Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • 28 vistas

    Actividad de Aprendizaje #1 de Seguridad de Software

    Cargado por

    Jaider Jimenez
    actividad de seguridad

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd

    Actividad de Aprendizaje #1 de Seguridad de Software

    Cargado por

    Jaider Jimenez
    28 vistas30 páginas
    actividad de seguridad

    Título original

    actividad de aprendizaje #1 de seguridad de software

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    DOCX, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    actividad de seguridad

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Descargar como docx, pdf o txt
    28 vistas30 páginas

    Actividad de Aprendizaje #1 de Seguridad de Software

    Cargado por

    Jaider Jimenez
    actividad de seguridad

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Descargar como docx, pdf o txt
    Está en la página 1de 30

    UNIVERSIDAD DE CARTAGENA CENTRO TUTORIAL

    SAN JUAN NEPOMUCENO

    ACTIVIDAD DE APRENDIZAJE #1

    DE:

    SEGURIDAD DE SOFTWARE

    PRESENTADO POR:

    JAIDER EDUARDO JIMENEZ CLARO

    TUTOR:

    MAURICIO HERNANDEZ

    SEMESTRE:

    VII

    FECHA:
    13-09-2024
    En este contexto, se les solicitará desplegar una máquina virtual basada en la
    distribución de Kali Linux, la cual funcionará como la máquina principal para la
    auditoría de vulnerabilidades. Además, deberán configurar otra máquina virtual que
    actúe como la máquina víctima, la cual contendrá una serie de vulnerabilidades. Esto
    permitirá a los estudiantes poner en práctica los conocimientos y habilidades
    adquiridos durante el desarrollo de la UNIDAD-1, fomentando así un aprendizaje
    práctico y aplicado.
    Como entrega final cada estudiante debe presentar un documento informe que
    cumpla con las siguientes evidencias:
     Despliegue del entorno virtualizado, direccionamiento IP de la red y pruebas
    de conectividad, sugiere utilizar el comando ping y la herramienta nmap..
     Análisis del protocolo HTTP a través del navegador web de su preferencia,
    recomendación (Mozilla Firefox).
     Análisis de tecnologías web usadas en una aplicación web por medio del
    plugin Wappalyzer.
     Identificación de estructura de directorios y enlaces de una aplicación web, por
    medio de herramientas como Burp Suite o Skipfish
     Dicho informe debe contener una introducción, desarrollo, conclusiones y
    mínimo 4 referencias bibliográficas de diferentes autores.
    SOLUCION

    1.Lo primero que haremos será dar inicio a las dos máquinas Virtual que utilizaremos para
    la realización de esta actividad, las maquinas utilizadas son Kali Linux y Metasploitable 2.

    Máquina Virtual Kali Linux


    Máquina Virtual Metasploitable 2.

    Paso 2: Luego de realizar el paso anterior lo que debemos hacer es probar la conexión entre
    las dos máquinas, para esto, tanto en la máquina de Kali Linux como en la máquina de
    Metasploitable 2 debemos de utilizar el siguiente comando en la terminal:
    Comando aplicado a la máquina virtual Kali Linux

    En la cual se puede observar que la dirección IP asignada a la máquina virtual de Kali


    Linux es la 192.168.1.152.
    Comando aplicado a la máquina virtual de Metasploitable 2

    En la cual se puede observar que la dirección IP asignada a la máquina virtual de


    Metasploitable 2 es la 192.168.1.151.
    Paso 3: Ahora bien, una vez realizado los pasos anteriores y ya habiendo reconocido las
    direcciones IP asignadas a cada máquina, lo que debemos hacer en este paso es realizar un
    PING de una maquina a la otra para comprobar que existe conexión, para esto se utilizar el
    siguiente comando:

    PING desde la máquina virtual de Kali Linux a la máquina virtual de Metasploitable 2

    En la imagen anterior se puede observar que entre la máquina Kali Linux y la máquina
    Metasploitable 2, existe una conexión.

    PING desde la máquina virtual de Metasploitable 2 a la máquina virtual de Kali Linux.


    En la imagen anterior se puede observar que entre la máquina Metasploitable 2 y la
    máquina de Kali Linux, existe una conexión.

    Paso 4: Ahora bien, realizados los pasos anteriores, para ingresar a Metasploitable 2
    podemos ingresar al usuario root, esto nos permitirá contar con más privilegios, para esto
    debemos de ingresar el siguiente comando en la terminal:
    Paso 5: El paso a seguir es realizar el ingreso al Metasploitable 2, esto lo podemos realizar
    desde el siguiente comando:
    Paso 6: En este paso lo que se hace es una identificación de los hosts que se encuentras
    disponibles en la red, para esto utilizaremos el siguiente comando.
    Paso 7: Una vez identificados los hosts procederemos a hacer el escaneo, para esto
    utilizaremos el siguiente comando.
    Paso 8: Una vez realizado el paso anterior podemos observar el resultado del script el cual
    contiene datos de la máquina del Metasploitable 2 como se observa en la siguiente imagen.

    Paso 9: Ahora realizaremos el escaneo para detectar todas las vulnerabilidades de ese
    equipo, para esto se utiliza el siguiente comando el cual nos servirá para obtener el script de
    todas las vulnerabilidades y a su vez crearemos un archivo para lo guarde cuando se
    complete el escaneo, para esto utilizaremos el siguiente comando:

    Paso 10: Una vez terminado el escaneo no mostrara nada en pantalla ya que va a crear un
    archivo en donde se va a guardar la configuración, para este caso podremos observar el
    archivo introduciendo el siguiente comando:
    l
    Paso 11: Como podemos observar en el punto anterior, hay varias vulnerabilidades y por
    ejemplo accederemos al puerto del telnet, para esto debemos abrir otra terminal en Kali
    Linux y utilizamos el siguiente comando:

    Paso 12: Realizado el paso anterior se puede observar que mediante telnet un puerto que
    está abierto podemos acceder a esta máquina desde la máquina virtual de Kali Linux, su
    usuario y contraseña es msfadmin.
    Paso 13: Una vez realizado el paso anterior podemos observar que ya obtuvimos el acceso
    a telnet desde la máquina de Kali y podemos ejecutar comando remotamente, como por
    ejemplo mirar la IP que está utilizando esa máquina, para esto utilizamos el siguiente
    comando:

    Paso 14: También podemos ver cuál es el usuario que esa máquina está utilizando, para
    esto utilizamos el siguiente comando:
    Paso 15: Para verificar que esta información a la cual estamos accediendo remotamente es
    verídica, podemos realizar la comparación con la información que arroja la máquina virtual
    como tal, para esto en la máquina virtual utilizamos el comando whoami para identificar el
    usuario y el comando ifconfig para obtener la IP:

    Comandos ejecutados desde la maquia virtual de Metasploitable 2.

    Comandos ejecutados desde la maquia virtual de Kali.


    Como se puede observar en las imágenes anteriores, tenemos acceso remoto a la máquina
    virtual de Metasploitable 2, dado que estaríamos trabajando con la misma IP y el mismo
    usuario.

    Paso 16: Ahora bien, realizada la explotación del puerto que ejecuta el servicio de telnet,
    procederemos a realizar la segunda explotación la cual se hará al servicio de MySQL para
    esto debemos de volver a ingresar a una terminal de Kali y ejecutamos el siguiente
    comando:

    Paso 17: Una vez dentro del Metasploitable 2 ejecutaremos el siguiente comando, el cual
    nos ayudara a buscar la vulnerabilidad, que en este caso sería MySQL:
    Paso 18: Una vez encontradas las vulnerabilidades seleccionaremos la ruta
    auxiliary/scanner/MySQL/mysql_login esto lo hacemos con el siguiente comando:

    Paso 19: Una vez dentro del exploit vamos a verificar las opciones que podemos hacer con
    este exploit, para esto utilizamos el comando:
    Paso 20: En este caso haremos un ataque de exploit, para esto debemos introducir la
    víctima y se utiliza el siguiente comando:

    Paso 21: Ahora bien, utilizaremos dos archivos de texto los cuales son user y password los
    cuales cumplen la función de diccionarios, para introducir el archivo USER utilizamos el
    siguiente comando:

    Paso 22: Para introducir el archivo password utilizamos el siguiente comando:


    Paso 23: Una vez preparado el exploit procederemos a correr el exploit y realizar el ataque,
    para esto utilizaremos el siguiente comando:

    Paso 24: Como se puede observar en el paso anterior ya tenemos acceso ahora bien
    debemos de abrir una nueva terminal e ingresar al usuario root para esto el comando que
    utilizaremos es el siguiente:

    Paso 25: Teniendo en cuenta que debemos de contar con el mysql instalado, utilizaremos el
    siguiente comando para buscarlo y ver si ya contamos con esta herramienta instalada, el
    comando que utilizaremos para esto será el siguiente:

    Paso 26: En caso de no tener instalado el servicio debemos de ingresar el siguiente


    comando para realizar la instalación:
    Paso 27: Una vez verificado lo anterior podemos ingresar a la base de datos ya que
    tenemos el exploit preparado, para esto utilizaremos el siguiente comando:

    Paso 28: Por último, para revisar el estado de la base de datos ingresamos el siguiente
    comando:

    También podría gustarte