comment
IRC Chat
play_arrow
Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

Expl()tando vulnerabilidades humanas con Metasploit

  • 2 Respuestas
  • 2112 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado RooT_Shell

  • *
  • Underc0der
  • Mensajes: 22
  • Actividad:
    0%
  • Reputación 0
  • Root_Shell <--> Hack_Crack
    • Ver Perfil
    • Email
« en: Junio 26, 2010, 12:02:41 am »
Una de las técnicas empleadas por un atacante durante la fase de reconocimiento es la ingeniería social.

Manipular a las personas para ganar su confianza y obtener acceso a su sistema logrando que nos revele información confidencial es todo un arte. En muchas ocasiones puede resultar más fácil engañar al usuario que encontrar una vulnerabilidad en el sistema.

Todos conocemos la frase: "el usuario es el eslabón más débil", aprovechar sus debilidades para lograr que nos revele la clave de acceso a su sistema o abra un pdf, no es una tarea muy complicada. ¿Quién se resiste a un pdf que contiene un calendario de fotos de chicas sexys? o un supuesto administrador de la red, que nos llama con un número que parece de nuestra compañía utilizando las técnicas de spoofing de números de teléfono y nos informa que ha detectado una infección en nuestra máquina y necesita nuestra contraseña para revisar el problema.

Uno de los expertos en este arte es Kevin Mitnik, quien asegura que aunque los usuarios sigan unas políticas de seguridad, nuestra naturaleza humana nos hace vulnerables. ¿Quién no siente la necesidad de ayudar a un supuesto administrador de sistemas que se ha ganado nuestra confianza previamente?

Desde Metasploit nos presentan The Social-Engineering Toolkit (SET) que fue diseñado para el proyecto Social-Engineering Framework.

Podemos descargarlo desde nuestra Back|Track 4 mediante:
*** hidden content ***

Esta toolkit incorpora en una interfaz sencilla varios ataques de ingeniería social, con el propósito de automatizar y mejorar muchos de los ataques que existen en la actualidad.

Permite realizar ataques de tipo:

   1. Ataques vía e-mail
   2. Vector de ataques a sitios web

Además nos da la opción de actualizar nuestro Framework de Metasploit, nuestro Toolkit y la posibilidad de crear nuestro propio Payload y Listener.

Podríamos hacer uso de otra de las técnicas de reconocimiento, como es el Google Hacking y obtener una lista de e-mails de una organización. Seleccionaríamos por ejemplo el ataque mediante e-mail, que nos permitirá crear un pdf que contiene un exploit. Una vez el usuario abre el pdf, el payload se ejecutará y se creará una conexión que nos permitirá acceder a la shell de su máquina.



Otra opción sería llevar al usuario a una página web que muestra un error, y para funcionar necesita cargar un applet, al aceptarlo el applet actúa como troyano.



En definitiva, un proyecto muy interesante en el que solo se echa de menos la posibilidad de escoger los mensajes en otros idiomas aparte del Inglés.

mas informacion aqui:



No tienes permisos para ver links. Registrate o Entra con tu cuenta
y
No tienes permisos para ver links. Registrate o Entra con tu cuenta
« Última modificación: Noviembre 07, 2014, 08:35:13 pm por Expermicid »

Desconectado ||•?¤?- SeCurity-?¤?•||

  • *
  • Underc0der
  • Mensajes: 63
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • Email
« Respuesta #1 en: Junio 26, 2010, 01:00:28 am »

Descarga :
No tienes permisos para ver links. Registrate o Entra con tu cuenta

para mi el mejor video :::::::::::::::::::::::::::::::::


Desconectado RooT_Shell

  • *
  • Underc0der
  • Mensajes: 22
  • Actividad:
    0%
  • Reputación 0
  • Root_Shell <--> Hack_Crack
    • Ver Perfil
    • Email
« Respuesta #2 en: Junio 26, 2010, 01:02:59 am »
pues si esta bueno
y gracias por poner el link de descarga del metasploit asi
los users ya lo descargaran
saludos

 

¿Te gustó el post? COMPARTILO!



"Escaneo Invisible" con NMAP y Metasploit

Iniciado por Stiuvert

Respuestas: 3
Vistas: 6800
Último mensaje Junio 21, 2013, 09:33:46 pm
por GhostFire
Metasploit + Metasm (Ghost Writing ASM) para crear un backdoor indetectable

Iniciado por Aryenal.Bt

Respuestas: 11
Vistas: 5637
Último mensaje Noviembre 20, 2012, 12:25:34 am
por BCKTR1X
Obtener contraseña (admin) de windows con metasploit usando el módulo phish_windows_credentials

Iniciado por LionSec

Respuestas: 8
Vistas: 3125
Último mensaje Mayo 25, 2015, 02:49:25 pm
por MagoAstral
Curso Metasploit - Part. 3 - Como obteber un meterpreter con EternalBlue

Iniciado por puntoCL

Respuestas: 3
Vistas: 2180
Último mensaje Octubre 01, 2018, 03:05:53 pm
por Kyxda
[Armitage] Administrador Gráfico de Cyber Ataques para Metasploit

Iniciado por LucaSthefano

Respuestas: 2
Vistas: 2749
Último mensaje Abril 29, 2013, 07:20:08 pm
por Markuss97