SEGURIDAD Y APLICACIONES WEB. Ataques automatizados: Beef
En estas prcticas usaremos una herramienta de ataque
automtizado: BeefBrowser Exploitation Framework
Es una herramienta que se concentra en la explotacin de
vulnerabilidades en navegadores.
Para disponer de esta herramienta configurada y preparada
utilizaremos una imagen virtual de la distribucin de seguridad
Backtrack5
SEGURIDAD Y APLICACIONES WEB. Ataques automatizados: Beef
Los objetivos de esta prctica son:Conocer Beef
Comprobar como la navegacin por sitios inseguros puede llevar a
que tomen control remoto de nuestro equipo
Observar el tipo de ataques que se pueden realizar a travs de la
inyeccin de contenido en un navegador web.
SEGURIDAD Y APLICACIONES WEB. Ataques automatizados: Beef
Para esta prctica utilizaremos:
La mquina virtual de BacktrackBeef
Metasploit
La mquina virtual de windows XP/SP2Internet Explorer 6
Arrancamos la imagen de Backtrack5
User: root
Pass: toor
X: startx
Arrancamos Beef
SEGURIDAD Y APLICACIONES WEB. Ataques automatizados: Beef
SEGURIDAD Y APLICACIONES WEB. Ataques automatizados: Beef
Arrancamos el navegador e introducimos la url:
http://10.0.2.3/beef/
Esto nos dar acceso a la consola de administracin de beef
SEGURIDAD Y APLICACIONES WEB. Ataques automatizados: Beef
SEGURIDAD Y APLICACIONES WEB. Ataques automatizados: Beef
Ahora pasaremos a arrancar la mquina con Windows que ser desde
donde accedamos a la pgina web con vulnerabilidades
SEGURIDAD Y APLICACIONES WEB. Ataques automatizados: Beef
Una vez arrancada la mquina abrimos internet explorer e
introduciremos la siguiente url
http://10.0.2.3/beef/hook/example.php
La ip ser la de la
mquina donde
tenemos levantado
beef
SEGURIDAD Y APLICACIONES WEB. Ataques automatizados: Beef
Volvemos a la mquina backtrack donde ya deberamos ver el
resultado de haber entrado en una pgina maliciosa
SEGURIDAD Y APLICACIONES WEB. Ataques automatizados: Beef
A continuacin pulsando en zombies veremos la informacin con la
que contamos sobre el equipo que controlamos
SEGURIDAD Y APLICACIONES WEB. Ataques automatizados: Beef
Pulsando en Standard modules veremos los mdulos de ataque
disponibles
SEGURIDAD Y APLICACIONES WEB. Ataques automatizados: Beef
Comenzamos seleccionando Alert Dialog
Esto pintar un alert en el navegador del zombie
SEGURIDAD Y APLICACIONES WEB. Ataques automatizados: Beef
Veamos que podemos llegar a conseguir de un zombie ejecutando el
script de beef al haber navegado por un lugar que lo contiene
SEGURIDAD Y APLICACIONES WEB. Ataques automatizados: Beef
SEGURIDAD Y APLICACIONES WEB. Ataques automatizados: Beef
Ingeniera social: Si persuadimos al usuario para que introduzca
datos confidenciales en esta ventana podremos robarselos
SEGURIDAD Y APLICACIONES WEB. Ataques automatizados: Beef
Como vemos obtenemos en beef los datos introducidos por el
usuario del equipo zombi
SEGURIDAD Y APLICACIONES WEB. Ataques automatizados: Beef
Tambin podemos capturar los datos que el usuario zombi tenga en
el clipboard
SEGURIDAD Y APLICACIONES WEB. Ataques automatizados: Beef
Lanzamos el ataque y obtenemos los datos en pantalla desde
beef
SEGURIDAD Y APLICACIONES WEB. Ataques automatizados: Beef
Desde beef tambin podemos utilizar metasploit para explotar las
vulnerabilidades del navegador
Antes de hacerlo tendremos que conectar metasploit con beef
Abrimos una consola y escribimos:
cd /pentest/exploits/framework
sudo ./msfconsole
Cuando aparezca el prompt msf>
load xmlrpc Pass=BeEFMSFPass
SEGURIDAD Y APLICACIONES WEB. Ataques automatizados: Beef
Tras realizar esto iremos a beef y seleccionaremos la opcin para
lanzar ataques metasploit
SEGURIDAD Y APLICACIONES WEB. Ataques automatizados: Beef
SEGURIDAD Y APLICACIONES WEB. Ataques automatizados: Beef
Tambin existe la opcin de lanzar automticamente todos los
exploits de navegadores contenidos en metasploit
SEGURIDAD Y APLICACIONES WEB. Ataques automatizados: Beef
Llegados a este punto si conseguimos explotar una vulnerabilidad
del navegador tendremos el control que nos permita el usuario con
que se ha lanzado el navegador zombie
SEGURIDAD Y APLICACIONES WEB. Ataques automatizados: Beef
Como hemos visto a travs de la navegacin por pginas preparadas
especialmente para hackear mquinas podemos resultar atacados con
consecuencias que pueden llegar al control remoto de nuestro
equipo.
Este mismo ataque puede ser lanzado desde una pgina legitima en
la cual existe una vulnerabilidad XSS con lo cual se aumenta el
riesgo de este tipo de ataques ya que navegaremos confiados por
dicho site
Muokkaa otsikon tekstimuotoa napsauttamalla
Muokkaa jsennyksen tekstimuotoa napsauttamallaToinen
jsennystasoKolmas jsennystasoNeljs jsennystasoViides
jsennystasoKuudes jsennystasoSeitsems jsennystasoKahdeksas
jsennystasoYhdekss jsennystaso
