UNIVERSIDAD NACIONAL AUTÓNOMA DE NICARAGUA, LEON

FACULTAD DE CIENCIAS Y TECNOLOGIAS

DEPARTAMENTO DE COMPUTACIÓN

Carrera: Ingeniería en Telemática

Componente: Seguridad en Redes
Elaborado por: Francisco Javier Colindres Toval

¡A la Libertad por la Universidad!

 Práctica de Hacking Ético con Nmap y BurpSuite en Metasploitable 2

Objetivo:

El objetivo de esta práctica es poner en práctica tus conocimientos de hacking ético utilizando Nmap y BurpSuite
para identificar vulnerabilidades y explotarlas en la máquina Metasploitable 2.

Herramientas:
• Nmap
• BurpSuite Pasos:
1. Reconocimiento:
• Nmap:
o Realiza un escaneo básico de la máquina Metasploitable 2 con Nmap:
▪ Observa los puertos abiertos y los servicios que se ejecutan en cada uno.
o Realiza un escaneo más detallado de cada puerto utilizando las opciones adecuadas de Nmap.
Por ejemplo, para escanear el puerto 80 (HTTP):
▪ Identifica la versión del servidor web y otros detalles relevantes.
1.1 Vamos con el primer punto de esta guía al reconocimiento con nmap, el comando que voy a utilizar en el primer
paso es el escaneo básico con el comando

nmap 192.168.83.17

La ip que me esta asignando mi dispositivo de anclaje a la maquina es 192.168.83.17.

Procedemos al primer escaneo con nmap:
Como se observa en el primer punto del escaneo con nmap de forma básica se encuentran abiertos varios puertos
que están en estado: open, y que están ejecutando distintos servicios en el cual en el segundo escaneo que
será de forma mas detallada analizaremos cada uno de ellos.
1.2 Procedemos al segundo escaneo de forma mas detallada sobre la misma IP de la maquina meta: recordando que
el escaneo es para todos los puertos abiertos
Utilizare el comando: nmap -p
21,22,23,25,53,80,111,139,445,512,513,514,1099,1524,2049,2121,3306,5432,5900,6000,6667,8009,8180 -A
192.168.83.17
Como se puede observar en las capturas anteriores en escaneo detallado y especifico de los puertos obtenidos
tenemos la siguiente información:
En este caso en un análisis realizado se observa información algo detallada del servicio web solo en el puerto:
Puerto 80:
Versión del servicio web: Apache http 2.2.8
Sistema Operativo: Ubuntu
Título de la Pagina: Metasploitable2-Linux
Puerto 8180:
versión del servicio web: Apache TomcatCoyote JSP engine 1.1.
Esto con respecto a los servicios WEB, pero también hay puertos he tomado 3 que me parecen que tienen
información bastante relevante:
Puerto 22
Versión del Servicio: OpenSSH 4.7p1 es un protocolo de red que nos permite a nosotros los usuarios acceder
de forma segura a un computador remoto.
Puerto 80
Versión: Apache http 2.2.8, sistema operativo Ubuntu, la web tiene por nombre Metasploitable2-Linux, este
puerto no estas mostrando un servidor web ejecutándose en un sistema Ubuntu, el cual nos va ser crucial
ayuda para identificar vulnerabilidades y configuraciones especificas del servidor web.
Puerto 5432:
Versión del servicio: PostgreSQL DB 8.3.0-8.3.7, certificado SSL Emitido para ubuntu804-base.localdomain,
PostgreSQL en un sistema de gestión de bases de datos relacional de código abierto, nos da la versión
especifica y que contiene presencia del certificado SSL.
He tomado estos 3 puertos dado que he logrado entender un poco más su información.

2. Análisis:
• BurpSuite:
o Configura BurpSuite como proxy en tu navegador web. o Navega por la aplicación web de
Metasploitable 2 en tu navegador con el proxy configurado.
o BurpSuite capturará automáticamente el tráfico HTTP.
o Analiza el tráfico capturado en BurpSuite para identificar posibles vulnerabilidades.
▪ Utiliza herramientas como Spider y Intruder para explorar la aplicación web y
encontrar puntos de entrada potenciales.
▪ Utiliza herramientas como Scanner y Repeater para identificar vulnerabilidades
específicas, como inyección SQL o XSS.
2.1 La configuración del BurpSuite como proxy lo hicimos en el aula de clase a lo que nos vamos a la navegación a la
aplicación web de Meta, en mi caso pues estuve trabajando con redes diferentes por o cual tengo otra ip.

2.2
En este caso estoy navegando con la ip que tiene la maquina meta. Y dentro de BurpSuite podemos ver que está
capturando el tráfico conforme voy accediendo a los distintos apartados.

2.3 Haciendo un análisis del trafico http que realizo BurpSuite y haciendo otras investigaciones para comprender
los resultados:
PhpMyAdmin:
Esto me indica la presencia de php en el servidor el cual podría ser una vulnerabilidad si no se ha configurado de
forma correcta, pudiendo incurrir en el escenario si este no esta protegido por una autenticación adecuada o por
configuraciones de seguridad algo nulas, podría permitir el acceso no autorizado a la base de datos.
DVWA:
Danm Vulnerable Web Application es una aplicación web ya deliberadamente insegura con fines educativos, esta nos
proporciona ciertas vulnerabilidades, las cuales son inyección SQL, XSS las cuales podrían ser explotadas.
Twiki:
Es una plataforma de colaboración web la cual nos podría tener vulnerabilidades si no se ha actualizado
correctamente.
2.4 Utilizando la herramienta Intruder.
A. Ataque Sniper:
El ataque sniper funciona de la siguiente manera:
Este sustituye el campo que hemos seleccionado, esto se traduce a que cuando lance el ataque sniper va a
reemplazar ese campo con cada uno de los payloads que se le introdujeron deliberadamente, se observa un campo
llamado Payload Count y Request Count en este caso el Payload son la cantidad de usuarios en mi caso 5 y el
Request son la cantidad de peticiones que se van a realizar.
Tomando en cuenta que es una pagina de tipo login nos devuelve el code 302 que lo que hace es redireccionar a la
misma página donde estábamos ya que fallo el inicio de sesión.
Ahora tomando en cuenta que vamos a seleccionar ambos campos usuario y contraseña veamos que devuelve:
Como observamos lo que hace ahora es enviar las peticiones para cada campo, pero siempre devuelve el mismo
code 302 dado a que también no son los valores correctos, pero vemos que no es tan eficiente en cuanto tiempo ya
que primero manda las peticiones para usuario y luego las manda a contraseña lo que resulta petición por petición.
B. Ataque Battering Ram:
Usare los mismo Payloads que utilice en Sniper. Veamos que nos arroja de resultado este ataque:

Como vemos en este caso este ataque sustituye ambos campos usuario y contraseña con los payloads: en el primer
Request sustituyo
usarname: secut, password: secut.
Aquí empezamos viendo con respecto al ataque sniper sustituye campo por campo, este ataque Battering Ram
sustituye ambos campos de una sola vez los dos al mismo tiempo el cual lo hace más rápido y más eficiente en este
caso pues nos da el mismo code 302 y nos va a seguir redireccionando al Loguin ya que las credenciales no son las
correctas.
C. Ataque Pitchfork:
Con este ataque veremos que ahora podremos tener una lista de payloads para cada campo en este caso una lista
Payload para usuario y otra para contraseña:
Ahora se observa que en mi Payload set tengo acceso a 2 listas:
Deje en la lista 1 deje los parámetros que utilice en los ataques anteriores:

En la lista 2 añadiré otros parámetros:

En este caso para ver una respuesta diferente a los otros dos ataques y sea positivo el acceso puse admin y
password en el mismo índice para que pudieran coincidir, pero si no fuese el caso la respuesta seria siempre un
Loguin fallado. Este ataque es bastante eficiente debido a que la diferencia de este ataque con el anterior es que
este me permite agregar dos listas (payloads), permitiendo así que el ataque sea aún más efectivo ya que no va a
estar como en el ataque anterior que usaba el mismo Payload para cada campo, y ahora tendremos dos listas una
para cada uno veamos que devuelve este ataque:

Como se puede observar cambia los parámetros el Payload 1 para el campo usuario y el Payload 2 para el campo
contraseña, pero si revisamos el response digamos del primero intento nos devuelve siempre al login

En cambio, en el intento 5 que el Payload 1 se toma como admin y el Payload 2 se toma como password vemos que
nuestro response es distinto a los demás:
Aquí observamos que location cambia y ya no muestra de nuevo el Login, sino que ahora muestra un acceso al
index.php de DVWA.

Como se comprueba en esta captura que los intentos antes del último fallaron, pero este no porque si son las
credenciales correctas.
D. Cluster Bomb:
También usare las dos mismas listas de payloads que en el ataque anterior
En este se ve de entrada que es un poco mas dilatado que el anterior ya que en el apartado de payloads nos
muestra que el Request Count ahora serán 25:

Como se observa hay más campos, la diferencia de este ataque con el anterior Pitchfork es que Pitchfork lo hace
por par es decir secut con la primera credencial del Payload 2 que es root y así sucesivamente mientras que
Cluster Bomb es todos por todos es decir que cada credencial del Payload 1 será verificada con todas las
credenciales del Payload 2 es decir:
el usuario: secut será comparado con cada credencial del Payload 2: root, admin, 1, acces, password.
Este puede ser aún más efectivo, pero más lento que el anterior porque genera más peticiones, porque creo que
este es más efectivo porque este si o si en las peticiones va a intentar acceder con cada usuario, pero en cada
usuario va a probar todas las claves posibles hasta llegar a la correcta.

Herramienta Repeater:
Esta herramienta no es tan automatizada como Intruder ya que en este caso Repeater, permite repetir y modificar
las peticiones http, pero de manera manual, ya que el usuario va a modificar manualmente las veces que él quiera y
considere necesario.
Se observa la parte del Request que es la petición, pero el response aún está vacío cuando damos click en el botón
send veremos la respuesta:

Vemos que igual la respuesta en location es login.php debido a que es un error al intentar loguearnos vamos a
modificar nuestro Request para ir viendo distintos response.
Como vemos aquí modificando el usarname y password con las credenciales correctas vemos que en nuestro
response es diferente la respuesta y no se queda en el login, sino que pasa al index.php.

A grande rasgo Repeater nos va a permitir que de forma manual podamos modificar cualquier campo y enviar
cuantas peticiones queramos al servidor.