Wmap Web Scanner Metasploit

Wmap es un framework para ejecutar escaneos contra aplicaciones Web, diseñado para ser utilizado como un plugin de MetaSploit Framework, cuenta con una arquitectura simple y no obstante sumamente potente en comparación con otras alternativas open source o comerciales que se encuentran actualmente en el mercado, la simplicidad de este plugin radica en que no depende de ningún navegador web o motor de búsqueda para capturar datos y manipularlos.

Las librerías que se deben instalar antes de proceder con la ejecución del plugin en un sistema Debian/Ubuntu son:

sudo apt-get install libxml-ruby
sudo apt-get install libxml2-dev
sudo apt-get install libxslt-dev
sudo apt-get install libnokogiri-ruby
gem install libxslt-ruby
gem install msgpack
PostgreSQL

Lo primero que haremos será crear una nueva base de datos para almacenar los resultados de análicis.

Citarstuxnet@stuxnet:~$ sudo su postgres
[sudo] password for stuxnet:
postgres@stuxnet:/home/stuxnet$ createuser metasploit -P
Enter password for new role:
Enter it again:
Shall the new role be a superuser? (y/n) y
postgres@stuxnet:/home/stuxnet$ createdb --owner=metasploit metasploit

Luego en una terminal tecleamos lo siguiente:

Citarsudo /etc/init.d/./postgresql start

Luego de haber creado la base de datos abriremos una consola del metasploit y tecleamos.

Citarmsf > db_connect metasploit:[email protected]:5432/metasploit

Donde:

CitarUser: metasploit     ( reemplazar por su user )
Passwd: metasploit ( reemplazar por su password )

Luego de haber creado la base de datos cargaremos WMAP.

Citarmsf > load wmap

Una vez realizado esto vamos añadir una nueva el target (sitio) seguido de la IP.

Citarmsf > wmap_sites -a No tienes permitido ver los links. Registrarse o Entrar a mi cuenta,199.59.148.10

Luego comprobramos si fue agregado correctamente.

Citarmsf > wmap_sites -l

Luego procedemos a covertirlo a objetivo ( Target )

Citarmsf > wmap_sites -s 0 1

Citarmsf > wmap_targets -t No tienes permitido ver los links. Registrarse o Entrar a mi cuenta,199.59.148.10

Citarmsf > set DOMIAN No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Citarmsf > wmap_targets  -l

Luego procedemos a lanzar los módulos de explotacion que serán cargados.

Citarmsf > msf > wmap_run -t

Una vez cargados los módulos procedemos a lanzarlos al sitio de destino para realizar el test de seguridad.

Citarmsf > wmap_run -e

Una vez que toda la exploracion termine vamos a comprobar si encontramos alguna vulnerabilidad.

Citarmsf > hosts -c address,svcs,vulns

Muy bueno! Me sirve, se agradece por el aporte.

Un saludo.

perfecto amigo , gracias por el post

Mui bueno, gracias.

Por cierto probe sin crear la basse de datos y parece que funciona. Puede que algunos modulos no se cargen??

@stakewinner00:

Recuerda que la base de datos almacenara los resultados de análicis.