Expl()tando vulnerabilidades humanas con Metasploit

Iniciado por RooT_Shell, Junio 26, 2010, 12:02:41 AM

Tema anterior - Siguiente tema

0 Miembros y 12 Visitantes están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Junio 26, 2010, 12:02:41 AM Ultima modificación: Noviembre 07, 2014, 08:35:13 PM por Expermicid
Una de las técnicas empleadas por un atacante durante la fase de reconocimiento es la ingeniería social.

Manipular a las personas para ganar su confianza y obtener acceso a su sistema logrando que nos revele información confidencial es todo un arte. En muchas ocasiones puede resultar más fácil engañar al usuario que encontrar una vulnerabilidad en el sistema.

Todos conocemos la frase: "el usuario es el eslabón más débil", aprovechar sus debilidades para lograr que nos revele la clave de acceso a su sistema o abra un pdf, no es una tarea muy complicada. ¿Quién se resiste a un pdf que contiene un calendario de fotos de chicas sexys? o un supuesto administrador de la red, que nos llama con un número que parece de nuestra compañía utilizando las técnicas de spoofing de números de teléfono y nos informa que ha detectado una infección en nuestra máquina y necesita nuestra contraseña para revisar el problema.

Uno de los expertos en este arte es Kevin Mitnik, quien asegura que aunque los usuarios sigan unas políticas de seguridad, nuestra naturaleza humana nos hace vulnerables. ¿Quién no siente la necesidad de ayudar a un supuesto administrador de sistemas que se ha ganado nuestra confianza previamente?

Desde Metasploit nos presentan The Social-Engineering Toolkit (SET) que fue diseñado para el proyecto Social-Engineering Framework.

Podemos descargarlo desde nuestra Back|Track 4 mediante:
*** hidden content ***

Esta toolkit incorpora en una interfaz sencilla varios ataques de ingeniería social, con el propósito de automatizar y mejorar muchos de los ataques que existen en la actualidad.

Permite realizar ataques de tipo:

   1. Ataques vía e-mail
   2. Vector de ataques a sitios web

Además nos da la opción de actualizar nuestro Framework de Metasploit, nuestro Toolkit y la posibilidad de crear nuestro propio Payload y Listener.

Podríamos hacer uso de otra de las técnicas de reconocimiento, como es el Google Hacking y obtener una lista de e-mails de una organización. Seleccionaríamos por ejemplo el ataque mediante e-mail, que nos permitirá crear un pdf que contiene un exploit. Una vez el usuario abre el pdf, el payload se ejecutará y se creará una conexión que nos permitirá acceder a la shell de su máquina.



Otra opción sería llevar al usuario a una página web que muestra un error, y para funcionar necesita cargar un applet, al aceptarlo el applet actúa como troyano.



En definitiva, un proyecto muy interesante en el que solo se echa de menos la posibilidad de escoger los mensajes en otros idiomas aparte del Inglés.

mas informacion aqui:



No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
y
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Junio 26, 2010, 01:00:28 AM #1

Descarga :
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

para mi el mejor video :::::::::::::::::::::::::::::::::

Junio 26, 2010, 01:02:59 AM #2
pues si esta bueno
y gracias por poner el link de descarga del metasploit asi
los users ya lo descargaran
saludos
Imprimir
Ir Arriba Páginas1
Acciones del Usuario