Universidad  Nacional  Autónoma  de  México  Facultad  de  Contaduría  y  Administración  Seguridad  en  Redes    

Elaboró:  Francisco  Medina  López    2015-­‐2  

1  

Actividad   No.   2.4:   Ataque   contra  contraseñas  de  sistemas  GNU/Linux  Antecedentes    Kali   Linux   es   una   distribución   de   Linux   avanzada   para   pruebas   de   penetración   y  auditorías  de  seguridad.  Es  una  completa  re-­‐construcción  de  BackTrack  Linux  que  se  adhiere  completamente  a  los  estándares  de  desarrollo  de  Debian.    Entre  sus  principales  características  se  encuentran:  

• Más  de  300  herramientas  de  pruebas  de  penetración,  • Gratuito  y  siempre  lo  será  • Amplio  apoyo  a  dispositivos  inalámbricos,  etc.  

 Metasploit  es  un  proyecto  open  source  de  seguridad  informática  que  ayuda  a  realizar  pruebas  de  penetración  a   sistemas   informáticos.  Su  subproyecto  más  conocido  es  el  Metasploit  Framework,  una  herramienta  para  desarrollar  y  ejecutar  exploits  contra  una  máquina  remota.    Exploit  (del  inglés  to  exploit,   ‘explotar’  o   ‘aprovechar’)  es  un  fragmento  de  software,  fragmento   de   datos   o   secuencia   de   comandos   y/o   acciones,   utilizada   con   el   fin   de  aprovechar   una   vulnerabilidad   de   seguridad   de   un   sistema   de   información   para  conseguir   un   comportamiento  no  deseado  del  mismo.   Ejemplos  de   comportamiento  erróneo:  Acceso  de  forma  no  autorizada,  toma  de  control  de  un  sistema  de  cómputo,  consecución   privilegios   no   concedidos   lícitamente,   consecución   de   ataques   de  denegación  de  servicio.    John   the   Ripper   es   un   programa   de   criptografía   que   aplica   fuerza   bruta   para  descifrar  contraseñas.  Es  capaz  de  romper  varios  algoritmos  de  cifrado  o  hash,  como  DES,  SHA-­‐1  y  otros.      

Universidad  Nacional  Autónoma  de  México  Facultad  de  Contaduría  y  Administración  Seguridad  en  Redes    

Elaboró:  Francisco  Medina  López    2015-­‐2  

2  

Objetivo    Obtener   el   archivo   /etc/shadow   del   sistema   operativo   GNU/Linux   (1)   y   realizar   un  ataque  contra  las  contraseñas  utilizando  John  the  ripper.    

   Instrucciones    Realiza  las  siguientes  actividades  y  contesta  las  siguientes  preguntas:    

1. Usando   el   framework   de  metasploit   obtener   el   archivo   de   contraseñas   de  GNU/Linux  (/etc/shadow).  ¿Cuáles  son  las  cuenta  de  usuarios  encontradas?      

2. Utiliza   la   herramienta   John   the   ripper   para   obtener   todas   las   contraseñas  encontradas  en  el  archivo  /etc/shadow.