actividad no. 2.4- ataque contra contraseñas de sistemas linux
TRANSCRIPT
Universidad Nacional Autónoma de México Facultad de Contaduría y Administración Seguridad en Redes
Elaboró: Francisco Medina López 2015-‐2
1
Actividad No. 2.4: Ataque contra contraseñas de sistemas GNU/Linux Antecedentes Kali Linux es una distribución de Linux avanzada para pruebas de penetración y auditorías de seguridad. Es una completa re-‐construcción de BackTrack Linux que se adhiere completamente a los estándares de desarrollo de Debian. Entre sus principales características se encuentran:
• Más de 300 herramientas de pruebas de penetración, • Gratuito y siempre lo será • Amplio apoyo a dispositivos inalámbricos, etc.
Metasploit es un proyecto open source de seguridad informática que ayuda a realizar pruebas de penetración a sistemas informáticos. Su subproyecto más conocido es el Metasploit Framework, una herramienta para desarrollar y ejecutar exploits contra una máquina remota. Exploit (del inglés to exploit, ‘explotar’ o ‘aprovechar’) es un fragmento de software, fragmento de datos o secuencia de comandos y/o acciones, utilizada con el fin de aprovechar una vulnerabilidad de seguridad de un sistema de información para conseguir un comportamiento no deseado del mismo. Ejemplos de comportamiento erróneo: Acceso de forma no autorizada, toma de control de un sistema de cómputo, consecución privilegios no concedidos lícitamente, consecución de ataques de denegación de servicio. John the Ripper es un programa de criptografía que aplica fuerza bruta para descifrar contraseñas. Es capaz de romper varios algoritmos de cifrado o hash, como DES, SHA-‐1 y otros.
Universidad Nacional Autónoma de México Facultad de Contaduría y Administración Seguridad en Redes
Elaboró: Francisco Medina López 2015-‐2
2
Objetivo Obtener el archivo /etc/shadow del sistema operativo GNU/Linux (1) y realizar un ataque contra las contraseñas utilizando John the ripper.
Instrucciones Realiza las siguientes actividades y contesta las siguientes preguntas:
1. Usando el framework de metasploit obtener el archivo de contraseñas de GNU/Linux (/etc/shadow). ¿Cuáles son las cuenta de usuarios encontradas?
2. Utiliza la herramienta John the ripper para obtener todas las contraseñas encontradas en el archivo /etc/shadow.