Are You

Breath-
hacking?

V 3.0
“Cherno Alpha”
“Evil is Evil. Lesser, greater, middling… Makes no difference. The degree is
arbitrary. The definition's blurred. If I'm to choose between one evil and
another…I’d rather not choose at all“ – Geralt de Rivia
José Manuel Redondo López
 V Changelist

• V3.0 (482 PÁGINAS): TERMINA EL PROCEDIMIENTO PARA CTF/PENTESTING Y HACE MÚLTIPLES AÑADIDOS Y ARREGLOS
• Material complementario oficial de ampliación opcional a partir del curso 2020 de la asignatura Sistemas de Seguridad Informáticos de la
Escuela de Ingeniería Informática de Oviedo (https://ingenieriainformatica.uniovi.es/)
• Cambios de formato en toda la presentación para facilitar su lectura
• Introducida referencia a nuestro perfil como escuela en HackTheBox
• Corrección de erratas menores y errores de formato
• Más plataformas de pentesting en las que practicar
• Introducción a retos forenses con volcados de memoria
• Documentación de la herramienta Cotopaxi para pentesting de dispositivos IoT
• Guía de pasos recomendada para hacer un pentesting web
• Guías para la búsqueda de vulnerabilidades en APIs de WebSocket
• Enlace a herramientas para hacking de VoIP
• Nueva página de retos de reversing: Reversing Hero
• Material adicional para hacer ataques de XSS y de CSS Injection
• Más material de referencia para LOLBins y uso de Metasploit con el exploit BlueKeep
• Cloudunflare o herramienta para saber la IP real de dominios tras CloudFlare
• Análisis de dominios con Binaryedge.io
• Se han completado las fichas de / añadido a fichas existentes las herramientas: netdiscover, nc, netcat, userrecon-py, Vuls, cryptovenom,
femida (plugin para Burp), Pazuzu, UAC-A-MOLA, SUID3NUM, dotdotpwn, droopescan, davtest, fimap, snmpwalk, smbclient, showmount,
rpcinfo, enum4linux, Twint, SMTPTester
José Manuel
Redondo López
 V Changelist
• V3.0BETA2 (456 PÁGINAS): COMPLETA EL PROCEDIMIENTO PARA CTF/PENTESTING
• Extiende la beta1 hablando de retos esteganográficos, port knocking y un uso adicional de las herramientas de Metasploit
contra una instalación de MySQL. La sección concreta puede encontrarse aquí
• V3.0BETA1 (429 PÁGINAS): INCORPORA UN PROCEDIMIENTO DE ACTUACIÓN PARA CTF/PENTESTING
• Nuevos videotutoriales y prácticas para CTF
• Procedimiento rápido de iniciación a pentesting en escenarios de CTFs y pentesting reales sin conocimientos específicos
previos (primera versión beta). Puede encontrarse aquí
• V2.5 (327 PÁGINAS): INCORPORA MÚLTIPLES CAMBIOS EN VARIAS PARTES
• Más ejemplos de Ghidra y extensiones de Burp
• Repositorio de técnicas de escalado de privilegios
• Cursos / conferencias / blogs de seguridad
• Técnicas de ataque a servicios web
• Ejemplos de resolución de retos CTF
• Herramientas que facilitan el desarrollo de exploits
• Nuevos ejemplos de búsquedas de Shodan
• Introducción a las técnicas LOLBAS / GTFOBins
• Herramientas nuevas: hashid, airgeddon, AIL Framework, MobSF, Mongoose, pixload, impacket,
José Manuel
bloodhound y MITRE Caldera
Redondo López
 V Changelist

• V2.25 (292 PÁGINAS): OPHCRACK, PATATOR (BRUTEFORCE). RECOMENDACIONES DE SEGURIDAD DE

COMUNICACIONES DEL FAMOSO JORGE “SOYDELBIERZO”. LISTADO (ARSENAL) DE HERRAMIENTAS PARA
PENTESTING EN LA NUBE. CANALES DE YOUTUBE DE HACKING/HACKTHEBOX. PAGEDOUT! MAGAZINE
• V2.2 (289 PÁGINAS): MONTAJE DE PENTESTING LABS, PENTESTING EN LA NUBE, MÁS HERRAMIENTAS
• V2.0 (254 PÁGINAS): REORGANIZACIÓN COMPLETA DE LA SECCIÓN DE HERRAMIENTAS SIGUIENDO UN
ESQUEMA DE CAPAS. MÁS HERRAMIENTAS. PRESENTACIÓN NAVEGABLE ENTRE ÍNDICE Y SECCIONES
• V1.7 (200 PÁGINAS): ACCIONES PARA PENTESTING DE SERVICIOS CONCRETOS. AUTENTICACIÓN DE
USUARIOS Y MÁQUINAS. MÁS HERRAMIENTAS / TUTORIALES / SITIOS DONDE APRENDER
• V1.6 (188 PÁGINAS): HERRAMIENTAS DE DEOFUSCACIÓN /EXPLOITING / STRESS TESTING. MÁS
HERRAMIENTAS / TUTORIALES / SITIOS DONDE APRENDER. CORRECCIÓN DE ERRATAS
• V1.5 (173 PÁGINAS): PRIMERA EDICIÓN CON LA SECCIÓN DE HERRAMIENTAS, TUTORIALES Y SITIOS
DONDE APRENDER CON EL SISTEMA DE CLASIFICACIÓN INICIAL POR SECCIONES
• V1.0 (91 PÁGINAS): VERSIÓN INICIAL SACADA PARA LA CONFERENCIA EN LA ESCUELA. SIN LA PARTE DE
HERRAMIENTAS

José Manuel
Redondo López
 V ¿Quién eres ☺?

• ESTA PRESENTACIÓN PUEDE SER LEÍDA POR DOS TIPOS DE PERSONAS

• No-alumnos de la asignatura de Sistemas de Seguridad Informáticos de la EII
(Universidad de Oviedo)
• En ese caso, disfruta de la lectura y espero que algo de todo esto te sea útil en tu trabajo /
estudios / saciar tu curiosidad
• He intentado hacer algo lo más completo posible dentro de mis limitaciones y la de estar
pensada para gente no iniciada en estos mundos (ya que es el alumnado objetivo de la
asignatura)
• Esto se ha hecho con mucho estudio, mucha voluntad y mucho cuidado, intentando evitar
en la medida de lo posible errores (¡espero haberlo conseguido! ☺
• Alumnos de esa asignatura: lo mismo que los no alumnos, pero recuerda: esta
presentación NO es material evaluable
• Amplía los contenidos que os hemos dado, explorando partes que no hemos impartido
• ¡Tomáoslo como una forma de “para saber más” fácil de conseguir!

José Manuel
Redondo López
 V Han contribuido…

• LAS SIGUIENTES PERSONAS HAN CONTRIBUIDO A HACER MEJOR ESTA

PRESENTACIÓN VÍA TWITTER. ¡GRACIAS DE CORAZÓN A TODOS!
• @tunelko
• @danielcues
• @ramon_vilafer
• @jony8mb
• @BrreaKerr
• @SpeedyLlanos
• OTROS COLABORADORES
• Iñigo Llaneza Aller (canales de Youtube)
José Manuel
Redondo López
 V Índice general

• ESTA PRESENTACIÓN CONSTA DE CUATRO GRANDES PARTES

• Una descripción introductoria de técnicas de hacking, con el
objetivo de entrar en HackTheBox
• Una descripción de qué es HackTheBox y qué servicios ofrece
• Una colección clasificada por para que se usan
principalmente de herramientas de hacking/pentesting/CTF
• Anexos con materiales de estudio / consulta / ampliación

José Manuel
Redondo López
V IVIENDO LA
CYBER
SEGURIDAD
CON
HACKTHEBOX
HACKING
THROUGH
ABILITY
ABILITY
THROUGH
HACKING

José Manuel Redondo López

 V ¿Qué es Hack the box?

• HACKTHEBOX ES UNA PLATAFORMA DE ENTRENAMIENTO DE PENTESTING ONLINE

• UNA VEZ DENTRO DE LA MISMA NOS DA UNA RED DE MÁQUINAS DE DIVERSA DIFICULTAD EN LAS QUE
DAR “RIENDA SUELTA” A NUESTRAS HABILIDADES DE HACKING
• Y “SOLTAR” TODAS LAS TÉCNICAS QUE CONOZCAMOS PARA PODER ENTRAR EN ELLAS, HACER ESCALADA
DE PRIVILEGIOS, ROBAR INFORMACIÓN, ALTERAR SU FUNCIONAMIENTO O LO QUE SE NOS OCURRA (O
MANDEN LOS RETOS)
• TAMBIÉN ES LA PLATAFORMA RECOMENDADA POR LA GUARDIA CIVIL PARA ENTRENAR PARA LA
NATIONAL CYBERLEAGUE, DE LA QUE SEREMOS SEDE EN 2019
• https://www.nationalcyberleague.es/
• ¡El ganador local irá a competir con los mejores a nivel nacional en Aranjuez!
• Y quizá logre captar la atención de una empresa en el ramo ;) ;) ;) ;)
• ASÍQUE MEJOR OS EXPLICO COMO ES ESTA PLATAFORMA Y UN POCO LA “MENTALIDAD” A TENER ANTE
UN CONCURSO DE ESTE TIPO
• ¿LISTOS PARA HACKEAR Y PASARLO BIEN? ☺
José Manuel
Redondo López
 “HACKER MINDSET”
PENSANDO COMO UN HACKER
PARA ENTRAR EN
HACKTHEBOX

V
HACKING
THROUGH
ABILITY
ABILITY
THROUGH
HACKING

Volver al Índice
 V Ganándonos el derecho a entrar en Hack the Box

• LO PRIMERO QUE LLAMA LA ATENCIÓN

ES QUE NO PODEMOS REGISTRARNOS
• ¡PARA ENTRAR TENEMOS QUE RESOLVER
UN RETO DE HACKING!
• DE ESTA FORMA, LA PLATAFORMA NOS
PRUEBA ANTES DE DEJARNOS ACCEDER
A SUS RECURSOS
• YO LO APROVECHARÉ PARA EXPLICAROS
MI VISIÓN DE CÓMO DEBERÍA PENSAR
UN HACKER
José Manuel
Redondo López
 V ¿Qué puedo hacer?

• LLEGADOS A ESTE PUNTO HAY QUE BUSCAR UNA FORMA DE COMENZAR A AVERIGUAR EL CÓDIGO
• EN UNA SITUACIÓN REAL HARÍAMOS UN ESTUDIO DEL OBJETIVO:
• Información del registrador del dominio
• Datos de su DNS (https://tools.kali.org/information-gathering/dnsenum)
• Google Hacking: https://antoniogonzalezm.es/google-hacking-46-ejemplos-hacker-
contrasenas-usando-google-enemigo-peor/
• Sistemas expuestos (Shodan): https://hacking-etico.com/2016/02/12/4979/
• Estudios de personal y sus redes sociales, técnicas OSINT, Maltego:
https://www.fwhibbit.es/introduccion-a-maltego
• LUEGO HARÍAMOS UNA ENUMERACIÓN DE LOS RECURSOS Y UN ESTUDIO DE LOS SERVICIOS QUE
EJECUTAN, SUS VERSIONES…
• PERO TODOS ESTOS RECURSOS AQUÍ NO SIRVEN: ESTO ES UNA EMPRESA SERIA, SABE LO QUE HACE Y
NOS PIDE UN SIMPLE CÓDIGO
• NO PARECE QUE HACERLE UN “PROFILE” AL OBJETIVO VAYA A SER LA VÍA ADECUADA…
José Manuel
Redondo López
 V ¿Y si usamos herramientas?

• OTRA OPCIÓN ES UNA HERRAMIENTA DE

DESCUBRIMIENTO AUTOMÁTICO DE
VULNERABILIDADES: OPENVAS, NESSUS, NIKTO…
• La idea es ver si se reporta alguna
vulnerabilidad que nos pueda servir para
entrar en el sistema
• Y dentro de el, obtener el código
• PERO EL USO DE ESTAS HERRAMIENTAS CONTRA
OBJETIVOS NO AUTORIZADOS SE PUEDE CONSIDERAR
UN ATAQUE…
• Algunos ISP bloquean su tráfico
• Y suele generar mucho tráfico en el objetivo
• NO PARECE CREÍBLE QUE LA COMPAÑÍA DEJE
EXPUESTA PÚBLICAMENTE UNA MÁQUINA
DELIBERADAMENTE VULNERABLE
• Parece demasiado bruto para obtener un
código
• No duraría ni 5 minutos online ☺
José Manuel
Redondo López
 V ¿Y si usamos herramientas?

• SI LAS ANTERIORES SON MUY RADICALES,

PODEMOS PROBAR OTRA: NMAP
• https://nmap.org/
• ESTA ES LA HERRAMIENTA DE REFERENCIA PARA
TODO HACKER, PENTESTER O ALGUIEN QUE QUIERA
HACER ALGO EN TEMAS DE SEGURIDAD
• Averigua información, puertos abiertos,
programas en ejecución, versiones de los
mismos, SO, versión del SO…
• Y tiene 600+ scripts que hacen pruebas
diversas de diferente tipo a los objetivos
• PODRÍAMOS ESCANEAR LA MÁQUINA OBJETIVO,
VER SI ENCONTRAMOS ALGÚN SERVICIO O
VULNERABILIDAD SOSPECHOSA Y “TIRAR DEL HILO”
• Está genial, pero es demasiado bestia para
lo que pretendemos…
• Además, nuevamente puede considerarse
José Manuel un ataque contra el objetivo
Redondo López
 V ¿Y si usamos herramientas?

• ¡HABLANDODE COSAS BESTIAS! PODEMOS

INTENTAR TOMAR EL CONTROL DE LA
MÁQUINA LANZÁNDOLE EXPLOITS CON
METASPLOIT Y SU GUI ARMITAGE
• ¡TOMAMOS EL CONTROL DE LA MÁQUINA Y
BUSCAMOS EL CÓDIGO DENTRO DE ELLA!
• SUENA GENIAL, PERO…
• Como dijimos antes, no es realista que
la compañía no se haya protegido
contra esto
• Es demasiado bestia
• Aunque no es algo imposible, quizás
ves demasiadas películas de hackers ☺
• ¡SOLOESTAMOS INTENTANDO SACAR UN
CÓDIGO, NO REVENTAR UN SISTEMA
COMPLETO!
José Manuel
Redondo López
 V ¿Qué puedo hacer?

• OTRA OPCIÓN PODRÍA SER SACAR EL CÓDIGO POR FUERZA BRUTA…

• https://support.portswigger.net/customer/portal/articles/1964020-
using-burp-to-brute-force-a-login-page
• PERO PENSEMOS:
• No sabemos ni que forma tiene, ni su longitud, ni el alfabeto que
usa…nada
• La cantidad de pruebas a hacer sería astronómica
• ¡Es un ataque!
• La empresa parece seria, muy probablemente nos bloquearía
• NOTA: Posteriormente averigüé que se encuentra detrás de Cloudflare:
efectivamente, nos bloquearía
• ESTO TAMPOCO TIENE PINTA DE FUNCIONAR
José Manuel
Redondo López
 V ¿Qué puedo hacer?

• PODEMOS PROBAR OTRA VARIANTE DEL GOOGLE HACKING: MIRAR POR AHÍ QUIEN LO
HA SACADO Y HACER EXACTAMENTE LO MISMO
• BUENO VALE, ESTO NO ES GOOGLE HACKING PER SE, PERO SE USA GOOGLE PARA
ENTRAR EN EL SISTEMA ☺
• Este es el verdadero: https://www.exploit-db.com/google-hacking-database
• Si se miran las reglas de la página, esto es hacer trampa
• ADEMÁS, ¡ASÍ NO CONSEGUIREMOS APRENDER!
• ¿Y EL RETO? ¿Y EL DESAFÍO? ¿Y LA GRACIA? ¿Y LA DIVERSIÓN? ☺
• YO VOY A HACERLO SIN TRAMPAS PARA EXPLICAROS COMO PIENSA UN HACKER, ES
DECIR, EL “HACKER MINDSET”
• UNA “DISCIPLINA MENTAL” A LA HORA DE ENFRENTARSE A ESTOS RETOS…
José Manuel
Redondo López
 V ¿Y si usamos metodologías de pentesting?

• ESTO ES BUENA IDEA, YA QUE VAMOS A JUGAR A

UN JUEGO, HAGÁMOSLO SIGUIENDO UNOS PASOS
COMPROBADOS Y COHERENTES

• HAY VARIAS METODOLOGÍAS, PERO MI PREFERIDA

ES LA OWASP PENTESTING GUIDE V4
• https://www.owasp.org/index.php/OWASP_
Testing_Guide_v4_Table_of_Contents
• OTRA METODOLOGÍA APLICABLE ES OSSTMMV3
• http://www.isecom.org/mirror/OSSTMM.3.p
df
• NO OBSTANTE, APLICARLA TAL CUAL PASO A PASO
ES UN POCO MATAR MOSCAS A CAÑONAZOS

• NO ESTAMOS HACIENDO PENTESTING A UNA

MÁQUINA, QUEREMOS AVERIGUAR UN CÓDIGO

• APLIQUEMOS PRIMERO COSAS SENCILLAS DE LA

MISMA QUE ENCAJEN CON EL ESCENARIO:
PROVOCAR ERRORES, PROBAR DATOS CONOCIDOS
José Manuel
Redondo López
 V ¿Y si provoco un error?

• PROVOCANDO ERRORES PUEDO OBTENER

UNA PÁGINA QUE ME INFORME DEL TIPO DE
SERVIDOR, SO Y OTROS DETALLES
• CON ELLOS, PODRÍA AVERIGUAR VERSIONES
DE PROGRAMAS
• CON ELLO, BUSCAR VULNERABILIDADES /
EXPLOITS
• Y CON ELLO, IGUAL ENCUENTRO EL CÓDIGO
BUSCADO
• ES DIFÍCIL, PERO SE PUEDE PROBAR…
• … PERO DA IGUAL, TODOS LOS ERRORES SE
CONTROLAN, POR AHÍ NO HAY FUTURO 

José Manuel
Redondo López
 V ¿Y si probamos datos conocidos?

• OTRA OPCIÓN ES PROBAR ALGUNA DE LAS

CLAVES MÁS USADAS POR INTERNET
• ES
UN DATO QUE SE PUEDE CONOCER CON
UNA SIMPLE BÚSQUEDA
• https://en.wikipedia.org/wiki/List_of_th
e_most_common_passwords
• ALO MEJOR, EL RETO ES TAN FÁCIL COMO
PONER ALGUNA DE ESTAS CLAVES
• PERO LO CIERTO ES QUE ESTO NO SON
CLAVES, ES UN CÓDIGO
• Y o hacemos fuerza bruta o probamos
a mano
• En ambos casos tenemos perjuicio:
bloqueo o tiempo
• TAMPOCO PARECE UNA VÍA MUY
José Manuel PROMETEDORA: VAMOS A OTRA COSA
Redondo López
 V Analizando lo que tenemos

• ¿Y QUÉ TENEMOS?
• Una simple página web sin
ninguna clase de información
adicional
• Un input y un botón de submit
• ¿QUÉ PODEMOS HACER CON ESO?
• ¿Ataques tradicionales web tipo
XSS, SQL Injection…?
• No, mejor ver el código fuente de
la página a ver si nos da alguna
pista ☺

José Manuel
Redondo López
 V Analizando lo que tenemos

• EL CÓDIGO DE LAS PÁGINAS WEB A VECES

OCULTA COMENTARIOS / DETALLES / ETC.
QUE NOS PUEDEN DAR PISTAS: CLAVES,
NOMBRES DE USUARIO, NOMBRES DE
FRAMEWORKS USADOS, DIRECTORIOS,
FICHEROS, CÓDIGOS…
• ¿SERÁ ESTE EL CASO?
• LA PRIMERA DIFICULTAD ES QUE EL CÓDIGO
ESTÁ MINIFICADO/OFUSCADO PARA QUE
OCUPE MENOS
• ¡Así no hay quien lo lea! 

José Manuel
Redondo López
 V Analizando lo que tenemos

• PERO ESO TIENE FÁCIL ARREGLO CON UN IDE

PARA DESARROLLO WEB
• EN LA IMAGEN VEMOS WEBSTORM DE
JETBRAINS
• https://www.jetbrains.com/webstorm/
• PEGAMOS EL CÓDIGO Y USAMOS LA OPCIÓN
DE “FORMAT CODE”
• ¡ESTO SI ES LEGIBLE!
• PERO NO TIENE NI UN SOLO DATO QUE NOS
SEA ÚTIL… 

José Manuel
Redondo López
 V Analizando lo que tenemos

• LO ÚNICO INTERESANTE QUE VEMOS

AL FINAL DEL ARCHIVO ES QUE CARGA
TRES FICHEROS JAVASCRIPT
• EN PRINCIPIO ES CÓDIGO QUE SE
EJECUTA EN EL CLIENTE, POR LO QUE
LA PROBABILIDAD DE QUE SE GENERE
UN CÓDIGO AHÍ ES BAJA
• NO OBSTANTE, COSAS PEORES HE
VISTO…
• PERO,A FALTA DE OTRAS OPCIONES,
TAMBIÉN DEBERÍAMOS EXAMINARLOS
A VER QUÉ PASA

José Manuel
Redondo López
 V Analizando lo que tenemos

• ELPRIMER JAVASCRIPT QUE VEMOS

VUELVE A ESTAR MINIFICADO Y
OFUSCADO
• ESTO NOS DIFICULTARÁ MUCHO SU
ANÁLISIS, AUNQUE ES CONVENIENTE
PARA QUE LAS WEB CARGUEN MÁS
RÁPIDO
• COMO ASÍ ES ILEGIBLE, TENEMOS QUE
PASARLO DE NUEVO A UN IDE DE
DESARROLLO QUE LE DE FORMATO
• OS ADELANTO LO QUE PASA:
TAMPOCO TIENE NADA QUE PAREZCA
INTERESANTE 
José Manuel
Redondo López
 V Analizando lo que tenemos

• ELSEGUNDO SCRIPT ES BASTANTE

RARO
• ENREALIDAD ES UN FICHERO HTML
QUE SE CARGA COMO JAVASCRIPT
• DICHO DE OTRA FORMA, EL
CONTENIDO SE INTERPRETARÁ COMO
UNA PÁGINA WEB POR EL
NAVEGADOR
• ADEMÁS TIENE UN NOMBRE
SOSPECHOSO: INVITEAPI…
• Buscamos un “invite code”
• Pone que es un API (conjunto de
funciones)
• ¡PEROEN APARIENCIA NO HAY
NINGUNA DECLARADA!
José Manuel
Redondo López
 V Analizando lo que tenemos

• SI DAMOS FORMATO AL CÓDIGO VEMOS QUE ES

MÁS FÁCILMENTE LEGIBLE

• HAY UN JSON CON UN TELÉFONO DE

CONTACTO…
• ¿llamamos para pedir el código? Muy
plausible no parece
• HAY UN NOMBRE DE CONTACTO…
• ¿Lo buscamos a ver quien es, que hace,
donde está y todas sus amistades,
relaciones laborales, etc.. Haciéndole
OSINT?
• Sería divertido, pero buscamos un código…
• AUNQUE ESTE FICHERO ES SOSPECHOSO, A PRIORI
NO PARECE QUE DE NADA QUE NOS SIRVA…

• LO DEJAMOS DE MOMENTO, PERO CON EL FLAG

DE “ESTO TENGO QUE MIRARLO MÁS EN DETALLE
LUEGO” ☺
José Manuel
Redondo López
 V Analizando lo que tenemos

• ELTERCER FICHERO JAVASCRIPT ES

UN EASTER EGG
• LOS DESARROLLADORES NOS GASTAN
UNA BROMA POR HABER MIRADO LAS
“TRIPAS” DE LA WEB
• PERO ESTO NOS DICE DOS COSAS:
• Hemos llegado a un punto que no
deberíamos ver
• Este fichero está pensado para
ejecutarse por consola de Javascript…
• Por tanto, en algún momento algo lo
cargará y ejecutará por consola de
Javascript, ya que no tiene un punto
de entrada llamable

José Manuel • MMMM…

Redondo López
 V ¡No hemos conseguido nada! ¿y ahora qué?

• SIEN UNA INSPECCIÓN VISUAL DE LA WEB NO PARECE HABER NADA QUE DIGA EL
CÓDIGO O LA FORMA DE GENERARLO, HABRÁ QUE “BAJAR EL NIVEL”
• ES DECIR, HABRÁ QUE METERSE DENTRO DEL PROCESO DE ENVÍO / RECEPCIÓN DE
PETICIONES HTTP PARA OBSERVAR QUÉ HACE Y CÓMO
• DE ESTA FORMA PODREMOS VER:
• Donde se conecta realmente al hacer un submit: puede ser una página no enlazada
interesante
• Parámetros que pasa
• Medidas de seguridad implementadas (normalmente mediante parámetros)
• Si usa cookies, sesiones, etc. y sus identificadores…
• Es decir, es como un debugger con watches, pero con peticiones HTTP
• PERO PARA ESO NECESITAMOS ARTILLERÍA, ES DECIR, HERRAMIENTAS DE SEGURIDAD
ESPECIALIZADAS ;)
José Manuel
Redondo López
SACANDO LA “MÁQUINA
DE GUERRA”
¡Kali Linux en acción!

V
HACKING
THROUGH
ABILITY
ABILITY
THROUGH
HACKING

Volver al Índice
 V Burp HTTP Proxy

• KALI LINUXES LA DISTRIBUCIÓN DE LINUX

MÁS FAMOSA PARA TEMAS DE SEGURIDAD
• https://www.kali.org/
• La opción Xfce ofrece GUI con un consumo
de recursos más bajo
• EL MOTIVO ES QUE INTEGRA UNA
BARBARIDAD DE HERRAMIENTAS DE
DIFERENTE PROPÓSITO PARA HACER TODO
TIPO DE TAREAS DE SEGURIDAD
• VAMOS, NOS DA TODO METIDO EN UNA
MISMA DISTRIBUCIÓN
• POR TANTO ES MUY CÓMODO TENER UNA
PARA ESTOS MENESTERES
• Y UNA DE ESAS HERRAMIENTAS ES BURP
PROXY: NUESTRO “DEBUGGER” HTTP
José Manuel
Redondo López
 V Burp HTTP Proxy

• PARA USAR UN PROXY HTTP ES

NECESARIO INDICARLE AL
NAVEGADOR QUE VAMOS A USAR
QUE LE MANDE SUS PETICIONES
• ESO ES SENCILLO USANDO LA OPCIÓN
DE CONFIGURAR UN PROXY QUE
TODO NAVEGADOR TIENE
• EN FIREFOX PODEMOS IR A GENERAL
– NETWORK PROXY

José Manuel
Redondo López
 V Burp HTTP Proxy

• UNAVEZ DENTRO, USAMOS BURP

COMO PROXY PARA TODO
• UNA VEZ ARRANCADO BURP SE
QUEDA ESCUCHANDO EN LOCALHOST,
PUERTO 8080
• ¡AHORA YA PODEMOS “INTERCEPTAR”
TODO EL TRÁFICO HTTP QUE
GENEREMOS!
• TANTO PETICIONES COMO SUS
RESPUESTAS ☺

José Manuel
Redondo López
 V Inspeccionando tráfico HTTP

• LOPRIMERO QUE VEMOS ES QUE SE GENERA

TRÁFICO A UNA WEB DESCONOCIDA
• ¿QUÉ ES ESTO? ¿VIRUS? ¿BROWSER
TROYANIZADO? ¿LA NSA ESPIÁNDOME?
• NO, SIMPLEMENTE
ES UNA WEB QUE FIREFOX
USA PARA DETECTAR CAPTIVE PORTALS DE
REDES WIFI
• ES DECIR, REDES WIFI QUE REQUIERAN
INTRODUCIR UNA CLAVE Y UN USUARIO PARA
PODER USARLAS A TRAVÉS DE UNA WEB
• SE PUEDE DESACTIVAR SI NUNCA
TENDREMOS ESE ESCENARIO

José Manuel
Redondo López
 V Inspeccionando tráfico HTTP

• ¡ME HA DADO UN ERROR!

• PASA A VECES QUE, CUANDO SE USA UNA
CONEXIÓN HTTPS, METER EN MEDIO UN PROXY
HACE QUE EL BROWSER SER “MOSQUEE”

• ¡HAY UN INTERMEDIARIO INTERCEPTANDO UNA

CONEXIÓN SUPUESTAMENTE SEGURA!

• EN ESTE CASO PODEMOS AÑADIR UNA EXCEPCIÓN,

YA QUE ES CONOCIDO

• PERO SI NOS PASA EN LA VIDA REAL CON UNA

WEB QUE NUNCA HA DADO ESTE TIPO DE
PROBLEMAS PUEDE SER QUE:
• Se han renovado mal sus certificados
• Nos están haciendo un Man-in-the-
Middle para robarnos datos ¡cuidado!
• Bueno, un MitM es lo que estamos
haciendo nosotros ahora, ¿no? ☺
José Manuel
Redondo López
 V Inspeccionando tráfico HTTP

• PORFIN VEMOS TRÁFICO DIRIGIDO A

LA WEB QUE NOS INTERESA
• PARA AVANZAR Y MANDAR LA
PETICIÓN PODEMOS
• Darle a Forward: Mandará 1
petición y volverá a interceptar la
siguiente o la respuesta a la que
hemos mandado (lo que llegue 1º)
• Desactivar la intercepción: En ese
caso el navegador se comporta
normalmente, nada se para y nada
se captura
• PERO VAMOS A VER QUÉ SE HA
CAPTURADO…

José Manuel
Redondo López
 V Inspeccionando tráfico HTTP

• TODA LA CABECERA DE LA HTTP

REQUEST: NADA RARO
• UNA COOKIE CON SESSIONID
(HACKTHEBOX_SESSION)
VERDADERAMENTE ALEATORIO
• No tenemos un SessionID de
nadie para hacernos pasar por el,
así que no es interesante
• __CFUID: ESTO PARECE OTRO ID DE
SESIÓN…
• Pero indica algo mucho más
interesante, ¡el servicio está detrás
de CloudFlare! (usa este
parámetro en las cookies)
• ¿Y esto es importante? Pues nos
quita unas cuantas vías de
ataque…ya que probablemente
sea su versión de pago
José Manuel
Redondo López
 V ¿CloudFlare?

• ESTO IMPLICA QUE, ENTRE OTRAS COSAS, TENEMOS LOS SIGUIENTES CONDICIONANTES:
• El DoS o cualquier ataque de fuerza bruta de cualquier clase está descartado: CloudFlare es
el mayor escudo anti-DoS del mundo
• Si para ataques de Petabytes, te para a ti ☺
• Cifrado robusto: No se puede jugar con los certificados ni con vulnerabilidades SSL
• Web Application Firewall: Esto elimina la mayoría de posibles ataques web que queramos
hacer: XSS, SQL Injection, XSRF, envenenamiento de parámetros, filtrado de ficheros
comprometedores…y un largo etc..
• Casi toda la guía OWASP anterior queda inutilizada
• También detecta y corrige errores derivados de una mala configuración del servidor
• Inteligencia colectiva para identificar nuevas amenazas: Si hacemos “trastadas” -> block
• Protección ante amenazas basada en la reputación: Si entramos desde un proxy o servicio de
para anonimizarnos (ToR), probablemente nos bloqueará
• Protección frente spam en los comentarios
• Protección contra la apropiación de contenidos: Descartado el poder robar archivos que
estén por ahí diseminados, incluso a posta: el sistema identifica y elimina estas peticiones
José Manuel • Bloquear visitantes: El sistema nos bloqueará si nos detecta como peligrosos
Redondo López
 V Pero, pero…

• SI,EL SISTEMA QUE TENEMOS QUE INSPECCIONAR ESTÁ DETRÁS DEL QUE PROBABLEMENTE SEA EL MEJOR
ESCUDO ANTI-HACKING DEL MUNDO
• SI BIEN SE CONOCEN TÉCNICAS PARA AVERIGUAR LAS IPS REALES DE LOS SERVIDORES QUE PROTEGE, NO
ES UNA VÍA ACONSEJABLE PARA SEGUIR
• https://github.com/greycatz/CloudUnflare
• https://www.kitploit.com/2019/10/cloudunflare-reconnaissance-real-ip.html?m=1
• ¡PERO ESO TIENE SU LADO BUENO!
• Sabemos que no merece la pena perder el tiempo con nada de lo anterior
• Lo único que nos queda es inspeccionar la página, mirar los elementos a los que se accede, leer
su código y ver si ahí nos dan una pista
• EN CONSECUENCIA: HACKTHEBOX COMO WEB E INFRAESTRUCTURA TIENE UN NIVEL DE SEGURIDAD
ALTÍSIMO
• Por tanto, la vía para conseguir el reto no es tratar de “romper” el sistema
• Si fuera así, ¡prácticamente no tendría usuarios! ☺
• Una cosa es hostear una red de máquinas vulnerables y otra muy distinta ser tú mismo
vulnerable ☺
José Manuel
Redondo López
 V Inspeccionando tráfico HTTP

• SI SEGUIMOS AVANZANDO EN LAS

PETICIONES, VEMOS QUE APARECEN
PETICIONES A FICHEROS QUE NO
HABÍAMOS LOCALIZADO ANTES
• CONCRETAMENTE, PARTICLES.JSON Y
PARTICLESINLINE.JSON

• ¿TENDRÁN ALGUNA INFORMACIÓN

ÚTIL PARA NUESTROS FINES?

José Manuel
Redondo López
 V Accediendo a archivos inicialmente no visibles

• DESGRACIADAMENTE SON SOLO DATOS

NECESARIOS PARA EL FONDO ANIMADO DE
LA PANTALLA DE LOGIN
• PERTENECEN A ESTE FRAMEWORK:
HTTPS://VINCENTGARREAU.COM/PARTICLES.JS/

• ¡PERO ENTONCES YA TENEMOS UN

PRODUCTO USADO, PODEMOS VER SI TIENE
VULNERABILIDADES Y ATACAR POR AHÍ!
• Para, para, esto es una librería
Javascript para pintar cosas en
movimiento
• No algo que esté en el servidor, con
acceso a información privada
• No parece una forma viable de
obtener los datos que queremos…
José Manuel
Redondo López
 V Corrompiendo peticiones HTTP

• ¿Y QUE PASA SI CORROMPO LA PETICIÓN

HTTP QUITANDO DATOS QUE SE ENVÍAN O
ALTERANDO SUS VALORES?
• PODRÍAMOS PROVOCAR UN ERROR QUE NOS
SIRVA DE PISTA Y TIRAR DE AHÍ, POR LO QUE
ES BUENA IDEA…
• …SALVO CUANDO EL SISTEMA ESTÁ DETRÁS
DE CLOUDFLARE (O ESTÁ CORRECTAMENTE
PROGRAMADO) DETECTA EL “PROBLEMA” Y
NOS RIÑE ☺
• EN ESTE CASO HA DETECTADO UN INTENTO
DE ATAQUE CSRF

José Manuel
Redondo López
 V ¡Ningún resultado útil de nuevo!

• DESGRACIADAMENTE,
LAS PETICIONES SE ENVÍAN Y LAS RESPUESTAS SON NORMALES:
NO HAY NINGÚN DATO QUE NOS HAGA SOSPECHAR NADA
• A ESTAS ALTURAS PODÉIS PENSAR:
• Este tío va dando palos de ciego: NO, voy eliminando posibilidades
• Este tío no tiene ni idea, un hacker real hace media hora que sería root y estaría
atacando la NASA con la máquina
• Puede ser ☺, pero lamentablemente el hacking real no es Hollywood, requiere paciencia y
altas capacidades de soportar frustración ☺
• Este reto no es fácil: No, no es un reto obvio, desde luego
• Has mirado la web del cliente y las comunicaciones y no has encontrado nada,
ríndete: Aparentemente, pero…
• Solo he hecho un análisis superficial de elementos en busca de cosas interesantes que
resultasen obvias
• Me he dejado el flag de “sospechoso” en una página anterior ☺
• Ha llegado la hora de profundizar, y empezaremos por esa web sospechosa ☺
José Manuel
Redondo López
 V Profundizando el análisis

• SI PROBAMOS A ACCEDER VÍA BROWSER AL

FICHERO JAVASCRIPT “RARO” ANTERIOR
DIRECTAMENTE, VEMOS QUE SE CARGA
COMO UNA PÁGINA WEB, YA QUE LO ES
• AL HACERLO SE NOS MUESTRA CÓDIGO DE
UNA FUNCIÓN JAVASCRIPT IMPRESO COMO
TEXTO EN LUGAR DE EJECUTADO
• ESTOES ALGO LO SUFICIENTEMENTE ATÍPICO
COMO PARA ECHARLE UN OJO
• ESTA CLARO QUE SI SE CARGA COMO
JAVASCRIPT SEEJECUTARÁ, PERO…¿POR QUÉ
ADMITE TAMBIÉN QUE SE VEA EL CÓDIGO
DIRECTAMENTE DE ESTA FORMA?
• ¿¿¿NO SERÁ QUE QUIEREN QUE LO
VEAMOS???
José Manuel
Redondo López
 V Profundizando el análisis

• COMO EL CÓDIGO ESTÁ MINIFICADO

/ OFUSCADO HACEMOS EL TRUCO DEL
IDE OTRA VEZ
• VEMOS UNA FUNCIÓN JAVASCRIPT
“INFUMABLE” (OFUSCADO) CON
UNOS PARÁMETROS LARGOS
DIFÍCILMENTE DESCIFRABLES
• ELCÓDIGO NO ES PRECISAMENTE
SENCILLO DE ENTENDER A POSTA
• POR TANTO, NO MERECE LA PENA
TRATAR DE COMPRENDERLO AL
100%
José Manuel
Redondo López
 V Profundizando el análisis
eval(function (p, a, c, k, e, d) {
e = function (c) {
return c.toString(36)
};
if (!''.replace(/^/, String)) {

• HAY VARIAS COSAS IMPORTANTES

while (c--) {
d[c.toString(a)] = k[c] || c.toString(a)
}
k = [function (e) {
return d[e]
• K = [function (e)… es la clave
}];
e = function () { • Crea funciones dinámicamente
return '\\w+'
};
c = 1
• Es la metaprogramación y el
}
;
paradigma funcional de TPP en
while (c--) { Javascript
if (k[c]) {

}
p = p.replace(new RegExp('\\b' + e(c) + '\\b', 'g'), k[c])
• El parámetro k es una lista de
}
return p
nombres obtenidos de hacer
}('1 i(4){h 8={"4":4};$.9({a:"7",5:"6",g:8,b:\'/d/e/n\',c:1(0){3.2(0)}, split a un string
f:1(0){3.2(0)}})}1
j(){$.9({a:"7",5:"6",b:\'/d/e/k/l/m\',c:1(0){3.2(0)},f:1(0){3.2(0)}})}',
24,
• Es decir, es plausible pensar que
24, se genera una función distinta
'response|function|log|console|code|dataType|json|POST|formData|ajax|type|url|success por cada nombre pasado
|
api|invite|error|data|var|verifyInviteCode|makeInviteCode|how|to|generate|verify'.spl
it('|'),
0, {}))
José Manuel
Redondo López
 V Profundizando el análisis

eval(function (p, a, c, k, e, d) {
e = function (c) {
return c.toString(36)
}; • ¡PERO EL RESTO DEL CÓDIGO NO HAY
QUIEN LO ENTIENDA!
if (!''.replace(/^/, String)) {
while (c--) {
d[c.toString(a)] = k[c] || c.toString(a)
} • PODRÍAMOS USAR EL DEBUGGER DE
WEBSTORM
k = [function (e) {
return d[e] PARA EJECUTARLO PASO
}];
e = function () {
A PASO Y VER QUÉ VA
return '\\w+' CONSTRUYENDO (WATCHES)
};

}
c = 1
• PERO EN ESTE CASO IGUAL NO ES
; NECESARIO…FÍJATE EN LA LISTA DE
FUNCIONES QUE SE CREAN…
while (c--) {
if (k[c]) {
p = p.replace(new RegExp('\\b' + e(c) + '\\b', 'g'), k[c])
} • HAY UNA LLAMADA MAKEINVITECODE
¡MAKEINVITECODE!
}
return p
}('1 i(4){h 8={"4":4};$.9({a:"7",5:"6",g:8,b:\'/d/e/n\',c:1(0){3.2(0)},
f:1(0){3.2(0)}})}1 j(){$.9({a:"7",5:"6",b:\'/d/e/k/l/m\',c:1(0){3.2(0)},f:1(0){3.2(0)}})}', • ¿PERMITE UN BROWSER PROBAR
CÓDIGO JAVASCRIPT CARGADO EN
24,
24,
'response|function|log|console|code|dataType|json|POST|formData|ajax|type|url|success| UNA PÁGINA?
api|invite|error|data|var|verifyInviteCode|makeInviteCode|how|to|generate|verify'.split('|'
),
0, {}))

José Manuel
Redondo López
 V Profundizando el análisis: Deofuscación

• PERO, ¿Y SI DECIDIERA NO PROBAR A VER QUE PASA? ¿SE PUEDE HACER OTRA COSA
CON ESE JAVASCRIPT EXTRAÑO?
• EXISTEN DOS FORMAS TÍPICAS DE MANIPULAR EL JAVASCRIPT
• Aplicarle un compressor: Ocupa menos y la carga de la página es más rápida
• Para un acceso no se nota, para varios millones…
• Aplicarle un packer/obfuscator: Así no es sencillo averiguar qué hace el código
• De esta forma es más difícil saber con qué elementos se comunica el Javascript
• Ocultando la presencia de APIs en el servidor no visibles de otra forma, accesos a recursos
que no queremos que vean…
• Es decir, que nadie vea parte de nuestra lógica de negocio fácilmente
• Esta claro que a este Javascript le han aplicado uno de estos

José Manuel
Redondo López
 V Profundizando el análisis: Deofuscación

https://beautifier.io/
• PERO COMO HEMOS DICHO, ESTE TIPO DE TAREA
SE HACE CON HERRAMIENTAS

• ¿QUÉ PASARÍA SI EL RESULTADO DE DICHA

HERRAMIENTA FUESE REVERSIBLE? ES DECIR, ¿Y SI
PUDIÉRAMOS REVERTIR EL PROCESO?

• EXISTEN HERRAMIENTAS QUE, CON UN POCO DE

SUERTE, SON CAPACES DE DETECTAR EL MÉTODO
USADO Y DEJARNOS VER EL CÓDIGO ORIGINAL
• https://beautifier.io/
• http://jsnice.org/
• ESTO NOS ENSEÑA UNA VALIOSA LECCIÓN
APLICABLE SIEMPRE: LA SEGURIDAD POR
OCULTACIÓN NO FUNCIONA

• ¿QUÉ OS PARECE EL NUEVO JAVASCRIPT?

http://jsnice.org/ ¿AHORA SABRÍAIS QUÉ HACER CON ÉL? ☺
José Manuel
Redondo López
 V Profundizando el análisis: Deofuscación

• ES CIERTO QUE EN ESTE CASO HEMOS TENIDO

SUERTE, LA OFUSCACIÓN SOLO SE HA HECHO
UNA VEZ Y CON UN MÉTODO CONOCIDO
• Concretamente base62:
http://dean.edwards.name/packer

• PERO PUEDEN EXISTIR OTROS MÉTODOS QUE NO

SEAN DETECTADOS POR HERRAMIENTAS DE
DEOFUSCACIÓN

• O BIEN PUEDE OFUSCARSE MÚLTIPLES VECES POR

MÚLTIPLES MÉTODOS

• ESTO HACE EL PROCESO MUY TEDIOSO O

PRÁCTICAMENTE IMPOSIBLE

• PERO VA EN CONTRA DE LA MANTENIBILIDAD DEL

CÓDIGO: SERÍA UN PROCESO A REALIZAR SOLO
EN EL PASO A PRODUCCIÓN

• Y PROBANDO QUE LA OFUSCACIÓN NO ALTERA

LA FUNCIONALIDAD

José Manuel • NO OBSTANTE, ES MUY INTERESANTE ☺

Redondo López
 V Pero no puedo seguir explicando…

• LASREGLAS DE HACK THE BOX PIDEN QUE NO SE HAGAN SPOILERS, POR LO QUE NO
PUEDO SEGUIR EXPLICANDO CÓMO ENTRAR EN LA PLATAFORMA
• Tendrás que hacerlo tú mismo a partir de las pistas que te he dado ☺
• DIGAMOS QUE ES MUY IMPORTANTE ENTENDER LOS DATOS QUE PODAMOS OBTENER, Y
EL FORMATO EN EL QUE ÉSTOS SE DEVUELVEN
• ¿Estarán encriptados por algún método? ¿Codificados en algún formato popular? ¿o
no?
• HAY QUE JUGAR UN POCO HASTA DAR CON LA RESPUESTA VÁLIDA
• Y ENTONCES LLEGAREIS A LA SIGUIENTE PANTALLA…

José Manuel
Redondo López
 V ¡Conseguido! ☺

José Manuel
Redondo López
USANDO HACKTHEBOX
Let the party started! ☺

V
HACKING
THROUGH
ABILITY
ABILITY
THROUGH
HACKING

Volver al Índice
 V ¡Estamos dentro!

• AHORA QUE SOMOS “DIGNOS” YA

PODEMOS USAR LAS CAPACIDADES DE
LA PLATAFORMA
• PERO LO PRIMERO ES LEERSE LAS
REGLAS DE USO
• ¡NO QUEREMOS QUE NOS ECHEN
DESPUÉS DE LO QUE NOS HA
COSTADO ENTRAR! ☺

José Manuel
Redondo López
 V Pero hay que respetar las reglas…
• 1 WE KNOW THAT NOBODY SENT YOU THE INVITE CODE
• You don't have to inform anyone about "hacking" the invite code
• 2 DON'T TRY TO HACK ANYTHING APART FROM THE HTB NETWORK
• The HTB Network is 10.10.10.0/24 (10.10.10.1-10.10.10.254). Limit all your curiosity in this specific subnet.
• 3 DON'T HACK MACHINES APART FROM THE INTENDED ONES
• Its not the end of the world if you try to hack gateways and other nodes on HTB Network (10.10.10.0/24) but if you
succeed don't do any damage and inform us asap
• 4 ANY FORM OF DOS (DENIAL OF SERVICE) IS FORBIDDEN
• There is no reason to use any form of DoS on any machine inside or outside of HTB Network. If you accidentally
perform such an attack let us know asap
• 5 DON'T TRY TO HACK OTHER MEMBERS
• The network is built in such a way that direct communication between two member systems is prohibited. Although there
are ways to attack another member, attacking or even connecting to other member's clients is strictly prohibited
• 6 DON'T USE YOUR PRODUCTION PC TO CONNECT TO HTB NETWORK
• We strongly recommend not to use your production PC to connect to the HTB Network. Build a VM or physical
system just for this purpose. HTB Network is filled with security enthusiasts that have the skills and toolsets to hack
systems and no matter how hard we try to secure you, we are likely to fail :P We do not hold any responsibility for any
damage, theft or loss of personal data although in such event, we will cooperate fully with the authorities
• 7 DON’T SPOIL!
José Manuel
• Dont share how you hacked each machine with other members. This includes the invite code generation and all challenges
Redondo López
 V Nuestro dashboard para empezar a jugar

• ESTA ES LA INTERFAZ PRINCIPAL DE

LA WEB DE HACKTHEBOX
(DASHBOARD)
• DESDE ELLA PODEMOS ACCEDER A
TODOS LOS SERVICIOS Y MÁQUINAS
ATACABLES

• TAMBIÉN A LAS NORMAS Y AL KIT

PARA CONECTARSE A LA VPN DE
MÁQUINAS ATACABLES

• VEAMOS ESTO ÚLTIMO

• ¿QUÉ ES UNA VPN? PUEDES LEER
ESTO PARA SABER MÁS:
HTTPS://WWW.ALIENVAULT.COM/BLOGS/S
ECURITY-ESSENTIALS/THE-ULTIMATE-
GUIDE-TO-VPN-ENCRYPTION-PROTOCOLS-
AND-CIPHERS

José Manuel
Redondo López
 V Conectándote a Hack the Box desde casa

• PARA CONECTARSE A LOS LABORATORIOS DE

HACKTHEBOX HAY QUE ESTABLECER UNA
VPN DESDE NUESTRO EQUIPO A ELLOS
• PARAESO SE NOS GENERA UN FICHERO CON
TODA LA CONFIGURACIÓN DE LA MISMA
• GRACIAS A ÉL Y AL SOFTWARE OPENVPN LA
CONEXIÓN SE PODRÁ HACER DE FORMA MUY
SENCILLA Y AUTOMÁTICA
• SI CAMBIAMOS DE SERVIDOR DE
HACKTHEBOX, HAY QUE REGENERAR ESE
FICHERO

José Manuel
Redondo López
 V Preparando la VPN

• POR TANTO NOS DESCARGAMOS EL

FICHERO PARA PODER HACER LA
CONEXIÓN
• VAMOS A HACERLA DESDE UNA
MÁQUINA KALI LINUX CON GUI
• SI VAMOS A HACKEAR, ¡MEJOR QUE
SEA DESDE UN SITIO QUE TENGA
TODAS LAS POSIBLES HERRAMIENTAS
A NUESTRO SERVICIO! ☺

José Manuel
Redondo López
 V Preparando la VPN

• DESCARGADO EL FICHERO, ESTAMOS LISTOS

PARA HACER LA CONEXIÓN
• EJECUTAREMOS CON EL FICHERO
OPENVPN
DESDE UNA LÍNEA DE COMANDOS APARTE
• MIENTRAS SIGA ABIERTA ESTA CONSOLA,
SEGUIREMOS CONECTADOS A LA MISMA
• PERO OJO: MIRAD LAS REGLAS. NOS
RECOMIENDAN, PARA EVITAR DISGUSTOS,
HACER LAS PRUEBAS DESDE UNA MÁQUINA
VIRTUAL
• NUESTRO KALI-CLIENTESERÁ UNA MV
ACTUALIZADA A LA ÚLTIMA VERSIÓN EN
TODO PARA EVITAR DISGUSTOS (APT-GET
UPDATE, APT-GET FULL-UPGRADE)

• EL ESQUEMA A SEGUIR SERÁ EL SIGUIENTE

José Manuel
Redondo López
 V Forma de conectarte (altamente) recomendada
Red de
HackTheBox
10.10.10.0/24

Mi máquina con
una VM Kali VPN

José Manuel
Redondo López
 V ¡Conectados!

• AHORA NUESTRA MÁQUINA ESTARÁ EN LA

MISMA RED QUE LAS MÁQUINAS ATACABLES
• YCON LA VPN NOS SALTAREMOS TODAS
LAS PROTECCIONES DE CLOUDFLARE
• CLOUDFLARE
NO PUEDE INSPECCIONAR LO
QUE MANDAMOS POR NUESTRO “TÚNEL”
(VPN)
• ¡PODEMOS SOLTAR LA ARTILLERÍA QUE
VIMOS ANTES! (METASPLOIT, NMAP,
OPENVAS…)
• SEGUIMOSNO PUDIENDO HACER DOS, ¡VA
CONTRA LAS REGLAS!
• PODEMOS PROBAR LA CONEXIÓN HACIENDO
PING A UNA DE LAS MÁQUINAS ACTIVAS QUE
APARECEN EN LA LISTA DE LA WEB
José Manuel
Redondo López
 V Explorando las máquinas a nuestro alcance

• HECHO ESTO, MIRAMOS LA

LISTA DE MÁQUINAS ATACABLES
Y PARA EMPEZAR ELEGIMOS UNA
QUE PAREZCA FÁCIL
• PODEMOS SABERLO SI TIENE
UNA BARRA VERDE CLARO MUY
ALTA
• MUCHA GENTE LA HA
CALIFICADO COMO FÁCILMENTE
ATACABLE
• COMO PRIMER PASO,
OBTENEMOS LA LISTA DE
SERVICIOS QUE OFERTA CON
NMAP

José Manuel
Redondo López
 V ¿Qué podemos hacer?

• EN EL ANÁLISIS HECHO A ESTA MÁQUINA HEMOS DESCUBIERTO:

• Un servicio FTP: ftp
• Un servidor HTTP: http
• Un endpoint a llamadas a procedimientos remotos de Microsoft: msrpc
• Un servicio NetBIOS: netbios-ssn
• El servicio de compartición de carpetas de Microsoft (SMB): microsoft-ds
• ¡TODOS TIENEN GRAN CANTIDAD DE POSIBLES ATAQUES A PROBAR!
• Y ES AHORA CUANDO TENDRÍAIS QUE PONEROS A ESTUDIAR QUÉ SE PUEDE HACER
CON CADA UNO
• PERO OS DARÉ UNAS PISTAS ☺

José Manuel
Redondo López
 V Ataques HTTP

• EL HECHO DE QUE HAYA UN SERVIDOR WEB CON PÁGINAS SERVIDAS ABRE TODO UN
MUNDO DE POTENCIALES ATAQUES A ESTA MÁQUINA, QUE AHORA NO SERÁN PARADOS
POR CLOUDFLARE
• ¡Estamos dentro de la misma LAN que ese servidor!
• ¡AHORA SI QUE PODEMOS APLICAR LAS METODOLOGÍAS OWASP PENTESTING GUIDE
V4 U OSSTMMV3 QUE MENCIONAMOS ANTES EN TODA SU EXTENSIÓN!
• Y VER SI DESCUBRIMOS VULNERABILIDADES DE INFRAESTRUCTURA O PROGRAMACIÓN
• TAMBIÉN PODEMOS PASAR HERRAMIENTAS COMO NIKTO U OTROS ESCANEADORES DE
VULNERABILIDADES WEB
• ¡HAY MUCHÍSIMAS POSIBILIDADES!

José Manuel
Redondo López
 V Analizando las webs alojadas

• PARA APLICAR ESA METODOLOGÍA,

NECESITAREMOS ANALIZAR LAS WEBS
ALOJADAS
• ESTO PUEDE HACERSE VÍA GUI CON
BURP DE FORMA AUTOMÁTICA
• PERO SI NO CONTAMOS CON GUI O
QUEREMOS HACER PETICIONES
SUELTAS, SIEMPRE PODEMOS USAR EL
COMANDO WGET PARA OBTENER
CUALQUIER RECURSO
• O PARA HACER PETICIONES A
DETERMINADOS FICHEROS CLAVE

José Manuel
Redondo López
 V Ataques a msrpc

• ESTE
ES UN SERVICIO DE LLAMADAS REMOTAS DE SISTEMAS WINDOWS QUE NO PUEDE
DESACTIVARSE FÁCILMENTE SIN AFECTAR A LA FUNCIONALIDAD DEL SISTEMA
• En función de su nivel de parcheo, puede presentar vulnerabilidades muy graves
• https://www.cvedetails.com/cve/CVE-2008-4250/
• ESTASVULNERABILIDADES PUEDEN SER EXPLOTADAS VÍA METASPLOIT PARA LOGRAR
ENTRAR EN EL SISTEMA
• Y el SO detectado no es precisamente el último…
• TAMBIÉN EXISTEN SCRIPTS DE NMAP PARA SACAR INFORMACIÓN EXTRA DEL SISTEMA…
• https://nmap.org/nsedoc/scripts/msrpc-enum.html
• EN DEFINITIVA, UNA BÚSQUEDA POR EL NOMBRE DEL SERVICIO NOS DA RESULTADOS
INTERESANTES A CONSULTAR PARA DESENCADENAR POSIBLES ATAQUES
• https://www.cvedetails.com/google-search-results.php?q=msrpc&sa=Search
José Manuel
Redondo López
 V Ataques a NETBIOS

• AL IGUAL QUE EL SERVICIO ANTERIOR, EL NIVEL DE PARCHEO DEL PROTOCOLO NETBIOS PUEDE DEJAR LA
PUERTA ABIERTA A ATAQUES MUY PELIGROSO
• UNO DE LOS MÁS GRAVES ES LA OBTENCIÓN DE INFORMACIÓN / INTRUSIÓN A TRAVÉS DEL MISMO
• https://www.darknet.org.uk/2006/09/remote-network-penetration-via-netbios-hackhacking/
• OTRAS FORMAS DE USARLO PARA OBTENER INFORMACIÓN EN SISTEMAS MÁS MODERNOS SON
• https://support.microsoft.com/en-us/help/824105/ms03-034-flaw-in-netbios-could-lead-to-
information-disclosure
• Por tanto, es muy probable que nos funcionen en este Windows Server 2008
• De nuevo, la forma más fácil es usando Metasploit
• MÁS INFORMACIÓN
• https://kb.iweb.com/hc/es/articles/115000274491-Proteger-los-servicios-Windows-SMB-y-
NetBios-NetBT
• https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-
attacks/
• https://www.us-cert.gov/ncas/alerts/TA14-017A
José Manuel
Redondo López
 V Ataques a SMB Microsoft: microsoft-ds

• ESTE SERVICIO ES TRISTEMENTE FAMOSO POR SER ALTAMENTE VULNERABLE A LO LARGO DE LA HISTORIA
• ES ADEMÁS LA VÍA DE ATAQUE DE LA DESGRACIADAMENTE FAMOSA COMBINACIÓN DE ETERNALBLUE
(QUE APROVECHABA UNA VULNERABILIDAD DEL SERVICIO PARA TOMAR EL CONTROL DE LA MÁQUINA) +
WANNACRY (CRIPTOLOCKER USADO UNA VEZ TOMADA LA POSESIÓN DEL SISTEMA)
• POR TANTO ESTA MÁQUINA ES MUY PROBABLEMENTE VULNERABLE A ETERNALBLUE AL SER UN W2008
• Ya sabemos como tomar control de la misma
• AÚN ASÍ, EXISTEN MULTITUD DE OTROS ATAQUES / TRUCOS PARA REVELAR INFORMACIÓN PARA PROBAR
• https://machn1k.wordpress.com/2012/10/29/smb-exploitation-port-445/
• Usando por supuesto Metasploit (otra vez) como herramienta
• NMAP Y SUS SCRIPTS TAMBIÉN SON DE AYUDA CON ESTOS TEMAS:
• https://nmap.org/nsedoc/lib/smb.html
• https://nmap.org/nsedoc/scripts/smb-enum-shares.html

José Manuel
Redondo López
 V Con las versiones es mejor

• SI QUEREMOS EJECUTAR ALGUNO DE LOS

ATAQUES ANTERIORES, LO MEJOR ES TENER
MÁS INFORMACIÓN
• COMO POR EJEMPLO LAS VERSIONES DE LOS
SERVICIOS IDENTIFICADOS
• Y EL SISTEMA OPERATIVO USADO
• ESO SE PUEDE SACAR CON LA OPCIÓN –SV
DE NMAP
• AHORA PODEMOS BUSCAR EXPLOITS
ESPECÍFICOS, VULNERABILIDADES EN BASES DE
DATOS CVE…
• https://www.cvedetails.com/

José Manuel
Redondo López
 V ¿Por qué son importantes las versiones?

• EL Nº DE VERSIÓN ES MUY IMPORTANTE, PORQUE POR EJEMPLO PARA EL SERVIDOR

HTTP LOCALIZADO PODEMOS FILTRAR SUS CVES CONOCIDOS (A TRAVÉS DE
CVEDETAILS) PARA VER CUALES SON APLICABLES
• MIRAD POR EJEMPLO LO QUE OCURRE CON EL SERVIDOR DEL PUERTO 80
• https://www.cvedetails.com/vulnerability-list/vendor_id-5034/product_id-35656/year-
2017/Paessler-Prtg-Network-Monitor.html
•Y LOCALIZAR UN EXPLOIT PÚBLICO (A TRAVÉS DE EXPLOITDB) QUE FUNCIONE PARA
PROBARLO CONTRA EL SISTEMA EN CUESTIÓN
• Por ejemplo: https://www.exploit-db.com/exploits/44500
• NO TODAS LAS VULNERABILIDADES TENDRÁN UN EXPLOIT DISPONIBLE O SERÁN
EXPLOTABLES (PUEDEN REQUERIR CONDICIONES MUY CONCRETAS), PERO ES ALGO QUE
SE DEBE ESTUDIAR

José Manuel
Redondo López
 V Ataques a FTP

• VAYAMOS AHORA AL ÚLTIMO SERVICIO, EL FTP, PARA HACER UN ANÁLISIS UN POCO

MÁS DETALLADO
• FTP ES UN VIEJO PROTOCOLO DE TRANSFERENCIA DE ARCHIVOS SIN CIFRAR (SALVO
QUE SE SOPORTE SFTP O FTP OVER SSL)
• ESO QUIERE DECIR QUE, SI REQUIERE AUTENTICACIÓN, USUARIO Y CONTRASEÑA PUEDEN
SER INTERCEPTADAS CON SNIFFERS TIPO WIRESHARK
• https://www.wireshark.org/
• Pero para eso necesitaríamos que un usuario se conecte al mismo
• TAMBIÉN PODEMOS PROBAR A “REVENTAR” LA CLAVE POR FUERZA BRUTA
• Pero no es conveniente usar ese tipo de técnicas aquí (pueden causar DoS)
• HAY UNA TERCERA VÍA: PROBAR SI ESTÁ ACTIVO EL FTP ANÓNIMO
José Manuel
Redondo López
 V Acceso anónimo a un FTP

• LOS SERVIDORES FTP TIENEN UN USUARIO

ANONYMOUS POR DEFECTO PARA HACER
CONEXIONES SIN AUTENTICACIÓN
• SEUSA EN FTPS PÚBLICOS CON FICHEROS
ACCESIBLES A TODO EL MUNDO
• EN OTROS CONTEXTOS SE SUELE
DESACTIVAR…¿Y AQUÍ?
• ¡AQUÍ PARECE QUE NO SE HA HECHO!
• EN EL EMAIL QUE PIDE COMO CLAVE SE
PUEDE MANDAR CUALQUIER COSA ☺

José Manuel
Redondo López
 V Navegando por un disco duro remoto con FTP

• HABITUALMENTE, CUANDO SE HABILITA EL

USUARIO ANÓNIMO, SE LE CONCEDEN
PERMISOS SOLO EN UNA CARPETA CONCRETA
(EJ.: /PUBLIC)
• ADEMÁS, SE PROHÍBE QUE ESE USUARIO
SALGA DE LA MISMA PARA QUE NO PUEDA
RECORRER EL DISCO DURO DEL SISTEMA Y
VER LO QUE NO DEBE
• NO PARECE SER EL CASO EN ESTA
MÁQUINA…¡ENTRAMOS EN EL RAÍZ DEL
DISCO DURO!
• EL USUARIO ANONYMOUS TIENE PERMISOS
DE USUARIO ESTÁNDAR DE WINDOWS (NO
ADMINISTRADOR), POR LO QUE PUEDE VER
LO QUE VE UN USUARIO NORMAL…
José Manuel
Redondo López
 V Navegando por un disco duro remoto con FTP

• YAHORA, SALVO RESTRICCIONES DE PERMISOS, TENEMOS LA CAPACIDAD DE OBTENER/MODIFICAR Y

SOBRESCRIBIR LOS CONTENIDOS DE

• /inetpub: Aquí están las páginas web y el código del servidor de las webs alojadas
• Tenemos acceso a código fuente (con sus claves y usuarios potencialmente hardcodeados)
• Ficheros de configuración (con cadenas de conexión a BBDD, sus usuarios y claves)
• Otros ficheros: ficheros subidos, ficheros ocultos
• Podemos por tanto “reventar” las webs de la forma que queramos: para que filtren datos, hacer
defaces, robar las credenciales de quien se conecta a ellas, mostrar información falsa…todo un
amplísimo mundo de maldades varias :O
• /Perflogs: Todos los ficheros de log de Windows
• ¿Sabéis lo que se pueden colar en los ficheros de log? Nombres de usuario y claves sin cifrar
• Además de poder ver el comportamiento de los usuarios que se conectan: qué hacen, a donde
acceden, que buscan
• ¡Una disección detallada del día a día del sistema! Esa información puede dar lugar a ataques muy
graves

José Manuel
Redondo López
 V Navegando por un disco duro remoto con FTP

• PROGRAM FILES Y PROGRAM FILES (X86): TODOS LOS PROGRAMAS INSTALADOS EN LA MÁQUINA
• ¿queríais saber el software y su versión exacta? Aquí está
• La lista de comandos admitidos por FTP de Windows no solo se limita a recibir o enviar
archivos: puede usarse para ejecutar comandos
• https://www.serv-u.com/features/file-transfer-protocol-server-windows/commands
• ¡Las posibilidades que da esto son casi infinitas!
• WINDOWS: DIRECTORIO DE INSTALACIÓN DE WINDOWS, CON EL SOFTWARE DEL SISTEMA, FICHEROS DE
CONFIGURACIÓN, ARRANQUE, EL REGISTRO…
• Un problema de permisos + borrar un fichero del sistema imprescindible para el arranque = el
servidor ya no arranca correctamente más
• O bien se degrada su rendimiento, o se ejecutan comandos al inicio indebidos, o…
• Se roba el fichero de usuarios y passwords en \System32\config
• Que luego puede tratar de “reventarse” offline con hashcat (https://hashcat.net/hashcat/) o john
the Ripper (https://www.openwall.com/john/)
• USERS: LOS FICHEROS PERSONALES DE CADA USUARIO DEL SISTEMA
• ¿Revelación de datos privados, claves, secretos…? Todo a nuestro servicio
José Manuel
Redondo López
 V ¡Uy! ¿Qué es esto?

• ¿QUÉ PASA SI NAVEGAMOS AL DIRECTORIO

USER/PUBLIC?
• NOS ENCONTRAMOS CON UN SOSPECHOSO
FICHERO USER.TXT
• DENTRO HAY UNA CADENA
ALFANUMÉRICA…¿QUE PUEDE SER?
• LACLAVE DEL USUARIO: POSIBLE, PERO ES
DEMASIADO LARGA Y COMPLEJA
• La hash de la clave del usuario: Y
entonces nos capacita para hacer un
ataque pass-the-hash con Metasploit
• https://www.offensive-
security.com/metasploit-
unleashed/psexec-pass-hash/
• NOTA: En realidad es una “bandera”
de usuario estándar: un token que nos
daría puntos en HackTheBox para esta
máquina
José Manuel
Redondo López
 V “Agenciándonos” un fichero y…

• ¿Y ENTONCES?
• Si es una hash y tenemos éxito con Metasploit, en lugar de FTP abriremos una consola con la
identidad de ese usuario
• ¿Recordáis todos los “si no hay problemas de permisos” de antes? En función del usuario que
sea, esta restricción puede ser ahora mucho menor
• Habremos hecho un escalado de privilegios horizontal (si es un usuario estándar) o vertical (si es
Administrador)
• En este último caso, la máquina es nuestra
• Y sino, podemos intentar sacar las claves de otros usuarios desde la cuenta obtenida con Mimikatz
(https://github.com/gentilkiwi/mimikatz)
• En un entorno real, ahora podríamos usar la máquina como pivot para acceder a su red local,
que no sería visible desde fuera
• Saltándonos todas las medidas de seguridad perimetral: firewalls, IDS,…
• Y, a todos los efectos, ejecutar el equivalente a un ataque real
• ¿Y cual es la respuesta correcta? ¡Os dejo con la miel en los labios! :D
• ¡AHORA OS TOCA A VOSOTROS!
José Manuel
Redondo López
 V Vale, nos toca, pero…¿ayuda?

• UNAVEZ DENTRO DE UNA MÁQUINA, BIEN SEA COMO USUARIO NORMAL, ADMINISTRADOR, VÍA FTP
ANÓNIMO… HAY QUE BUSCAR DETERMINADOS FICHEROS PARA HACERNOS CON MÁS CONTROL
• Logs (/var/log)
• Ficheros de claves (/etc/passwd, /etc/shadow)
• Ficheros en cuentas de usuario (/home)
• Ficheros de servidores web (/var/www/html)
• Configuraciones de servidores web (/etc/apache2, /etc/nginx…)
• PARA WINDOWS AQUÍ TENÉIS OTROS FICHEROS ADICIONALES
• https://medium.com/@hakluke/sensitive-files-to-grab-in-windows-4b8f0a655f40
• PARA SERVIDORES WEB, AQUÍ TENÉIS FICHEROS INTERESANTES
• http://www.elladodelmal.com/2012/01/los-juicy-files-de-un-sitio-web-y-la.html
• LA HERRAMIENTA FOCA ES TAMBIÉN MUY INTERESANTE
• https://www.elevenpaths.com/es/labstools/foca-2/index.html
• TAMBIÉNPODÉIS ENCONTRAR INSPIRACIÓN EN CÓMO SE HAN VULNERADO MÁQUINAS HACKTHEBOX
ANTERIORES USANDO LOS CONTENIDOS DEL CANAL DE YOUTUBE MENCIONADO AQUÍ
José Manuel
Redondo López
SERVICIOS DE HACK THE
BOX
Qué nos ofrece una vez hemos entrado

V
HACKING
THROUGH
ABILITY
ABILITY
THROUGH
HACKING

Volver al Índice
 V Máquinas gratuitas

• HACKTHEBOX TIENE UNA LISTA DE

MÁQUINAS HACKEABLES DE
DIFERENTE DIFICULTAD
• CONVIENE EMPEZAR POR LAS
EVALUADAS COMO MÁS FÁCILES Y
LUEGO “CRECERSE”
• LAS MÁS FÁCILES TIENEN LAS BARRAS
VERDES MÁS ALTAS
• SON 20 MÁQUINAS QUE ROTAN
(CADA SEMANA SE RETIRA UNA Y
SALE OTRA NUEVA)
• ¡UN RETO NUEVO CONSTANTE!
José Manuel
Redondo López
 V Máquinas de pago

• CUANDO UNA MÁQUINA SALE FUERA DEL

POOL DE 20 MÁQUINAS GRATUITA, QUEDA
EN UN HISTÓRICO DE MÁQUINAS
• PODEMOS ACCEDER AL MISMO E INTENTAR
HACKEARLAS…PERO SOLO USUARIOS DE
PAGO
• Una de las ventajas de los usuarios de pago
es tener más tiempo para entrenar con las
máquinas ofertadas
• ¡Y TAMBIÉN GUÍAS DETALLADAS DE COMO
HACER CADA PRUEBA DE SEGURIDAD!
• AHORA MISMO HAY 97, PERO ES SERVICIO
CUESTA 10 LIBRAS/MES
• HAY DESCUENTOS PARA ALUMNOS DE
UNIVERSIDAD COMO GRUPO, PERO HAY QUE
CONSULTARLOS
José Manuel
Redondo López
 V Gratis VS de Pago

• SI BIEN LOS SERVICIOS DE PAGO SON

EXTREMADAMENTE ÚTILES PARA LA
FORMACIÓN COMO PENTESTERS, LOS
GRATUITOS SON TAMBIÉN MUY
INTERESANTES
• TE OBLIGA A HACER LOS RETOS MÁS RÁPIDO
Y SOLO CON APOYO EXTERNO, PERO SE
PUEDEN HACER GRANDES AVANCES CON
ELLO IGUALMENTE
• LA VERSIÓN DE PAGO ASEGURA UNA MEJOR
CALIDAD DE SERVICIO

José Manuel
Redondo López
 V Desafíos de esteganografía

• SI TE GUSTA LA ESTEGANOGRAFÍA,
HACKTHEBOX TAMBIÉN TIENE UNA
COLECCIÓN DE RETOS EN ESA VÍA
• TODOS ELLOS SE BASAN EN
ENCONTRAR PIEZAS DE INFORMACIÓN
OCULTA EN FICHEROS DE DIVERSOS
TIPOS
• ES DIVERTIDO COMO JUEGO ☺

José Manuel
Redondo López
 V Professional Offensive Operations

• ES UN LABORATORIO PROFESIONAL DE
ENTRENAMIENTO DE CARACTERÍSTICAS ESPECIALES
• MÚLTIPLES MÁQUINAS
• Permite establecer un pivot en una
máquina y con ella atacar otras máquinas y
redes no visibles desde el exterior
• Simulando un entorno corporativo real
• USUARIOS SIMULADOS
• Permite interactuar con usuarios simulados
de diversas maneras
• Permite localizar usuarios que sean los
eslabones de la cadena más débiles para
lograr así acceso al entorno corporativo
• ESCENARIOS REALISTAS
• Se ha diseñado para imitar entornos
corporativos del mundo real
• Por tanto, enseña técnicas aplicables a la
vida real
José Manuel
Redondo López
 V Business Profile: Jet.com

• ESTAPÁGINA ESTÁ ESPONSORIZADA

POR UNA EMPRESA JET.COM, QUE
BUSCA EMPLEADOS
• TIENE
UNA MÁQUINA FORTIFICADA A
HACKEAR
• LA GENTE QUE PASE LA PRUEBA
PUEDE SER CONSIDERADA PARA UN
CONTRATO
• ¡ESUN MÉTODO DE RECRUITING MUY
INTERESANTE! ☺

José Manuel
Redondo López
 V RastaLabs

• RASTALABS ES UN ENTORNO DE SIMULACIÓN DE UN

RED TEAM
• Son miembros de una empresa que simulan
un ciber ataque de un agente externo
• DISEÑADO PARA SER ATACADO COMO APRENDIZAJE Y
PERFECCIONAMIENTO DE HABILIDADES
• ES UN ENTORNO DE WINDOWS CON ACTIVE
DIRECTORY, DONDE LOS USUARIOS TENDRÁN QUE
LOGRAR UN PIVOT
• Las máquinas tienen errores de configuración
que lo facilitan
• Una vez dentro de ella hacer una escalada de
privilegios vertical persistente
• Con ella, moverse lateralmente para alcanzar
la máquina administradora de dominio
• Y con ello, hacerse con toda la infraestructura
• SUENA MUY COMPLEJO, PERO EN NUESTRA DEMO
ANTERIOR NOS QUEDAMOS PELIGROSAMENTE CERCA
DE HACER LOS DOS PRIMEROS PASOS ☺
José Manuel
Redondo López
 V Offshore

• OFFSHORE ES UN LABORATORIO DE ACTIVE

DIRECTORY QUE SIMULA LA APARIENCIA DE
UNA RED CORPORATIVA DEL MUNDO REAL
• LOS USUARIOS COMIENZAN DESDE UNA
PERSPECTIVA EXTERNA, Y TIENEN QUE
PENETRAR EN LA "DMZ“
• LUEGO MOVERSE LATERALMENTE A TRAVÉS
DE LOS DIVERSOS DOMINIOS ACTIVE
DIRECTORY PRESENTES PARA COMPLETAR EL
LABORATORIO
• ESTA
DISEÑADO TANTO PARA PRINCIPIANTES
COMO PARA EXPERTOS
• SEPUEDEN APLICAR TÉCNICAS QUE LUEGO SE
PUEDEN TRASLADAR AL MUNDO REAL

José Manuel
Redondo López
 V Nuestra escuela en HackTheBox

• HEMOS CREADO UN PERFIL COMO UNIVERSIDAD DENTRO DE LA PLATAFORMA

• CON EL PODÉIS UNIROS COMO ALUMNOS DE LA ESCUELA Y ASÍ CONTACTAR CON OTROS ALUMNOS
SUSCRITOS EN LA PLATAFORMA, VER RANKINGS, HABLAR ENTRE VOSOTROS…
• SIOS INTERESA, ESCRIBIDME CON VUESTRO NOMBRE DE USUARIO Y OS MANDO UNA INVITACIÓN PARA
UNIROS A ESTE GRUPO

José Manuel
Redondo López
 V Glosario de términos/herramientas/técnicas vistas
• CLOUDFLARE
• DNSENUM • ROT13
• GOOGLE HACKING • BASE64
• SHODAN • HTTP
• MALTEGO • WGET
• OPENVAS • MSRPC
• NESSUS
• NETBIOS
• NIKTO
• SMB (MICROSOFT-DS)
• NMAP (Y SUS SCRIPTS)
• CVEDETAILS
• METASPLOIT + ARMITAGE
• EXPLOITDB
• METODOLOGÍAS DE PENTESTING (OWASP, OSSTMM)
• FTP Y FTP ANONIMO
• PASSWORDS MÁS COMUNES
• XSS • WIRESHARK

• SQL INJECTION • PARTES IMPORTANTES DEL SISTEMA DE FICHEROS DE UN SO

• MINIFICACIÓN • HASHCAT

• WEBSTORM IDE • JOHN THE RIPPER

• BURP PROXY • PASS-THE-HASH

• MAN-IN-THE-MIDDLE • MIMIKATZ
José Manuel
Redondo López • FOCA
 ¡HERRAMIENTAS!
Un recorrido por algunas importantes y su utilidad

V
HACKING
THROUGH
ABILITY
ABILITY
THROUGH
HACKING

Volver al Índice Ir a índice de

Herramientas
ASPECTOS GENERALES

HACKING
THROUGH
ABILITY
ABILITY
THROUGH
HACKING
 V Código Ético

• EN ESTA SECCIÓN VOY A DESCRIBIR UNA SERIE DE HERRAMIENTAS DE

PENTESTING PROFESIONALES
• CADA UNA TIENE UN OBJETIVO PRINCIPAL Y CAPACIDAD PARA HACER SU
TAREA ANTE UN GRAN Nº DE OBJETIVOS
• POR ELLO, EL MAL USO DE LAS MISMAS PUEDE HACER MUCHO DAÑO O
DIRECTAMENTE DESHABILITAR EL OBJETIVO
• ES DECIR, QUE SU MAL USO PUEDE SUPONER UN DELITO
• POR TANTO, ANTE TODO HAY QUE TENER EN CUENTA EL SIGUIENTE
CÓDIGO ÉTICO

José Manuel
Redondo López
 V Código Ético

• SIEMPRE SE APLICAN SOBRE OBJETIVOS AUTORIZADOS

• Te han contratado para evaluar la seguridad de unos sistemas
• Estás trabajando con una plataforma de entrenamiento de
ciberseguridad
• Estas trabajando contra un sistema que te has montado tu mismo
localmente para entrenar
• SIEMPRE SE APLICAN SIGUIENDO LAS NORMAS Y LÍMITES
ESTABLECIDOS
• Por el contrato que has firmado
• Por la plataforma que estás utilizando (no DoS…)
• Por la capacidad de la infraestructura con la que trabajas
José Manuel
Redondo López
 V Código Ético

• ES IMPORTANTE RECORDAR QUE TODO USO NO AUTORIZADO DE ESTAS

HERRAMIENTAS SUPONE LA COMISIÓN DE UN DELITO
• Y que las probabilidades de ser “cazado” son elevadísimas
• ALGUNAS DE ESTAS TÉCNICAS SON PURAMENTE DE INTRUSIÓN
• Webshells, elevación de privilegios, usos de Metasploit…
• PUEDEN USARSE PARA VER LA GRAVEDAD DE UNA VULNERABILIDAD
• PERO PRINCIPALMENTE, Y ESE ES EL OBJETIVO DE QUE ESTÉN AQUÍ, SE
USAN EN CONCURSOS DE HACKING Y CTF
• Donde el objetivo es obtener alguna clase de información o dato
(“bandera”) para ganar sacando provecho de alguna vulnerabilidad
• Por tanto, son importantes en sitios como Hack the Box o similares
José Manuel
Redondo López
 V Kali Linux http://www.kali.org/

• DISTRIBUCIÓN DE LINUX QUE TIENE INSTALADAS

MULTITUD DE HERRAMIENTAS DE SEGURIDAD (“CAJA DE
HERRAMIENTAS”)
• Toda la distribución ha sido personalizada para
facilitar la labor de un Pentester
• ES UNA DE LAS MÁS POPULARES Y USADAS PARA ELLO
• INCLUYE TANTAS QUE ES MUY DIFÍCIL TENER UNA
PANORÁMICA COMPLETA DE TODO (Y POR TANTO DE
TODO LO QUE HACE)
• Veremos algunas a continuación
• SE INSTALA EN UNA MV, EN UN LÁPIZ USB, EN UNA
RASPBERRY PI 4….
• ES EL SO RECOMENDADO
96 Manuel
José
Redondo López
 V Scripts de Kali

• KALI NO SOLO CUENTA CON UN ARSENAL DE HERRAMIENTAS, SINO

TAMBIÉN CON UN ARSENAL DE SCRIPTS MULTIPROPÓSITO
• TIENEN COMO OBJETIVO CUBRIR UN GRAN ABANICO DE OPCIONES Y
NECESIDADES DE PENTESTING
• NO SON TAN VISIBLES POR NO TENER GUI
• PERO EXISTEN LISTADOS DE LOS MISMOS QUE DESCRIBEN SU NOMBRE,
PROPÓSITO Y WEB OFICIAL (HABITUALMENTE GITHUB)
• PODEMOS ENCONTRARLOS AQUÍ: HTTPS://GITHUB.COM/TOPICS/KALI-
SCRIPTS

José Manuel
Redondo López
 V Kali NetHunter https://www.kali.org/kali-linux-nethunter/

• ES UNA VERSIÓN DE KALI OPEN SOURCE ESPECIALMENTE

DISEÑADA PARA DISPOSITIVOS MÓVILES

• PERMITE HACER LABORES DE SNIFFING EN PUNTOS WIFI,

SUPLANTAR PUNTOS DE ACCESO, ETC. SOPORTANDO TARJETAS
WIFI VÍA USB
• ESTA DISEÑADO PARA EXPLORAR REDES INALÁMBRICAS
• Dada la movilidad que tiene al estar en un dispositivo móvil,
es una plataforma ideal para eso

• PERMITE HACER UN MITM A DISPOSITIVOS USB Y TECLADOS

SIMPLEMENTE CONECTANDO UN DISPOSITIVO MÓVIL CON ÉL
INSTALADO A UN USB DE LA MÁQUINA VICTIMA

• TIENE EL MISMO CONJUNTO DE HERRAMIENTAS DE KALI

LINUX, MUCHAS DE ELLAS ACCESIBLES VÍA MENÚ
• A PESAR DE SER MUY POTENTE, SOLO ESTÁ SOPORTADA EN
UNA SERIE DE DISPOSITIVOS CONCRETOS:
HTTPS://WWW.OFFENSIVE-SECURITY.COM/KALI-LINUX-
NETHUNTER-DOWNLOAD/
José Manuel
Redondo López
 V Otros SO especializados en seguridad

• KALI NO ES EL ÚNICO SO QUE TIENE HERRAMIENTAS DE SEGURIDAD INSTALADAS

• CommandoVM (https://www.fireeye.com/blog/threat-research/2019/03/commando-vm-
windows-offensive-distribution.html): basado en Windows
• Tutorial: https://www.muyseguridad.net/2019/04/03/commando-vm/
• BackBox (https://www.backbox.org/): Basada en Ubuntu, es una distribución con muchas
herramientas open source para tareas de seguridad
• Parrot Security OS (https://www.parrot.sh/): Basada en Debian, integra herramientas de
desarrollo, seguridad, análisis forense y privacidad
• Wifislax (https://www.wifislax.com/category/download/): basado en Slackware y
especializado en pentesting para redes Wifi
• Tutorial: https://www.redeszone.net/2019/03/19/descargar-wifislax-2019/

José Manuel
Redondo López
 V Windows

• BIENPARA INSTALAR SOFTWARE O BIEN COMO OBJETIVO DE PRUEBAS, PODEMOS

NECESITAR UN WINDOWS DURANTE NUESTRAS PRUEBAS
• GASTAR UNA LICENCIA PARA UNA TAREA ASÍ ES UN DESPERDICIO DE RECURSOS,
ESPECIALMENTE SI SON EQUIPOS OBJETIVO DE ATAQUES
• POR SUERTE, MICROSOFT PROPORCIONA FORMAS LEGALES DE DESCARGAR IMÁGENES
DE WINDOWS QUE SON VÁLIDAS DURANTE UN Nº LIMITADO DE DÍAS
• EN EL CASO DE WINDOWS SERVER 2019 HASTA 180 DÍAS
• LOS ENLACES SON LOS SIGUIENTES
• Windows Server 2019: https://www.microsoft.com/es-es/cloud-platform/windows-
server-trial
• Windows 10: https://www.microsoft.com/es-es/software-download/windows10

José Manuel
Redondo López
 V ¿El pentesting se hace de una forma determinada?

• ¡POR SUPUESTO! UN TRABAJO DE PENTESTING BIEN HECHO SIGUE UNA METODOLOGÍA

• HAY VARIAS METODOLOGÍAS QUE SE PUEDEN SEGUIR
• LAS DOS PRIMERAS SON QUIZÁ LAS MÁS ADECUADAS PARA EMPEZAR
• OWASP Pentesting Guide (especializada en Web)
• La V5 está en desarrollo aquí: https://github.com/OWASP/OWASP-Testing-Guide-v5

• Penetration Testing Execution Standard (PTES)

• PCI Penetration testing guide
• Penetration Testing Framework
• Technical Guide to Information Security Testing and Assessment (NIST800-115)
• Information Systems Security Assessment Framework (ISSAF)
• Open Source Security Testing Methodology Manual (OSSTMM)
• FedRAMP Penetration Test Guidance
• CREST Penetration Testing Guide
• MÁS INFORMACIÓN: HTTPS://WWW.OWASP.ORG/INDEX.PHP/PENETRATION_TESTING_METHODOLOGIES
José Manuel
Redondo López
 V Repos de Código

Información pública sobre usuarios y recursos OSINT Servicios concretos

8 RRSS, motores de búsqueda… Escalado de privilegios
Cracking
Reversing
Acceso a aplicaciones o servicios Exploiting LOLbins / GTFOBins
7 HTTP, EMAIL, SMTP, FTP… Web y Servicios Web

Información mostrada Recabar Información / Phising Web

6 Metadatos, HTML, Documentos de varios tipos…

Comunicación entre hosts Hijacking

5 Establecimiento de sesiones, RPC, Servicios web…

Stress
Conexiones y conexiones seguras Reconocimiento de servicios / DoS Web
4 TCP, UDP, TLS…

Direccionamiento lógico y ruta de red Man In The Middle

3 IP, ARP, ICMP, DNS…

Direccionamiento físico Spoofing

2 MAC, IPv4, IPv6…

Señal y transmisión de datos binarios Sniffing

José Manuel
Redondo López
1 RJ45, 802.11… Reporting
CÓMO HACER UN PENTESTING CON
ESTAS HERRAMIENTAS

Aplicando los conocimientos para

pentesting / CTF

Volver al Índice
Esteganografía y CTFs
 V ¿Y cómo aplico esta clasificación?

• AUNQUE HAYAMOS CLASIFICADO LOS POSIBLES TIPOS DE ATAQUE EN CAPAS, LO CIERTO

ES QUE NO SE APLICAN ESTRICTAMENTE EN ESE ORDEN
• SI QUE ES VERDAD QUE LAS CAPAS MÁS EXTERNAS REQUIEREN MENOS INTERACCIÓN
DIRECTA CON EL OBJETIVO ESTUDIADO, POR LO TANTO SON LAS MÁS FÁCILES (Y POR
ELLO, TIENDEN A SER LAS PRIMERAS) EN SER APLICADAS
• PERO NO PODEMOS HACER TAREAS DE EXPLOITING EFECTIVAS SIN AL MENOS RECURRIR
PRIMERO A
• Tareas para recabar información (Nivel 6)
• Tareas de reconocimiento de servicios (Nivel 4)
• NO TIENE SENTIDO LANZARSE A PROBAR LAS VULNERABILIDADES DE CIERTAS COSAS
(PRODUCTOS, FRAMEWORKS, SERVICIOS, SISTEMAS OPERATIVOS…) SIN SABER PRIMERO
QUÉ COSAS ESTÁN EN FUNCIONAMIENTO
• “LA POTENCIA SIN CONTROL NO SIRVE DE NADA”
José Manuel
Redondo López
 V Pero, ¿y lo de antes?

• LO QUE HICIMOS AL PRINCIPIO DE LA PRESENTACIÓN ES UNA APROXIMACIÓN INFORMAL A UN

PENTESTING EN EL CONTEXTO DE UN CTF PARA ENSEÑAR LAS POSIBILIDADES DE HACK THE BOX
• DECARA A PONERSE UN POCO MÁS EN SERIO, Y A ARTICULAR MEJOR EL CONJUNTO DE HERRAMIENTAS
QUE VAMOS A DESCRIBIR, ES NECESARIO FORMALIZAR UN POCO MÁS EL PROCESO
• VEAMOS PUES UN PROCEDIMIENTO ORDENADO PARA HACER ESTAS TAREAS
• LAINTENCIÓN ES GUIAROS PARA QUE EMPEZAR A HACER ESTAS ACTIVIDADES SEA MÁS VIABLE Y
SENCILLO, Y ¡MOTIVAROS PARA SEGUIR INVESTIGANDO POR VOSOTROS MISMOS E INTERESÁNDOOS EN EL
MUNDO DE LA CIBERSEGURIDAD!
• PERO SOBRE TODO, QUE NO OS SINTÁIS TOTALMENTE PERDIDOS EN UN CONCURSO CTF ☺
• PERORECUERDA: TODAS LAS ACCIONES QUE SE EXPLICAN AQUÍ SON DELITO SI SE HACEN SOBRE
OBJETIVOS SOBRE LOS QUE NO TE HAYAN AUTORIZADO EXPRESAMENTE A HACERLAS
• ¡Con estas técnicas se puede ganar dinero legalmente como especialización de tu profesión,
pero también una plaza en la cárcel más cercana!
• NO seas un delincuente, y usa este conocimiento para luchar contra la ciberdelincuencia (o
adentrarte en el mundo de los CTFs ☺)
José Manuel
Redondo López
 V Hackers gonna hack!

• EL ESQUEMA DE PASOS A SEGUIR NO ES FIJO Y DEPENDE MUCHO DE LA SITUACIÓN

• ¿Es un CTF? ¿Es un pentesting contratado? ¿me han dado algún dato previamente?
• ¿Es una prueba de caja negra? En ese caso no se nada del sistema, y debo
averiguarlo todo
• ¿Es de caja gris? En ese caso tengo conocimiento de parte del sistema, y
seguramente me podré ahorrar algunos pasos o facilitar otros, así como acceder a
nuevos vectores de explotación más fácilmente
• ¿Es de caja blanca? Soy usuario del sistema y los esfuerzos deberían concentrarse en
averiguar los recursos a los que puedo acceder, explotarlos y escalar mis privilegios
• NO OBSTANTE, SÍ SE PUEDE DAR UNA GUÍA DE PASOS BÁSICOS ORIENTATIVOS, QUE
DETALLAREMOS EN LAS SIGUIENTES TRANSPARENCIAS

José Manuel
Redondo López
 V ¿Conozco a mi objetivo?

• ESTO ES CRUCIAL A LA HORA DE EMPEZAR, YA QUE DETERMINA LOS 1ºS PASOS A DAR
• SI NO SABEMOS ABSOLUTAMENTE NADA DEL OBJETIVO, DE SUS EMPLEADOS, NEGOCIO,
ACTIVIDADES, ASOCIADOS, ETC., ES CONVENIENTE EMPEZAR POR OSINT
• Siempre que obtener información de empleados, etc. esté dentro de los objetivos
• COMO FRUTO DE ESAS TAREAS, ADEMÁS DE INFORMACIÓN PERSONAL DE EMPLEADOS,
NEGOCIOS Y DEMÁS, DEBERÍAMOS PODER OBTENER
• Una lista de servidores / servicios web pertenecientes al objetivo sobre la que
recabar información
• Una lista de IPs / redes de máquinas que pertenecen a la empresa, a las que le
podemos preguntar por los servicios que ejecutan
• NADA DE ESTO TIENE SENTIDO POR EJEMPLO EN HACKTHEBOX: SABEMOS EN QUÉ RED
LOCAL ESTAMOS Y DÓNDE ESTÁN LAS MÁQUINAS OBJETIVO
• POR TANTO, ESTO ES MUY SITUACIONAL
José Manuel
Redondo López
 V Una vez tengamos el objetivo al alcance…

• CUANDO SEPAMOS EN QUE IPS/RED ESTÁ EL OBJETIVO, ES HORA DE APLICAR LAS

HERRAMIENTAS DE RECONOCIMIENTO DE SERVICIOS PARA ENCONTRAR LAS
MÁQUINAS A LAS QUE PODEMOS LLEGAR
• UNASERIE DE PRUEBAS RÁPIDAS Y EFECTIVAS PUEDEN HACERSE CON LAS SIGUIENTES
HERRAMIENTAS, ASUMIENDO QUE LA RED ES 192.168.14.0/24
• nmap -sn 192.168.14.*
• nmap -sL 192.168.14.*
• nbtscan -r 192.168.14.0/24
• smbtree netdiscover (ver una descripción de netdiscover aquí)
• ESTO NO TIENE SENTIDO EN HACKTHEBOX: LA RED Y LAS MÁQUINAS QUE HAY EN ELLA
SON CONOCIDAS (ESTÁN LISTADAS EN EL GUI)

José Manuel
Redondo López
 V Escaneo de hosts activos en una red

• ESTE TIPO DE ESCANEOS PERMITEN LOCALIZAR HOST

ACTIVOS DE UNA FORMA RÁPIDA Y EFECTIVA
• DE ESTA FORMA SABREMOS A QUÉ IPS TENDREMOS
QUE DIRIGIRNOS LUEGO PARA IR MÁS EN PROFUNDIDAD
• SUPONE PUES UN RECONOCIMIENTO PREVIO DE
POTENCIALES OBJETIVOS QUE CONVIENE SIEMPRE
REALIZAR
• ¡EL PRIMER PASO EN UN PENTESTING SIEMPRE SUELE
SER ENUMERAR TODOS LOS POSIBLES OBJETIVOS!
• Y PAR NUESTRAS PRUEBAS TENEMOS
• Nosotros (Kali Linux): 192.168.14.10
• Máquina “SERVER1804”: 192.168.14.2
• Máquina “WIN-5MPQE2ICEC8”: 192.168.14.22
José Manuel
Redondo López
 V Escaneo a los hosts localizados

• COMO RESULTADO DEL ESCANEO ANTERIOR SE DESCUBRIRÁN UNA SERIE DE HOSTS

• AHORA, PARA CADA UNO DE ELLOS, LES DIRIGIREMOS LAS HERRAMIENTAS ADECUADAS
DE RECONOCIMIENTO DE SERVICIOS ORIENTADAS A HOSTS CONCRETOS
• ESTO YA SI TIENE SENTIDO EN HACKTHEBOX
• UNAS PRUEBAS RÁPIDAS SON
• nmap --top-ports 20 --open -iL lista_ips_obtenidas_antes.txt
• Por lo dicho anteriormente, esta prueba es mejor no hacerla en HackTheBox, es mejor
concentrarse en
• nmap -sS -A -sV -O –p - <IP>
• nmap -sU <IP>

José Manuel
Redondo López
 V Escaneo de nmap: Objetivo con SO Linux

• NMAP --TOP-PORTS 20 --OPEN -IL ES UNA

OPCIÓN INTERESANTE PORQUE PERMITE HACER
UN ESCANEO RÁPIDO Y EFECTIVO
• Escanea los N puertos estadísticamente
más usados (20 en nuestro caso)
• Solo muestra los puertos que estén abiertos
o potencialmente abiertos
• La opción -iL lee las direcciones a
escanear de un fichero, aunque en este
caso solo hemos puesto una
• RECOMENDABLE PARA TENER UNA IDEA
RÁPIDA INICIAL DEL TIPO DE DISPOSITIVO Y
LO QUE EJECUTA ANTES DE HACER UNA
INVESTIGACIÓN MÁS A FONDO
José Manuel
Redondo López
 V ¿Qué ven tus ojos de hacker?

Servicios que la máquina ejecuta: cada uno puede ser una oportunidad para entrar al sistema.
Ya tenemos 6 potenciales vías de exploración para encontrar vulnerabilidades

Es una máquina virtual VirtualBox

José Manuel
Redondo López
 V Escaneo de nmap: Objetivo con SO Windows

• EL ESCANEO DE LA MÁQUINA
WINDOWS NO OFRECE NINGUNA
NOVEDAD RESEÑABLE
• ESTA MÁQUINA OFRECE AÚN MENOS
SERVICIOS
• Un servidor web
• Un servidor de llamadas a
procedimientos remotos de
Microsoft usado para diferentes
funciones
• Es típico de cualquier sistema
Microsoft
José Manuel
Redondo López
 V Escaneo de nmap: Objetivo con SO Linux

• NMAP -SS -A -SV -O –P - ESTE ESCANEO ES

MUCHO MÁS DETALLADO Y LENTO
• ES RECOMENDABLE ANTES DE INVESTIGAR EN
DETALLE EL OBJETIVO CONCRETO
• PERO CON ÉL PODEMOS SACAR MUCHOS DETALLES DEL
OBJETIVO RÁPIDAMENTE
• -sS: Usa escaneo tipo TCP SYN, potencialmente
más efectivo si hay firewalls activos
• -A: Detecta versiones de servicios y SO, hace
traceroute y lanza scripts varios
• -sV: Investiga los puertos abiertos para
determinar el servicio y versión que ejecutan
• -O: Habilita la detección de tipo y versión de SO
• -p -: Escanea un rango de puertos (en este caso
todos con -)
José Manuel
Redondo López
 V ¿Qué ven tus ojos de hacker?
Software concreto (y su versión exacta) que proporcionan
los servicios de FTP y SSH. Muy útil para luego consultar
vulnerabilidades / exploits asociados en BBDD que los
listen (https://www.cvedetails.com/)

Clave pública PKI de la máquina para identificarla del resto

Servidor web / telnet y versión concreta: ídem a los servicios anteriores

Servicio SAMBA (protocolo SMB de compartición de archivos de

Microsoft), pero su implementación para Linux

PC estándar (no teléfono, impresora, dispositivo IoT…) con un

Linux en la misma subred que el nuestro (1 hop implica que no ha
saltado entre redes)

El propietario ha tenido a bien declarar la versión de Ubuntu que está en ejecución ☺. Podría ser
fake, pero en este caso es poco probable. Además, se puede también inferir por las versiones
concretas de los servicios expuestos (cada versión suele montar versiones ligeramente diferentes, y
podríamos mirar en los repositorios para ver qué SO monta las encontradas)

José Manuel
Datos de la instalación de SMB
Redondo López
 V ¿Qué ven tus ojos de hacker?

Servidor web IIS 10

El servidor soporta el método HTTP TRACE, que es algo peligroso para algunos navegadores:
https://www.beyondsecurity.com/scan-pentest-network-vulnerabilities-http-trace-method-xss-vulnerability.html

Llamadas a procedimientos remotos de Microsoft (servicio común) y soporte de HTTPs

Servicio WinRM (Windows Remote Management): https://docs.microsoft.com/en-

us/windows/win32/winrm/installation-and-configuration-for-windows-remote-management

Tipo y versión del SO ejecutado

José Manuel
Redondo López
 V Escaneo de nmap: Objetivo con SO Linux / Windows

• -SU ES UN TIPO DE ESCANEO ESPECIAL QUE SOLO MIRA

SERVICIOS QUE USEN EL PROTOCOLO UDP
• EN OCASIONES ES POSIBLE ENCONTRAR MÁQUINAS MAL
CONFIGURADAS CON FIREWALLS QUE BLOQUEAN
ÚNICAMENTE EL TRÁFICO TCP
• Y hay servicios usando este protocolo que no están
siendo controlados apropiadamente
• POR DESGRACIA, TARDA MUCHO EN COMPLETARSE, POR
LO QUE HAY QUE SER PACIENTE
• RECOMENDABLE CUANDO LOS ESCANEOS ANTERIORES
NO HAN ENCONTRADO NADA INTERESANTE
• EN LINUX,NOS SALE QUE LA MÁQUINA IMPLEMENTA EL
PROTOCOLO NETBIOS PARA “HABLAR” CON EL RESTO
DE MÁQUINAS DE SU RED
• EN LA MÁQUINA WINDOWS, NO SALE NADA
José Manuel
Redondo López
 V Escaneo a los servicios: web

• SI DETECTAMOS SERVICIOS HTTP EN ALGÚN PUERTO DEL OBJETIVO, TIENE SENTIDO LANZARLE LAS
SIGUIENTES HERRAMIENTAS PARA RECABAR MÁS DATOS
• Y, EN CASO DE NO OBTENER NADA INTERESANTE, PROCEDER CON LAS RESTANTES DE LA SECCIÓN
RECABAR INFORMACIÓN / PHISING
• HABITUALMENTE PODEMOS ENCONTRAR ESTOS SERVICIOS EN LOS PUERTOS 80 (HTTP), 443 (HTTPS) Y
8080 (HTTP PROXY), PERO ¡NO SERÍA RARO ENCONTRAR SERVICIOS ASÍ EN OTROS PUERTOS!
• DEBE TENERSE EN CUENTA QUE NO SOLO PODREMOS ENCONTRAR PÁGINAS WEB TÍPICAS, TAMBIÉN
PUEDE HABER
• Paneles de administración de productos (phpMyAdmin…)
• Paneles de control de dispositivos (routers, proxies…)
• GUIs de programas que luego ejecutan funciones a nivel de sistema (OpenVAS…)
• EN ESTOS CASOS ES AÚN MÁS CRUCIAL TRATAR DE AVERIGUAR LA CONTRASEÑA DE ALGÚN USUARIO DEL
MISMO, PERO ESO YA LO VEREMOS MÁS ADELANTE

José Manuel
Redondo López
 V Escaneo a los servicios: web

• LOCALIZACIÓN DE VULNERABILIDADES
• Nikto: Vulnerabilidades en el servidor web en general
• dotdotpwn
• OpenVAS / Nessus: Demasiado “pesados” para este escenario
• ENUMERACIÓN DE DIRECTORIOS
• dirb
• dirbuster
• IDENTIFICACIÓN DE CMSS
• wpscan
• droopescan
• joomscan
• USO DEL PROTOCOLO WEBDAV: DAVTEST / CADAVER
• CHEQUEO DE VULNERABILIDADES LOCAL FILE INCLUSION / REMOTE FILE INCLUSION: FIMAP
José Manuel
Redondo López
 V Nikto: Objetivo con SO Linux

• NIKTO ES UN ESCANEADOR DE VULNERABILIDADES DEL

QUE HABLAMOS AQUÍ
• HA ENCONTRADO UN APACHE CUYA VERSIÓN NO ES
LA ÚLTIMA (Y POR TANTO, POTENCIALMENTE
VULNERABLE, HTTPS://WWW.CVEDETAILS.COM/)
• EN ESTE CASO VEMOS QUE ESTÁ CONFIGURADO DE
MANERA INADECUADA (FALTAN CABECERAS HTTP DE
SEGURIDAD, HAY WEBS POR DEFECTO ACTIVAS…)
• ELFALLO ES QUE TIENE UNA TÍPICA PÁGINA DE PRUEBA
CON LA FUNCIÓN PHPINFO()
• Es un problema porque proporciona una
cantidad enorme de datos del SO
• Más datos -> más fácil atacarlo

José Manuel
Redondo López
 V PHPInfo

• LA PÁGINA RESULTANTE DE LLAMAR A

PHPINFO DA DEMASIADA INFORMACIÓN
ACERCA DE LA MÁQUINA Y LA VERSIÓN DE
PHP INSTALADA
• DE NUEVO VERSIONES -> MÁS FÁCIL
BUSCAR VULNERABILIDADES
• PROPORCIONA VARIAS RUTAS LOCALES
DEL SISTEMA DE FICHEROS
• ADEMÁS, INDICA QUE LA
ADMINISTRACIÓN ES DESCUIDADA

José Manuel
Redondo López
 V Nikto: Objetivo con SO Windows

• NIKTO NO DEVUELVE NADA RESEÑABLE SOBRE

EL SERVIDOR WINDOWS
• NOS INDICA LA VERSIÓN DEL SERVIDOR, QUE
YA SABÍAMOS
• NOS INDICA QUE NO TIENE LAS CABECERAS
HTTP CORRECTAMENTE CONFIGURADAS
• NOS SEÑALA QUE SOPORTA MÁS MÉTODOS
HTTP DE LOS DEBIDOS (QUE YA LO
SABÍAMOS)
• TAMBIÉN INDICA QUE SOPORTA ASP .NET

José Manuel
Redondo López
 V dotdotpwn: Objetivo con SO Linux

• DOTDOTPWN ES UNA HERRAMIENTA QUE HACE UN

CHEQUEO EXHAUSTIVO Y LENTO DEL SERVIDOR EN
BUSCA DE DIFERENTES CLASES DE VULNERABILIDADES
• HABLAMOS DE ELLA AQUÍ
• DEBIDO A LA GRAN CANTIDAD DE PRUEBAS QUE HACE,
ES DE RECIBO HACER QUE LAS ESCRIBA A UN INFORME
PARA ANALIZARLO POSTERIORMENTE
• NO LO HARÁ SALVO QUE HAGAMOS UNA CARPETA
REPORTS EN /USR/SHARE/DOTDOTPWN
• EN LOS RESULTADOS, ENCONTRAMOS QUE HAY UNA
SERIE DE RUTAS REPORTADAS COMO VULNERABLES (¡Y
NO POCAS!) QUE PODRÍAN DEJARNOS ACCEDER A
ARCHIVOS CON INFORMACIÓN SENSIBLE DEL SISTEMA!

OMG!
José Manuel
Redondo López
 V Rutas vulnerables (directory traversal attack)

• POR SUERTE, NO ES NUESTRO CASO

• EL SERVIDOR ESTÁ CONFIGURADO PARA OBTENER ESTA
PÁGINA POR DEFECTO SI SE ACCEDE A UNA QUE ESTÁ
POR DEBAJO DE LA RAÍZ DE LA WEB
• ESTO CONFUNDE A LA HERRAMIENTA, QUE PIENSA QUE
HA OBTENIDO UN RESULTADO VÁLIDO AL NO
DEVOLVERSE UN ERROR HTTP
• NO OBSTANTE, ES UN VECTOR DE ATAQUE DIGNO DE
SER MIRADO EN CUALQUIER PENTESTING…Y CTF
• CON EL, PODRÍAMOS SACAR ARCHIVOS DEL SISTEMA
MUY COMPROMETEDORES (PASSWORDS,
CERTIFICADOS…) SI LA CONFIGURACIÓN ES INCORRECTA

José Manuel
Redondo López
 V dotdotpwn: Objetivo con SO Windows

• LANZAR DOTDOTPWN CONTRA EL

IIS / WINDOWS DEVUELVE EL
MISMO FALSO POSITIVO DE ANTES
• PERO ES UNA HERRAMIENTA A
TENER MUY EN CUENTA A LA HORA
DE HACER PENTESTING/CTFS POR
LO QUE PODRÍA ENCONTRAR
• ¡NUNCAPODEMOS DESCARTAR QUE
HAYA UN SERVIDOR WEB MAL
CONFIGURADO!

José Manuel
Redondo López
 V Dirb: Objetivo con SO Linux

• DIRB ES UNA HERRAMIENTA QUE ENCUENTRA DIRECTORIOS

OCULTOS EN UN SERVIDOR WEB DE LA QUE HABLAMOS AQUÍ

• AL EJECUTARLA VEMOS QUE EL APACHE TIENE INSTADO UN

PRODUCTO: PHPMYADMIN, LO QUE IMPLICA
• Otro vector de ataque, otro producto con posibles
vulnerabilidades
• El servidor tiene o trabaja con una base de datos
MySQL o similar
• No parece estar expuesta como servicio, por lo que
estará en otra máquina de la red local inaccesible
(todavía ☺)
• La instalación conserva documentación y otros ficheros
por defecto innecesarios (¿instalación descuidada?)
• Muchas rutas para mirar su contenido
• HAY OTROS PRODUCTOS INSTALADOS QUE MERECE LA PENA
ANALIZAR DE LA MISMA FORMA
José Manuel
Redondo López
 V Dirb: Objetivo con SO Windows

• DIRB SOBRE EL TÁNDEM WINDOWS/IIS NOS ARROJA

UN RESULTADO MUY INTERESANTE: EL IIS TIENE
INSTALADO WORDPRESS
• WORDPRESS SUELE SIGNIFICAR PROBLEMAS ☺
• MANTENER SEGURO UN WORDPRESS REQUIERE
CUIDADO Y TIEMPO…Y ES MUY HABITUAL ENCONTRARSE
CON INSTALACIONES QUE NO SE GESTIONAN COMO
DEBIERAN (ACTUALIZACIONES, LIMITACIONES…)
• POR TANTO, ¡NOS APARECE UN POTENCIAL GRAN
VECTOR DE ATAQUE!

José Manuel
Redondo López
 V Dirbuster: Objetivo con SO Linux

• DIRBUSTER ES OTRA HERRAMIENTA QUE

ENCUENTRA DIRECTORIOS OCULTOS EN UN
SERVIDOR WEB DE LA QUE HABLAMOS AQUÍ
• TIENE GUI, MÁS OPCIONES Y UNA FORMA
MÁS FÁCIL DE MANEJAR LO ENCONTRADO
• NECESITA QUE LE SUMINISTREMOS UNA LISTA
DE PALABRAS A USAR
• Podemos encontrar algunas preconstruidas
en /usr/share/dirbuster/wordlists
• LOS HALLAZGOS SON EQUIVALENTES A LOS DE
DIRB

José Manuel
Redondo López
 V Dirbuster: Objetivo con SO Windows

• EL PROCESO SOBRE LA MÁQUINA

WINDOWS/IIS ES ANÁLOGO, CONFIRMANDO
LA PRESENCIA DEL WORDPRESS
• VEMOS TAMBIÉN TODOS LOS ARCHIVOS QUE
TIENE ESA INSTALACIÓN
• EN ELLA ESTÁN TAMBIÉN LOS EJEMPLOS Y
TUTORIALES POR DEFECTO: LA INSTALACIÓN
ESTÁ DESCUIDADA, INDICIO DE QUE
PROBABLEMENTE SE HAYA USADO TODO
POR DEFECTO

José Manuel
Redondo López
 V wpscan: Objetivo con SO Linux

• AL HABER ENCONTRADO UN SERVIDOR WEB, UN PASO

NATURAL A DAR SIEMPRE ES PROBAR SI EN EL MISMO
ESTÁ INSTALADO UNO DE LOS CMS (CONTENT
MANAGEMENT SYSTEMS) MÁS POPULARES (Y
VULNERABLES): WORDPRESS
• PARA ESO, USAMOS WPSCAN, (DESCRITO AQUÍ)
• NO SOLO DETERMINA SI HAY O NO WORDPRESS (QUE
YA LO SABEMOS DE ANTES), SINO TAMBIÉN DE
ENCONTRAR VULNERABILIDADES / PROBLEMAS EN LA
INSTALACIÓN DE LOS QUE PODRÍAMOS SACAR PARTIDO
• CONFIRMAMOS QUE EL LINUX OBJETIVO NO TIENE
NINGUNO INSTALADO
• DROOPESCAN (DESCRITO AQUÍ) HACE UN TRABAJO
SIMILAR Y TAMPOCO ENCUENTRA NADA

José Manuel
Redondo López
 V wpscan: Objetivo con SO Windows

• AL TENER EFECTIVAMENTE UN WORDPRESS,

ESTA HERRAMIENTA ENCUENTRA BASTANTE
COSAS INTERESANTES
• Posibles vulnerabilidades y enlaces a como
explotarlas
• Que se trata de una versión vieja vulnerable
• Si, además, nos registramos en esta página:
https://wpvulndb.com/ la herramienta nos ofrece
detección de vulnerabilidades exhaustiva,
detallada y automatizada, siempre que no nos
pasemos del límite de uso
• Aunque no lo hagamos, podemos sacarle
bastante partido, como veremos después

José Manuel
Redondo López
 V joomscan: Objetivo con SO Linux / Windows

• WORDPRESS Y JOOMLA! SON SIN DUDA DOS

DE LOS CMS MÁS POPULARES
• Y ESTA HERRAMIENTA (DESCRITA AQUÍ) HACE
LO MISMO QUE WPSCAN, PERO CON DICHO
CMS
• DE NUEVO, NO SE ENCUENTRA UN JOOMLA!
INSTALADO EN NINGUNO DE LOS DOS
SERVIDORES ESTUDIADOS, ASÍ QUE POR ESTA
VÍA NO VAMOS A SEGUIR

José Manuel
Redondo López
 V davtest / cadaver: Objetivo con SO Linux

• WEBDAV ES UNA EXTENSIÓN DE HTTP QUE PERMITE

SUBIR Y EDITAR ARCHIVOS A SERVIDORES REMOTOS
• OBVIAMENTE,SI ESTE SERVICIO ESTÁ SOPORTADO Y MAL
CONFIGURADO, LA PELIGROSIDAD ES MÁS QUE EVIDENTE
• davtest (descrita aquí) permite hacer una serie de
pruebas para ver si la instalación de WebDAV es
vulnerable y permite la subida de archivos
maliciosos o cualquier otra vulnerabilidad
• cadaver es un cliente de WebDAV que implemente
una serie de comandos del protocolo
• SI TENEMOS ACCESO AL MISMO, NOS PERMITE MANEJAR
EL SISTEMA DE FICHEROS REMOTO LIBREMENTE, Y HACER
LO QUE QUERAMOS
• NO OBSTANTE, NI EL WINDOWS NI EL LINUX DE PRUEBAS
TIENEN SOPORTE DE WEBDAV
José Manuel
Redondo López
 V Local File Inclusion (LFI) / Remote File Inclusion (RFI)

• RFI ES UNA VULNERABILIDAD DE PÁGINAS PHP QUE PERMITE

ENLAZAR ARCHIVOS SITUADOS EN OTROS SERVIDORES

• ES DEBIDA A LA MALA PROGRAMACIÓN EN UNA PÁGINA QUE

CONTIENE FUNCIONES DE INCLUSIÓN DE ARCHIVOS
• Si en lugar de a ficheros remotos es a ficheros del
propio servidor, se habla de LFI
• https://www.owasp.org/index.php/Testing_for_Local_File_Inclus
ion

• ESTAS VULNERABILIDADES PUEDEN LLEVAR A EJECUTAR

ATAQUES DE XSS (CON PÁGINAS VULNERABLES CARGADAS A
PROPÓSITO), AVERIGUAR INFORMACIÓN PRIVADA DEL SISTEMA
(EJECUTANDO COMANDOS DESDE LA WEB INCLUIDA) O
REVELAR EL CONTENIDO DE FICHEROS LOCALES
COMPROMETEDORES (COMO PASSWD)

• LA HERRAMIENTA QUE NOS PERMITE COMPROBAR SI ESTA

VULNERABILIDAD ES POSIBLE ES FIMAP (DESCRITA AQUÍ)

• NO ES EL CASO EN NUESTROS DOS SERVIDORES DE PRUEBAS

José Manuel
Redondo López
 V ¿Es realmente LFI algo tan peligroso?

• AUNQUE LA VULNERABILIDAD EN SÍ PUEDE PARECER QUE SOLO SIRVE PARA LA

OBTENCIÓN DE DATOS PRIVADOS DE FICHEROS DE LA MÁQUINA, REALMENTE PUEDE IR
BASTANTE MÁS ALLÁ
• POR EJEMPLO, EXISTEN TÉCNICAS DOCUMENTADAS DE OBTENER SHELLS:
HTTPS://WWW.EXPLOIT-DB.COM/PAPERS/12886
•Y LUEGO HAY QUE TENER EN CUENTA QUE AUNQUE LOS FICHEROS QUE SE CARGUEN
VIAJEN EN LA CABECERA HTTP PUEDEN SER INTERCEPTADOS POR PROXIES Y
MODIFICARSE LA MISMA A FORMAS MALICIOSAS:
• for auth.log ssh '<?php system($_GET['cmd']); ?>'@192.168.14.22
• for mail logs telnet 192.168.14.22 25 MAIL FROM:<[email protected]> RCPT TO:<?php
system($_GET[‘cmd’]); ?>
• Si el log de Apache puede leerse, puede probar a inyectarse <?php system($_GET['cmd']); ?>
• POR TANTO, ¡NO SOLO SIRVE PARA OBTENER INFORMACIÓN!
José Manuel
Redondo López
 V Fimap https://tools.kali.org/web-applications/fimap

• ES UN PEQUEÑO SCRIPT DE PYTHON PARA

ENCONTRAR VULNERABILIDADES DE LFI
• ES CAPAZ DE ENCONTRARLAS, PREPARARLAS,
AUDITARLAS Y EXPLOTARLAS
• TAMBIÉNUSA AUTOMÁTICAMENTE GOOGLE
COMO PARTE DEL PROCESO
• EN ESE ULTIMO CASO TAMBIÉN PUEDE
LOCALIZAR VULNERABILIDADES RFI (REMOTE
FILE INCLUSION)

José Manuel
Redondo López
 V Análisis de las páginas web

• SI ENCONTRAMOS UNA WEB, TIENE TAMBIÉN SENTIDO EXAMINAR SU CÓDIGO FUENTE COMO VIMOS EN
LA PRIMERA PARTE DE LA PRESENTACIÓN
• TODO PUEDE CONTENER INFORMACIÓN IMPORTANTE
• Comentarios con usuarios / claves
• Comentarios con datos de la tecnología usada: comentarios por defecto de frameworks conocidos o
directamente declarando dichos frameworks
• Secciones “secretas” que no hayan sido “destapadas” por dirbuster o similares
• Incluyendo la URLs contenidas en el fichero robots.txt que suele estar presente en la raíz de una web
• IPs/URLs de otros sistemas
• Puntos de acceso a APIs de servicios web conocidos
• API Keys
• Cadenas de conexión / direcciones de SGBD
• …
• TIENETAMBIÉN SENTIDO PROVOCAR ERRORES O UN LISTADO DE DIRECTORIOS PARA VER SI SE PUEDE
OBTENER MÁS INFORMACIÓN
• EN NUESTRO CASO NO ENCONTRAMOS NINGUNA INFORMACIÓN NUEVA
José Manuel
Redondo López
 V Escaneo a los servicios del sistema

• HAYA O NO SERVIDORES WEB, EL RESTO DE SERVICIOS DEL SISTEMA TAMBIÉN DEBEN

EXPLORARSE, TANTO EN SO LINUX COMO WINDOWS
• NUEVAMENTE, DAMOS UNA SERIE DE PRUEBAS RÁPIDAS QUE PERMITEN UNA
EXPLORACIÓN RÁPIDA DE LOS SERVICIOS TRADICIONALMENTE MÁS “JUGOSOS”, ANTES
DE PROCEDER A LAS LISTADAS EN LA SECCIÓN RECONOCIMIENTO DE SERVICIOS
• snmpwalk -c public -v1 <IP> 1
• smbclient -L <IP>
• showmount -e <IP> puerto
• rpcinfo
• Enum4Linux

José Manuel
Redondo López
 V snmpwalk: Objetivo con SO Linux/Windows

• SNMP ES UN PROTOCOLO DE ADMINISTRACIÓN DE

RED TRADICIONALMENTE VULNERABLE
• https://es.wikipedia.org/wiki/Protocolo_simple_de_adm
inistraci%C3%B3n_de_red
• LA PRESENCIA DE UNA MÁQUINA QUE SOPORTE EL
MISMO IMPLICA QUE LA PROBABILIDAD DE OBTENER
INFORMACIÓN COMPROMETEDORA DE ESA MÁQUINA
SEA MÁS ELEVADA
• Y, ADEMÁS, ABRE LA POSIBILIDAD DE USAR EXPLOITS
PARA VULNERABILIDADES EN DICHO PROTOCOLO
• SNMPWALK (DESCRITA AQUÍ) SE ENCARGA DE HACER
ESTAS COMPROBACIONES
• EXISTEN TRES VERSIONES DE SNMP: V1, V2C Y V3
• V1 y V2c no están soportados en ningún servidor
objetivo
• V3 no responde a las peticiones: no está activo
José Manuel
Redondo López
 V smbclient: Objetivo con SO Linux/Windows

• ANTERIORMENTE CON NMAP VIMOS QUE EL LINUX OBJETIVO

SOPORTABA SAMBA PARA COMPARTIR RECURSOS

• PERO NO HEMOS VISTO QUÉ RECURSOS COMPARTE

• Podrían ser sistemas de ficheros donde hubiera
información comprometedora
• O se pudieran subir archivos con contenido malicioso
o sobrescribir archivos legítimos en caso de una mala
configuración
• ADEMÁS ES UN PROTOCOLO TRADICIONALMENTE VULNERABLE
• Es el vector de entrada del EternalBlue, por ejemplo
• LA HERRAMIENTA SMBCLIENT (DEFINIDA AQUÍ) SE ENCARGA DE
AVERIGUAR LOS RECURSOS COMPARTIDO POR EL SERVIDOR
LINUX, PERO NO TIENE NADA INTERESANTE (INTRODUCIMOS
PASSWORD VACÍA)

• EL SERVIDOR WINDOWS NO TIENE INSTALADO SMB

José Manuel
Redondo López
 V showmount: Objetivo con SO Linux/Windows

• OTRO DE LOS PUNTOS VULNERABLES DE UN

SISTEMA OPERATIVO, CON EXPLOITS QUE
APROVECHAN VULNERABILIDADES PRESENTES
EN LOS MISMOS, SON LOS SISTEMAS DE
FICHEROS REMOTOS NFS
• SHOWMOUNT (DESCRITO AQUÍ) IDENTIFICA
DICHOS SISTEMAS EN LA MÁQUINA REMOTA Y
PERMITE VER QUÉ SE COMPARTE
• ASÍ PODEMOS EXPLORAR SI SE COMPARTE
ALGUNA INFORMACIÓN COMPROMETEDORA O
SUBIR FICHEROS Y ACTUAR EN CONSECUENCIA
• NOES NUESTRO CASO EN LOS SERVIDORES DE
PRUEBAS
José Manuel
Redondo López
 V rpcinfo: Objetivo con SO Linux/Windows

• LAS LLAMADAS A PROCEDIMIENTOS REMOTOS (REMOTE

PROCEDURE CALLS, RPC) SON SERVICIOS OFERTADOS
POR UN SISTEMA REMOTO A TRAVÉS DE UNA INTERFAZ
DETERMINADA
• DICHOS SERVICIOS EJECUTAN ORDENES EN EL SISTEMA
REMOTO VARIOPINTAS, SEGÚN LO QUE SE HAYA
IMPLEMENTADO
• POR TANTO, ENCONTRARSE UN INTERFAZ RPC EN UNA
MÁQUINA REMOTA PUEDE SER CLAVE PARA INTENTAR
EXPLOTAR ALGUNA DE SUS FUNCIONES
• ADEMÁS DE ENCONTRAR EXPLOITS EN SÍ CUYO
OBJETIVO SEA ESTE PROTOCOLO
• RPCINFO (DESCRITA AQUÍ) NOS PERMITE ENCONTRAR
ESTOS ELEMENTOS
• DESGRACIADAMENTE, NUESTROS SERVIDORES DE
PRUEBAS NO TIENE RPC EXPUESTOS
José Manuel
Redondo López
 V enum4linux: Objetivo con SO Linux

• FINALMENTE, LA HERRAMIENTA ENUM4LINUX (DESCRITA

AQUÍ) PERMITE EL EXAMEN COMPLETO DE UN EQUIPO
REMOTO Y OBTIENE TODO TIPO DE INFORMACIÓN
ACERCA DEL MISMO EN DISTINTOS ÁMBITOS SI SE USA
SAMBA/SMB
• CONVIENE POR TANTO USARLA EN NUESTRO ENTORNO
PARTICULAR DE PRUEBAS PARA VER QUÉ ES CAPAZ DE
AVERIGUAR
• CON ESTA INFORMACIÓN Y TODA LA ANTERIOR,
DEBERÍAMOS TENER YA UN CONJUNTO DE COSAS PARA
PODER INTENTAR HACER EXPLOITING DE UNA FORMA
MÁS GUIADA Y CON CIERTAS GARANTÍAS

José Manuel
Redondo López
 V enum4linux: Objetivo con SO Linux

• GRACIASA ESTA HERRAMIENTA LOGRAMOS

AVERIGUAR INFORMACIÓN INTERESANTE
• Que la política de passwords es muy laxa: la
probabilidad de que haya passwords
débiles es muy alta
• Que existe un usuario llamado
“operario”, lo que será muy útil para
futuras pruebas, al no tener que averiguar
ni probar a ciegas nombres de usuario
• Nombres de grupos de usuarios del sistema
• AL NO TENER SMB ACTIVO, NO LO
LANZAMOS CONTRA EL SO WINDOWS

José Manuel
Redondo López
 V ¿Y si encontramos otros servicios?

• ANTES DE BUSCAR HERRAMIENTAS ADECUADAS EN LA SECCIÓN DE RECONOCIMIENTO

DE SERVICIOS CONVIENE HACER UN PAR DE PRUEBAS RÁPIDAS MÁS USANDO LAS
SIGUIENTES TÉCNICAS
• BUSCARY USAR UN SCRIPT DE NMAP QUE ESTÉ VINCULADO AL NOMBRE DEL SERVICIO
ENCONTRADO
• locate *nse* | grep <nombre del servicio>
• Y usar la documentación de los scripts encontrados para usarlos contra el objetivo:
https://nmap.org/nsedoc/
• Como tenemos una lista de servicios en ejecución (seis en las pruebas que hicimos
anteriormente) es relativamente sencillo tener una lista de scripts de nmap a usar
• Solo necesitamos mirar su documentación uno a uno y decidir cuál usar (y cómo)

José Manuel
Redondo López
 V ¿Y si encontramos otros servicios?

• MSF AUX MODULES: ESTOS SON MÓDULOS DE METASPLOIT QUE PERMITEN

ESCANEAR / ACTUAR CONTRA UNA SERIE DE SERVICIOS CONOCIDOS DETERMINADOS
• La documentación y como usarlos está aquí: https://www.offensive-
security.com/metasploit-unleashed/auxiliary-module-reference/
• Admin Modules: Admin HTTP Modules, Admin MSSQL Modules, Admin MySQL
Modules, Admin Postgres Modules, Admin VMware Modules
• Cada grupo tiene varios módulos relacionados con el producto
• Scanners: DCERPC, Discovery, FTP, HTTP, IMAP, MSSQL, MySQL, NetBIOS, POP3, SMB,
SMTP, SNMP, SSH, Telnet, TFTP, Vmware, VNC
• Muchos de ellos tienen una función similar a los productos vistos
• En nuestro entorno de pruebas muchos no tienen sentido al no estar corriendo el servicio
asociado en el objetivo
• Server Capture Modules: Simulan servicios conocidos (FTP, POP3, IMAP…) para
capturar credenciales de quienes los usen
José Manuel
Redondo López
 V Nmap scripts: Objetivo con SO Linux

• EL PRIMER PASO QUE DAMOS ES SACAR LOS SCRIPTS

RELACIONADOS CON FTP, APARECIENDO UNOS 12

• AHORA DEBERÍAMOS PROBARLOS UNO A UNO A VER QUÉ

INFORMACIÓN PODEMOS SACAR DE LOS MISMOS, A TRAVÉS
DE SU DOCUMENTACIÓN OFICIAL
• https://nmap.org/nsedoc/scripts/ftp-anon.html
• https://nmap.org/nsedoc/scripts/ftp-brute.html
• Usar este script para sacar claves por fuerza bruta tira
abajo el servidor FTP: DoS
• No sabemos si es un bug o una protección anti-
bruteforce, pero no podemos seguir usando este script
• Deberíamos haber usado un fichero de pares
usuario/clave, admitido por el script
• ¡Sabemos un usuario válido (operario)!
• Así estamos generando ambos aleatoriamente: ¡mucho
más lento y menos efectivo!
• … (resto de scripts)
• NMAP PUEDE SER MUY VERSÁTIL CONTRA MUCHOS TIPOS DE
SERVICIOS GRACIAS A SUS SCRIPTS (MÁS DE 600)
José Manuel
Redondo López
 V Nmap scripts: Objetivo con SO Linux

• PODEMOS HACER LA MISMA OPERACIÓN CON OTRO

SERVICIO ENCONTRADO ANTERIORMENTE: TELNET
• HAY 3 SCRIPTS ASOCIADOS, Y UNO DE ELLOS ES DE
NUEVO PARA SACAR LA CLAVE POR FUERZA BRUTA
• PODEMOS AHORRARNOS TRABAJO USANDO
INFORMACIÓN OBTENIDA ANTERIORMENTE: EL USUARIO
“OPERARIO”
• DE ESTA FORMA, CREAMOS UN FICHERO CON ESE
NOMBRE DE USUARIO Y PARA LAS CLAVES USAMOS
ALGUNA DE LAS LISTAS DE CLAVES MÁS USADAS QUE SE
INSTALAN CON EL KALI EN /USR/SHARE/WORDLISTS
• CON ESO (Y PACIENCIA) LANZAMOS EL ATAQUE VÍA
SCRIPT

José Manuel
Redondo López
 V Nmap scripts: Objetivo con SO Linux

• ¡HEMOS TENIDO ÉXITO! LA CLAVE DEL USUARIO

“OPERARIO” ES MUY MALA: “TEST123…”
• ¡PODEMOS ENTRAR AL SISTEMA COMO UN USUARIO
NORMAL!
• GRACIAS A NUESTRA LABOR DE INVESTIGACIÓN HEMOS
DESCUBIERTO UNA VULNERABILIDAD EN UNO DE LOS
SERVICIOS
• EL SERVICIO EN SÍ ES UN ANACRONISMO QUE NO
DEBERÍA SER USADO: NO CIFRA TRANSMISIONES
• PERO EL COLMO ES QUE LOS USUARIOS USEN CLAVES
DÉBILES
• ES UNA COMBINACIÓN MORTAL PARA CUALQUIER
SERVIDOR

José Manuel
Redondo López
 V Nmap scripts: Objetivo con SO Linux

• ELSERVICIO DE SAMBA TAMBIÉN TIENE SUS

SCRIPTS DE NMAP ASOCIADOS
• EN LA IMAGEN VEMOS COMO SE LOCALIZAN
UN PAR DE ENDPOINTS DEL SERVICIO EN EL
SERVIDOR REMOTO QUE MERECERÍA LA PENA
ESTUDIAR MÁS A FONDO PARA VER QUÉ
PARTIDO PODEMOS SACARLE
• ALGO COMO: HTTPS://WWW.CYBRARY.IT/0P3N/EASILY-
EXPLOIT-POORLY-CONFIGURED-SMB

José Manuel
Redondo López
 V Nmap scripts: Objetivo con SO Windows

• PODEMOS APLICAR LAS MISMAS TÉCNICAS

CON LOS SERVICIOS ENCONTRADOS EN LAS
MÁQUINAS WINDOWS, EN ESTE CASO MSRPC
• APARECE 4 SCRIPTS ASOCIADOS AL SERVICIO
• DESGRACIADAMENTE, EL SERVICIO NO
RESPONDE
• TAMBIÉN VEMOS DE NUEVO COMO EL
PROTOCOLO SMB ESTÁ BLOQUEADO, ES DECIR,
EL SERVIDOR NO COMPARTE ARCHIVOS NI
RECURSOS

José Manuel
Redondo López
 V Metasploit auxiliary modules

• ESTOS MÓDULOS PODRÍAN SER APLICABLES CONTRA ESTE SERVIDOR

• LOS MÓDULOS ADMIN PERMITEN HACER OPERACIONES AVANZADAS
• LOS OTROS PERMITEN AVERIGUAR MÁS INFORMACIÓN DE LOS SERVICIOS DEL SISTEMA
• Admin module MySQL: https://www.offensive-security.com/metasploit-
unleashed/admin-mysql-auxiliary-modules/
• Este requeriría acceso a la máquina para poder contactar contra el servidor MySQL
• Veremos un ejemplo de ellos aquí
• FTP Scanner: https://www.offensive-security.com/metasploit-unleashed/scanner-ftp-
auxiliary-modules/
• SSH Scanner: https://www.offensive-security.com/metasploit-unleashed/scanner-ssh-
auxiliary-modules/

José Manuel
Redondo López
 V Metasploit auxiliary modules

• METASPLOIT SE ASOCIA TRADICIONALMENTE CON

EXPLOTACIÓN Y POST-EXPLOTACIÓN DE
VULNERABILIDADES Y SE DESCRIBE AQUÍ

• PERO VEMOS COMO CON ESTOS MÓDULOS TAMBIÉN

PUEDE USARSE PARA EXPLORACIÓN

• AQUÍ SE DESCRIBE LA FORMA HABITUAL DE

TRABAJAR CON EL (TODOS LOS MÓDULOS
FUNCIONAN MÁS O MENOS IGUAL)
• Se carga el módulo usando el nombre de su
documentación
(auxiliary/scanner/dcerpc/endpoint_mapper)
• Se inicializan sus parámetros con set según
su documentación (show options)
• En este caso el objetivo a estudiar (RHOSTS) y
el numero de hilos a usar (THREADS)
• Configurado, se lanza el módulo con run

José Manuel
Redondo López
 V Metasploit auxiliary modules

• EN EL ESCANEO ANTERIOR COMPROBAMOS QUE HAY

MUCHOS SERVICIOS QUE APARECEN COMO ENDPOINTS
LLAMABLES
• Pero, ¿serán solo llamables localmente?

• CON MÓDULO AUXILIAR

AUXILIARY/SCANNER/DCERPC/MANAGEMENT PODEMOS VER
SI ALGUNO PUEDE INVOCARSE REMOTAMENTE

• Y CON ELLO ABRIR LA PUERTA A UNA POSIBLE

VULNERABILIDAD

• EL RESULTADO NOS INDICAD QUE NO ES EL CASO

• EL WINDOWS 2016 OBJETIVO NO TIENE NINGÚN
SERVICIO QUE DEPENDA DE LOS RPC QUE PUEDA SER
VULNERABLE

• Y, CON ESTO, TERMINAMOS NUESTRA EXPLORACIÓN

RÁPIDA INICIAL DE LAS MÁQUINAS OBJETIVO

José Manuel
Redondo López
 V Exploiting: Vamos al ataque ☺

• UNA VEZ LE HEMOS HECHO UN RECONOCIMIENTO AL SISTEMA Y SABEMOS TODO LO

QUE TIENE EN EJECUCIÓN, ES LA HORA DE INTENTAR ENCONTRAR UNA VULNERABILIDAD
EN ESOS SERVICIOS
• EL OBJETIVO ES PODER EXPLOTARLA Y LOGRAR EL ACCESO AL SISTEMA
• PARA ELLO, SE DEBEN USAR HERRAMIENTAS LISTADAS EN LA SECCIÓN DE EXPLOITING
• NO OBSTANTE, NUNCA VIENE MAL HACER UNAS PRUEBAS RÁPIDAS
• searchsploit: A través de la recolección versiones del software en ejecución hecha con
alguna de las herramientas anteriores, buscar exploits conocidos con searchploit o en
ttps://www.exploit-db.com/ y probarlos
• Probar credenciales por defecto en los servicios: se pueden encontrar documentadas
en la web del fabricante
• Uso de credenciales obtenidos en pasos anteriores (comentarios, etc.)
• Descarga de software que permita explotar alguna vulnerabilidad cuando somos
usuarios del sistema (sólo en pruebas de caja blanca / una vez dentro del sistema)
José Manuel
Redondo López
 V ¿Qué buscamos ahora?

• ¿QUÉBUSCAMOS CON TODO ESTA LABOR DE RECONOCIMIENTO? CREDENCIALES PARA

ENTRAR AL SISTEMA
• ¿Por qué creías que hay tanto ataque destinado a obtener contraseñas hoy en día? ☺
• UNA VEZ DENTRO, HAY TÉCNICAS PARA ROBARINFORMACIÓN / ESCALAR PRIVILEGIOS /
PIVOTAR PARA ATACAR A OTRAS MÁQUINAS INTERNAS
• Aún siendo un usuario “normal” (no root) se puede hacer mucho daño
• O escalar privilegios…
• EN DEFINITIVA, EL OBJETIVO PRINCIPAL DE TODA LABOR DE EXPLOITING ES ENTRAR A UN
SISTEMA Y OBTENER INFORMACIÓN DEL MISMO QUE DE OTRA FORMA NO PODRÍAMOS
• En caso de un CTF, buscar la “bandera” dentro de él que nos de puntos
• En caso de un pentesting, determinar hasta que punto un sistema o red es vulnerable
para proponer soluciones para toda la infraestructura
José Manuel
Redondo López
 V ¿Qué buscamos ahora?

• HAY VARIAS FORMAS DE OBTENER ACCESO AL SISTEMA

• Como consecuencia de las actividades de exploración (nosotros lo hemos hecho)
• Como consecuencia de mala configuración (claves por defecto del fabricante, etc.)
• Fuerza bruta
• Bien contra ciertos servicios no protegidos, como hemos visto
• Volcando el fichero de claves del sistema (hashdump) y aplicando sobre el herramientas específicas
como las vistas aquí
• Como consecuencia de alguna vulnerabilidad que tenga un exploit que nos de acceso al
sistema (ya sea a través de una shell o mediante meterpreter)
• Leak: Comentarios, inferida de información de redes sociales, en ficheros servidos por error en
directorios “ocultos” de un servidor web…
• Técnicas de sniffing / spoofing de red: obtenida mediante la escucha de una red con las
herramientas vistas aquí (MitM), aquí (spoofing) y aquí (sniffing)
• No se aplica en nuestro caso de uso de HackTheBox
• EN ADELANTE VEREMOS EXPLOITS A MODO DE INTRODUCCIÓN DE CÓMO SE HARÍA
José Manuel
Redondo López
 V Credenciales por defecto

• EN OCASIONES LA INSTALACIÓN DE CIERTOS PRODUCTOS SE HACE DE FORMA MUY DESCUIDADA Y SE

DEJAN LAS CLAVES POR DEFECTO QUE EL FABRICANTE PONE DE FÁBRICA
• ESTOCADA VEZ ES MENOS FRECUENTE CON PRODUCTOS MODERNOS, PERO PROBARLO SIEMPRE ES UNA
BUENA OPCIÓN
• HARDWARE CON INTERFAZ WEB (COMO ROUTERS, PROXIES, ETC.) ES TAMBIÉN MUY PROPENSO A ELLO
• BASTA UNA BÚSQUEDA POR FOROS / WEB DEL FABRICANTE PARA ENCONTRAR ESA INFORMACIÓN
• EJEMPLOS
• phpMyAdmin: https://community.bitnami.com/t/what-is-the-default-phpmyadmin-password/1
• MySQL: https://forums.mysql.com/read.php?34,140320,140324
• Otros productos: https://varyingvagrantvagrants.org/docs/en-US/default-credentials/
• …
• ES UNA FORMA MUY SENCILLA, PERO EN OCASIONES MUY EFECTIVA, DE LOGRAR CREDENCIALES QUE NOS
DEJEN ENTRAR AL SISTEMA
José Manuel
Redondo López
 V searchploit

• ESTA HERRAMIENTA ES UN MIRROR LOCAL DE LA BASE

DE DATOS DE EXPLOITS PÚBLICA MÁS GRANDE
EXISTENTE (PROBABLEMENTE), EXPLOIT-DB
• https://www.exploit-db.com/searchsploit
• PERMITE HACER BÚSQUEDAS RÁPIDAS POR EXPLOITS
PERTENECIENTES A LOS SERVICIOS QUE DETECTEMOS EN
LA MÁQUINA OBJETIVO
• Aquí vemos los del servicio de telnet
• CON ELLAS OBTENEMOS UN FICHERO COMPILABLE O
CON INSTRUCCIONES DETALLADAS ACERCA DE COMO
USAR EL EXPLOIT
• Y ASÍ, EN DEFINITIVA, TENDREMOS UN PROGRAMA /
INSTRUCCIONES DE CÓMO VULNERAR UN SERVICIO QUE
PREVIAMENTE HEMOS DETECTADO

José Manuel
Redondo López
 V searchploit

• PERO NO ES TAN FÁCIL COMO PARECE…

• Los exploits muchas veces son muy situacionales:
requieren que haya instalado un software concreto,
una configuración determinada, una situación
particular en el sistema…
• Se aplican sobre versiones muy específicas de un
determinado software: de ahí que sea tan importante
determinar la misma en las labores anteriores
• Requieren compilación: aunque se pueden subir al
sistema compilados
• A veces requieren un intérprete concreto en el
sistema remoto (aunque también puede subirse)
• Pueden ser inestables (experimentales)
• POR TANTO, ES MUY PROBABLE OBTENER VARIOS RESULTADOS
NEGATIVOS ANTES DE UNO POSITIVO

• PERO, POR SUERTE, TENEMOS UNA HERRAMIENTA QUE NOS

FACILITA EL TRABAJO: METASPLOIT Y SU GUI ARMITAGE
José Manuel (DESCRITO AQUÍ)
Redondo López
 V Armitage: Objetivo con SO Linux

• ELOBJETIVO DE ARMITAGE ES FACILITAR EL TRABAJO

CON EL METASPLOIT FRAMEWORK (MSF)
• VIMOSUN EJEMPLO DE COMO TRABAJAR EN LÍNEA DE
COMANDOS CON MSF CON LOS MSF AUX MODULES
• TENEMOS MÓDULOS DIVIDIDOS EN CARPETAS
• Auxiliary: Utilidades diversas
• Exploit: Los exploits soportados por el MSF
instalado localmente
• Payload: Posibles consecuencias de aplicar los
exploits
• Post: Herramientas de post-explotación
soportadas por el MSF local
• PERO, PARA EMPEZAR, NECESITAMOS INDICARLE DONDE
ESTÁN LOS HOST OBJETIVO
José Manuel
Redondo López
 V Armitage: Objetivo con SO Linux

• UNA VEZ INTRODUCIDO EL HOST A EXAMINAR,

CONVIENE HACER USO DE SCAN PARA
RECONOCERLO
• CON ESTA OPERACIÓN ARMITAGE TENDRÁ
MÁS INFORMACIÓN A LA HORA DE
RECOMENDARNOS EXPLOITS PARA SUS
POSIBLES VULNERABILIDADES
• NO DEJA DE SER UN RESULTADO EQUIVALENTE
AL QUE OBTENDRÍAMOS MEDIANTE UN NMAP
A LA MÁQUINA
• VEMOS COMO SE DETECTAN LOS MISMOS
SERVICIOS QUE VIMOS EN LA FASE DE
EXPLORACIÓN ANTERIOR
José Manuel
Redondo López
 V Armitage: Objetivo con SO Linux

• UNA VEZ ESCANEADA LA MÁQUINA, PEDIMOS A ARMITAGE

QUE NOS RECOMIENDE ATAQUES

• CON ESTO INTENTARÁ DISMINUIR LA LISTA DE POSIBLES

EXPLOITS QUE POSEE MSF (QUE ES ENORME) A ALGO MÁS
PEQUEÑO Y MANEJABLE

• Y, POR TANTO, FACILITARNOS LA TAREA

• LA OPCIÓN “HAIL MARY” ES COMPLETAMENTE NO
RECOMENDABLE: LANZA SECUENCIALMENTE CUALQUIER
EXPLOIT CONOCIDO
• Esto hace irrelevante la labor de reconocimiento
anterior: tenemos “inteligencia sobre la máquina” pero
no la usamos para mejorar como la atacamos
• La probabilidad de acierto es muy baja: lanza todo lo
que tiene con la esperanza de que algo funcione
• Esta “metralleta” de ataque genera mucho tráfico de
red y tarda una cantidad considerable de tiempo
José Manuel
Redondo López
 V Armitage: Objetivo con SO Linux

• COMO CONSECUENCIA DE BUSCAR ATAQUES LA

MÁQUINA TENDRÁ AHORA UN MENÚ “ATTACKS”
ASOCIADO QUE PODEMOS PROBAR
• PERO EN NUESTRO CASO NO APARECE NINGUNO…
• ESTOES ASÍ PORQUE ESTAMOS LIDIANDO CON UNA
MÁQUINA MODERNA Y RAZONABLEMENTE
ACTUALIZADA (UBUNTU 18.04)
• ARMITAGE
RECOMIENDA SOLO ATAQUES QUE SABE QUE
VAN A FUNCIONAR CON UNA PROBABILIDAD ALTA
(GREAT)
• Esto es mucho más afectivo con SO viejos tipo
Windows 7 / XP / Ubuntu 14.04…
• PERO CON SO EN MANTENIMIENTO ACTIVO Y
ACTUALIZADOS, PARA QUE NOS PUEDA RECOMENDAR
ALGO, TENEMOS QUE BAJAR LAS EXPECTATIVAS DE
FUNCIONAMIENTO DE LOS EXPLOITS AL MÍNIMO: POOR
José Manuel
Redondo López
 V Armitage: Objetivo con SO Linux

• AHORA TENEMOS UNA BUENA CANTIDAD DE EXPLOITS

A EXAMINAR Y PROBAR
• ALGUNOS SON DIRECTAMENTE DESCARTABLES
• Tenemos el servicio FTP, pero no con el
producto que se lista ahí: ProFTP, VSFTP…
• Tenemos el software (PHP), pero no la versión
• Tenemos el servicio (samba), pero está
parcheado y ya no tiene la vulnerabilidad de la
que se aprovecha el exploit
• EN GENERAL, TENDREMOS QUE ARMARNOS DE
PACIENCIA Y USAR NUESTRA EXPERIENCIA PARA IR
PROBANDO AQUELLAS COSAS QUE CREAMOS QUE VAN
A FUNCIONAR…HASTA QUE DEMOS CON UNA QUE SÍ ☺
• ¡LA MAGIA SOLO OCURRE EN LAS PELÍCULAS DE
HOLLYWOOD! ☺
José Manuel
Redondo López
 V Armitage: Objetivo con SO Linux

• AQUÍ VEMOS UN EJEMPLO DE UN RESULTADO TÍPICO:

PROBAR UN EXPLOIT CONTRA UN SERVICIO DETECTADO,
PERO QUE NO FUNCIONE
• VEMOS COMO ARMITAGE AUTOMATIZA LA TAREA DE
LANZARLO QUE ANTES VIMOS CON EL MSF EN LÍNEA
DE COMANDOS
• EL EXPLOIT SE LANZA, PERO FALLA (EXPLOIT COMPLETED,
BUT NO SESSION WAS CREATED)

• ESTE MENSAJE ES ASÍ PORQUE, SALVO QUE DIGAMOS LO

CONTRARIO (CARPETA PAYLOADS) LA CONSECUENCIA
DE QUE UN EXPLOIT FUNCIONE POR DEFECTO ES
• Sistemas Linux: un shell del sistema a nombre de un
usuario del mismo (root o usuario estándar, depende
del exploit)
• Sistemas Windows: una consola meterpreter que nos
deja hacer fácilmente muchas operaciones interesantes
José Manuel
Redondo López
 V Armitage: Objetivo con SO Linux

• LA BÚSQUEDA DE UN EXPLOIT QUE FUNCIONE PUEDE SER

LARGA Y ALGO TEDIOSA, PERO NO DEBEMOS DESANIMARNOS

• AQUÍ VEMOS OTRO RELATIVO AL PRODUCTO DETECTADO

ANTERIORMENTE PHPMYADMIN

• TAMBIÉN FALLA, PERO NOS SIRVE PARA ILUSTRAR COMO EL

GUI ARMITAGE NOS FACILITA LA INTRODUCCIÓN DE TODOS
LOS PARÁMETROS DEL EXPLOIT
• Selecciona automáticamente (comando use) el exploit
en el que hemos hecho clic
• Nos muestra una venta con el resultado de hacer show
options sobre el exploit
• Rellena con valores algunas de estas opciones para
que tengamos que trabajar menos
• Permite seleccionar el tipo de objetivo sobre el que lo
vamos a lanzar (que sabemos gracias a la labor de
investigación anterior)
• Y, si queremos, nos muestra opciones avanzadas para
José Manuel controlar con precisión todas las opciones del exploit
Redondo López
 V Armitage: Objetivo con SO Linux

• PARA NO ETERNIZARNOS CON LA BÚSQUEDA DE UN EXPLOIT

FUNCIONAL, VAMOS A APROVECHARNOS DE QUE SABEMOS EL
USERNAME Y PASSWORD DEL USUARIO OPERARIO

• CON ELLOS PODEMOS “ATACAR” CON EL EXPLOIT SSH USER

CODE EXECUTION
• TÉCNICAMENTE EL EXPLOIT PERMITE EJECUTAR UN PAYLOAD
CONCRETO (QUE PUEDE SER UN PROGRAMA DE LA CARPETA
CORRESPONDIENTE DE ARMITAGE) VÍA SSH, SIEMPRE QUE
TENGAMOS CREDENCIALES VÁLIDAS
• Se ejecutará bajo estas credenciales y se subirá a la
máquina remota automáticamente con un stager
• https://www.offensive-security.com/metasploit-
unleashed/payload-types/
• EN NUESTRO EJEMPLO, PARA PODER SEGUIR ILUSTRANDO
COMO TRABAJAR DE FORMA SENCILLA, DEJAREMOS EL
PAYLOAD POR DEFECTO PARA LINUX: UNA SHELL
• Nótese que este exploit podría hacer mucho más daño
José Manuel
/ exfiltración de datos que lo que hacemos aquí…
Redondo López
 V Armitage: Objetivo con SO Linux

• ¡HEMOS TENIDO ÉXITO! (NÓTESE EL ICONO)

• AHORA SE HA ESTABLECIDO UN CANAL DE COMUNICACIÓN DESDE
LA MÁQUINA ATACANTE A LA ATACADA
• Consistente en un bind shell que va desde nuestro puerto
38605 al puerto 23426 del atacado
• SON PUERTOS ALTOS, QUE PUEDEN PASAR MÁS DESAPERCIBIDO
ANTE UN ESCANEO TÍPICO
• ¿Y si los puertos altos están cerrados por un firewall?
• En ese caso podemos marcar el checkbox de reverse shell:
la máquina atacada se conecta con la nuestra, en lugar de
al revés como ahora
• Es mucho más probable que un firewall permita
conexiones salientes (outbound) que entrantes
• SI QUIERES SABER MÁS SOBRE BIND Y REVERSE SHELLS ESTA
LECTURA ES MUY CONVENIENTE:
HTTPS://WWW.HACKINGTUTORIALS.ORG/NETWORKING/HACKING-
NETCAT-PART-2-BIND-REVERSE-SHELLS/
• Y de paso le da un poco de “cariño” a una herramienta
muy potente y muy olvidada: netcat ☺
José Manuel
Redondo López
 V Armitage: Objetivo con SO Linux

• VALE, PERO ¿Y COMO USO EL BIND SHELL?

• NO TIENES QUE HACER NADA ESPECIAL, YA QUE EL
PROPIO ARMITAGE FACILITA LA LABOR
• SIHAS CONSEGUIDO SACAR UN SHELL, EL MENÚ DE LA
MÁQUINA COMPROMETIDA CAMBIARÁ PARA
FACILITARTE TRABAJAR CON EL
• ENTRE LAS OPCIONES MOSTRADAS DESTACAMOS DOS
• Interact: entra en sesión y haz lo que te deje
hacer tu usuario ☺
• Upload: Sube un fichero a la máquina remota y
con él haz más cosas
• Puede ser un ejecutable que te permita escalar
privilegios (hablamos de técnicas para eso aquí)
• Puede ser un script que te permita obtener aún
más información (eres usuario legítimo de la
máquina)
José Manuel
• …
Redondo López
 V Armitage: Objetivo con SO Linux

• ESTE EXPLOIT NOS ABRE SESIÓN CON EL USUARIO QUE

HAYAMOS INDICADO, NO ROOT COMO HACEN OTROS

• PERO PODEMOS HACER COSAS INTERESANTES…

• Podríamos ver muchos archivos de la máquina,
incluso privados (según los permisos del usuario)
• Y, si montamos un FTP en una máquina nuestra,
enviarnos lo que queramos para análisis offline
• También podríamos escribir sobre estos archivos:
los atacantes habitualmente suelen usar esto para
crear información falsa o destruir datos
• A lo mejor este usuario puede ver los logs: y en un
sitio donde frecuentemente aparecen claves de
usuario, especialmente si hay una web en marcha
• Ver el código fuente de las webs alojadas (que
puede tener claves hardcodeadas…)
• Las posibilidades son muy grandes, ¡depende de tu
José Manuel imaginación! ☺
Redondo López
 V Armitage: Objetivo con SO Linux

• PODEMOS EXAMINAR LOS INTERFACES DE RED DE LA

MÁQUINA, Y VER SI TENEMOS CONEXIÓN CON REDES
LOCALES INTERNAS
• EN ESE CASO PODRÍAMOS LANZAR PETICIONES CONTRA
MÁQUINAS A LAS QUE ORIGINALMENTE NO PODEMOS
ACCEDER A TRAVÉS DE LA ATACADA
• ESTAS MÁQUINAS, AL SER TÉCNICAMENTE INACCESIBLES
“DESDE FUERA”, SUELEN TENER UNA SEGURIDAD MÁS
“RELAJADA”
• ERGO PUEDEN SER VÍCTIMAS MÁS FÁCILES
• ¡NUESTRA MÁQUINA SE PUEDE CONVERTIR EN UN PIVOT
QUE NOS DEJE ACCEDER A MÁS SITIOS!
• https://null-byte.wonderhowto.com/how-to/hack-like-
pro-pivot-from-victim-system-own-every-computer-
network-0149847/
• https://www.ihacklabs.com/es/pivoting-conexion-reversa
José Manuel
Redondo López
 V Armitage: Objetivo con SO Linux

• EJECUTARCOMANDOS EN NOMBRE DEL

USUARIO COMPROMETIDO TAMBIÉN ES UNA
OPCIÓN
• AQUÍTENEMOS UN EJEMPLO CON NMAP, CON
EL QUE EXPLORAR MÁQUINAS EN LA MISMA
RED LOCAL QUE LA ATACADA SE CONVIERTE EN
ALGO MÁS QUE UNA POSIBILIDAD
• PERO AHORA SOLO ESTAMOS LIMITADOS POR
LOS PERMISOS DEL USUARIO IMPERSONADO
• DE NUEVO, LAS POSIBILIDADES SON MUY
GRANDES, Y DEPENDEMOS DE NUESTRA
IMAGINACIÓN

José Manuel
Redondo López
 V Armitage: Objetivo con SO Linux

• POR SUPUESTO, ES POSIBLE TAMBIÉN OBTENER UN

LISTADO DE LOS USUARIOS DEL SISTEMA
• YCON ELLO, FACILITAR FUTUROS ATAQUES DE FUERZA
BRUTA CONTRA LOS MISMOS, AL NO TENER QUE
AVERIGUAR USERNAMES
• ¿PUEDE ADEMÁS ESTE USUARIO ACCEDER AL FICHERO
SHADOW DEL SISTEMA DONDE SE GUARDAN LAS HASHES
DE LAS CLAVES?
• ¿PUEDE EL USUARIO ACCEDER AL SERVIDOR MYSQL QUE
ESTÁ EJECUTÁNDOSE Y SACAR LAS HASHES DE LOS
USUARIOS DE LA WEB ALOJADA?
• COMO VEIS, A LA HORA DE HACER PENTESTING / CTF
LA CREATIVIDAD A LA HORA DE USAR NUESTRO
RECURSOS ES UN RECURSO MUY VALIOSO ☺

José Manuel
Redondo López
 V Post-Exploiting
• SI LOGRAMOS ACCESO AL SISTEMA, ES HORA DE SACARLE PARTIDO Y AUMENTAR LO QUE PODEMOS HACER
• PARA ELLO, ES CONVENIENTE USAR LA SECCIÓN CORRESPONDIENTE DE LA PARTE DE EXPLOITING
• O HACER UNAS PRUEBAS RÁPIDAS CON UNA SERIE DE SCRIPTS DISPONIBLES PARA CADA SO, QUE COMPRUEBEN LA VIABILIDAD DE
HACER CIERTAS OPERACIONES O SUGIERAN FORMAS DE ACTUACIÓN

• EL OBJETIVO ES SIEMPRE EL MISMO: TOMAR EL CONTROL DEL SISTEMA (ROOT / ADMINISTRADOR)

• LINUX
• linux-local-enum.sh: https://github.com/Arr0way/linux-local-enumeration-script
• inuxprivchecker.py: https://gist.github.com/killswitch-GUI/0715e17215bdbff3da5148986f6df59f
• linux-exploit-suggestor.sh: https://github.com/sneakymonk3y/linux-exploit-suggester/blob/master/linux-exploit-
suggester.sh
• unix-privesc-check.py: https://github.com/pentestmonkey/unix-privesc-
check/tree/de8223a7b2ff3ed8fa6344cf4a358ec624e42270
• WINDOWS
• windows-exploit-suggestor.py: https://github.com/GDSSecurity/Windows-Exploit-
Suggester/tree/776bd91259c081588f99b5b0b9aa54e8c5fdf5ad
• windows_privesc_check.py: https://github.com/silentsignal/wpc
• windows-privesc-check2.exe: https://github.com/pentestmonkey/windows-privesc-check
José Manuel
Redondo López
 V linux-local-enum.sh

• UNA VEZ QUE SEAMOS UN USUARIO DEL SISTEMA,

DESCARGAR UN SCRIPT DE ESTOS Y EJECUTARLOS ES LO
MISMO QUE HACERLO EN LOCAL
• AQUÍ PROBAMOS LINUX-LOCAL-ENUM.SH
DESCARGÁNDOLO DE GITHUB CON WGET (DISPONIBLE
EN LA MÁQUINA ATACADA), CAMBIÁNDOLE LOS
PERMISOS PARA QUE SEA EJECUTABLE Y LANZÁNDOLO
• GENERA UNA GRAN CANTIDAD DE INFORMACIÓN
ACERCA DEL SISTEMA, QUE DEBE EXAMINARSE PARA
VER SI SE PUEDE USAR PARA UN ATAQUE POSTERIOR
• NO OBSTANTE, GENERA MUCHA INFORMACIÓN, Y POR
ELLO LLEGA A COLAPSAR LA SALIDA DE NUESTRO SHELL
• LO MÁS ACONSEJABLE ES VOLCAR LA SALIDA A UN
FICHERO Y DESCARGÁRNOSLO O ENVIARLO VÍA FTP O
SIMILAR A UNA MÁQUINA QUE CONTROLEMOS

José Manuel
Redondo López
 V inuxprivchecker.py

• NO OBSTANTE, CON LA MÁQUINA EXPLOTADA

TAMBIÉN TENEMOS LA OPCIÓN DE SUBIR
FICHEROS QUE NOS AYUDEN A NUESTRAS
TAREAS DE POST-EXPLOTACIÓN
• ESTO ES LO QUE HACEMOS AQUÍ CON
INUXPRIVCHECKER.PY, DESCARGADO DE SU
WEB OFICIAL
• EN GENERAL, TODO DEPENDERÁ DE SI
TENEMOS INSTALADA UNA HERRAMIENTA EN
EL SISTEMA EXPLOTADO QUE NOS PERMITA
HACER DESCARGAS O NO
• OTAMBIÉN QUÉ TRAZA QUEREMOS DEJAR EN
LOS LOG DEL SISTEMA
José Manuel
Redondo López
 V inuxprivchecker.py

• EL
OBJETIVO DE ESTA CLASE DE SCRIPTS ES OBTENER INFORMACIÓN DEL SISTEMA EN EL
QUE HEMOS ENTRADO
• EN CONDICIONES NORMALES, SE REQUIERE UN EXAMEN DETALLADO DE LA MISMA PARA
VER COMO SE PUEDE SACAR PARTIDO DE ELLA, QUÉ SE PUEDE EJECUTAR, ATACAR,
CAMBIAR…
• PERO CON ESTE SCRIPT CONCRETO TODO ES MÁS FÁCIL…

José Manuel
Redondo López
 V inuxprivchecker.py

• …PORQUE AL FINAL ACABA SUGIRIÉNDONOS EXPLOITS QUE PODRÍAN FUNCIONAR

• INCLUSO CLASIFICADOS POR LA PROBABILIDAD DE QUE LO HAGAN
• E INCLUSO NOS DA EL ENLACE CONCRETO A CADA UNO DE ELLOS EN LA EXPLOIT-DB
• COMO VEMOS, ¡NOS PUEDE AHORRAR MUCHO TRABAJO!
• ELRESTO DE SCRIPTS LISTADOS TRABAJAN EN LA MISMA LÍNEA QUE ESTE, POR LO QUE NO LOS PROBAREMOS PARA
AVANZAR UN POCO MÁS

José Manuel
Redondo López
 V Exploits de la exploit-db

• CON LOS DATOS QUE DA LA HERRAMIENTA PODEMOS

IR A BUSCAR EL EXPLOIT A LA BASE DE DATOS
• EN LA FICHA DEL EXPLOIT NOS EXPLICA
• Si es local (necesitas estar en la máquina como usuario
para que funcione) o remoto
• Los CVE con los que se relaciona (con ellos podemos
saber más de la vulnerabilidad asociada
• Dónde descargar el código, para compilarlo y lanzarlo
en el sistema remoto
• Es una buena aproximación tratar de compilarlo en
nuestra máquina y subirlo con las funcionalidades que
vimos en Armitage
• Y seguir todas las indicaciones que nos da para que
funcione
• ¡ESTÁ TODO EXPLICADO EN LA FICHA!

José Manuel
Redondo López
 V Exploits de la exploit-db

• EXAMINANDO EL CÓDIGO FUENTE DEL EXPLOIT

ENCONTRAMOS TODOS LOS DETALLES DE
COMPILACIÓN / APLICACIÓN
• POR DESGRACIA PARA NOSOTROS, ESTE
EXPLOIT REQUIERE UNA SITUACIÓN MUY
ESPECÍFICA, CON UN MYSQL CONFIGURADO DE
UNA FORMA CONCRETA Y CREAR UNA SERIE
DE USUARIOS / TABLAS CONCRETOS
• AUNQUE PODRÍA SER VIABLE, ES DEMASIADO
COMPLEJO PARA NUESTRO ESCENARIO
• PERO ILUSTRA LA FORMA DE TRABAJAR POR
ESTA VÍA ☺

José Manuel
Redondo López
 V Módulos de post-exploiting de Metasploit

• OTRA FORMA DE LOGRAR ESCALADO DE PRIVILEGIOS ES USAR

LOS MÓDULOS “POST” (POST-EXPLOITING) DE MSF A TRAVÉS
DE ARMITAGE

• UNO DE LOS MÁS PROMETEDORES ES SSH_CREDS, QUE PUEDE

EXTRAER LAS CREDENCIALES DE CONEXIÓN SSH DE LOS
USUARIOS DEL SISTEMA

• LO LANZAMOS PASÁNDOLE EL Nº DE SESIÓN DEL SHELL QUE

HEMOS ABIERTO ANTES (EN NUESTRO CASO ES EL 3, QUE DEBE
SEGUIR ABIERTO)
• Armitage ya selecciona uno por defecto
• DESGRACIADAMENTE, EN NUESTRO CASO NO ES CAPAZ …
• LA DOCUMENTACIÓN OFICIAL DE TODOS ELLOS SE ENCUENTRA
AQUÍ: HTTPS://WWW.OFFENSIVE-SECURITY.COM/METASPLOIT-
UNLEASHED/POST-MODULE-REFERENCE/
• Requiere paciencia, revisión y prueba de los más
prometedores…
José Manuel
Redondo López
 V ¿No nos estaremos complicando mucho la vida?

• EN EL AFÁN POR LOGRAR ESCALADA DE PRIVILEGIOS POR

MÉTODOS TÍPICOS, SE NOS OLVIDÓ LA OPCIÓN MÁS SIMPLE

• ¿Y SI EL USUARIO QUE HEMOS INTERCEPTADO ES SUDOER?

• En ese caso, puede hacer sudo su y ¡tenemos escalada
de privilegios sin complicaciones ni hacks!
• PERO HAY UN PROBLEMA: EJECUTAR ESTO DESDE UN BIND
SHELL NOS MUESTRA UN ERROR DE QUE NO HAY TTY Y LA
PASSWORD NO SE PUEDE LEER

• POR SUERTE, ESTA RESTRICCIÓN PUEDE SOLUCIONARSE CON EL

PARÁMETRO -S DE SUDO: LEERÁ LA PASSWORD DESDE LA Got r00t? YEAH!
ENTRADA ESTÁNDAR
• Y, aunque muestra un error…¡lo conseguimos!
• SUDO -L ADEMÁS NOS LISTA QUÉ COMANDOS PODRÍAMOS
EJECUTAR CON SUDO CON EL USUARIO ACTUAL
• Manual de sudo:
https://www.sudo.ws/man/1.7.4p6/sudo.man.html
José Manuel
Redondo López
 V I’m …(g) root

• ¡SOMOS ROOT!
¿QUÉ PASARÍA SI ESTO OCURRIESE EN LA VIDA REAL Y LO HICIESE UN
ATACANTE MALICIOSO?
• Hacer de pivot no es una posibilidad: es una certeza
• Tocar las rutas del firewall es posible sin restricciones
• Las máquinas de la red local son las siguientes víctimas…
• Poder borrar / cambiar / alterar lo que se quiera en el sistema de ficheros
• Ejecutar cualquier programa instalado / instalar nuevos (incluido malware)
• Denegar servicios
• Alterar las webs alojadas para que sean maliciosas / troyanizar la máquina
• Y, en general, ser dueño absoluto de la máquina
• EN UNA CTF, ESTO SUPONE CONSEGUIR LA BANDERA DEFINITIVA DE LA MÁQUINA
EXPLORADA ¡GANAMOS! ☺

José Manuel
Redondo López
 V Escalada de privilegios

• SI ESTAS TÉCNICAS NO SURTEN RESULTADO, SE PUEDE CONSULTAR LA SECCIÓN

CORRESPONDIENTE DE ESCALADO DE PRIVILEGIOS
• ADEMÁS, SI SOLO PRETENDEMOS USAR LA MÁQUINA DE PIVOTING, EL COMANDO
PORTFWD DE METASPLOIT PUEDE SER LO ÚNICO QUE NECESITEMOS:
HTTPS://WWW.OFFENSIVE-SECURITY.COM/METASPLOIT-UNLEASHED/PORTFWD/
• O ENCONTRAR EXPLOITS QUE NOS PERMITAN ESCALAR PRIVILEGIOS POR LA VERSIÓN
DEL KERNEL DE LA MÁQUINA ATACADA:
HTTPS://WWW.BLACKMOREOPS.COM/2017/01/17/FIND-LINUX-EXPLOITS-BY-KERNEL-VERSION/

• PODEMOS TAMBIÉN MIRAR TUTORIALES ESPECÍFICOS DE ESCALADA DE PRIVILEGIOS:

HTTPS://PAYATU.COM/BLOG_12

José Manuel
Redondo López
 V Y, finalmente…

• FINALMENTE, TERMINADA LA INTRUSIÓN, HAY UNA SERIE DE PASOS QUE SE SUELEN

REALIZAR
• Capturas de pantalla, ipconfig / ifconfig y whoami: para documentar lo que se ha
hecho y hasta donde se ha llegado a la hora de hacer un informe
• Volcado de hashes
• Volcado de claves SSH: con suerte, con ellas podremos entrar como cualquier usuario
sin que ser nos pida la clave
• Borrado de archivos / logs para no dejar trazas
• Documentación final para el cliente si es un pentesting contratado, siguiendo lo dicho
en la sección Reporting
• Y si es una CTF, buscar y poner la “bandera” en donde se indique para obtener puntos
☺

José Manuel
Redondo López
 V Más módulos de post-exploiting de Metasploit
• AUNQUE YA SABEMOS MANEJARNOS CON ÉL, ABARCAR TODAS LAS
OPCIONES DE METASPLOIT ES UN TRABAJO IMPOSIBLE DE HACER AQUÍ
• PERO UN BUEN COMIENZO ES MIRAR SU DOCUMENTACIÓN OFICIAL
• CheatSheet con operaciones muy comunes:
https://www.sans.org/security-
resources/sec560/misc_tools_sheet_v1.pdf
• Comandos: https://www.offensive-security.com/metasploit-
unleashed/msfconsole-commands/
• Localización de los distintos módulos y partes del framework:
https://www.offensive-security.com/metasploit-
unleashed/modules-and-locations/
• Documentación oficial de todos los payloads disponibles:
https://www.offensive-security.com/metasploit-
unleashed/payloads/
• Documentación oficial de todos los módulos de post-
exploiting disponibles: https://www.offensive-
security.com/metasploit-unleashed/post-module-reference/
• Documentación oficial de todos los módulos auxiliares
disponibles: https://www.offensive-security.com/metasploit-
unleashed/auxiliary-module-reference/
• Como hacer pentesting con el exploit BlueKeep (lo último de
lo último en 2019 ☺): https://blog.rapid7.com/2019/09/06/initial-
metasploit-exploit-module-for-bluekeep-cve-2019-0708/
José Manuel
Redondo López
 V Más módulos de post-exploiting de Metasploit

• UNO DE LOS MÓDULOS DE POST-EXPLOITING MÁS INTERESANTES ES EL QUE NOS

VUELCA LAS HASHES DE LAS CLAVES DE LOS USUARIOS DEL SISTEMA
• CON ELLO HAREMOS UNA DE LAS TAREAS FINALES INDICADAS ANTES
• CON ESTA INFORMACIÓN, PODEMOS USAR LAS HERRAMIENTAS INDICADAS AQUÍ PARA
SACAR LAS CLAVES DE OTROS USUARIOS DEL SISTEMA
• CLAVES Y USUARIOS QUE PODRÍAN FUNCIONAR EN OTRAS MÁQUINAS DE LA
INFRAESTRUCTURA…
• DE NUEVO, LA IMAGINACIÓN Y LA CREATIVIDAD SON DETERMINANTES ☺

José Manuel
Redondo López
 V Módulos de post-exploiting de Metasploit

• FINALMENTE, UNO DE LOS MÓDULOS DE

POST-EXPLOITING MÁS SENCILLO DE ENTENDER
Y FLEXIBLE ES EXECUTE
• CON EL PODREMOS EJECUTAR CUALQUIER
COMANDO VÁLIDO EN EL SISTEMA REMOTO
• Y LAS POSIBILIDADES DE OBTENCIÓN DE
INFORMACIÓN (FTP), MODIFICACIÓN DE
DATOS, ARRANQUE DE PROCESOS QUE ESTÉN
A LA ESCUCHA DE CONEXIONES (SSHD), DOS
(KILL) Y UN LARGO ETC. SON ALTÍSIMAS
• DE NUEVO…¡IMAGINACIÓN Y CREATIVIDAD!
• SOLO LIMITADA POR LOS PERMISOS DEL
USUARIO CON EL QUE HAYAMOS ENTRADO ☺
José Manuel
Redondo López
 V Y ahora…¡a por el Windows!

• ATACARLA MÁQUINA WINDOWS UNA VEZ QUE HEMOS

ATACADO LA LINUX CONLLEVA SEGUIR LOS MISMOS
PASOS QUE HEMOS HECHO
• Scan -> Find Attacks -> seleccionar ataques
(ver imagen)
• PARA NO REPETIRNOS, VAMOS A APROVECHARNOS DE
LA CIRCUNSTANCIA DE QUE HEMOS DETECTADO LA
EXISTENCIA DE UN WORDPRESS INSTALADO
• WORDPRESS ES UN AGUJERO DE SEGURIDAD CON UNA
PROBABILIDAD ALTA ☺
• POR TANTO, ENLUGAR DE USAR LA VÍA ARMITAGE /
MSF VAMOS A HACER ALGO MÁS AVANZADO: USAR
DOS HERRAMIENTAS DE ATAQUE COMBINADAS
• ¡WPSCAN + MSF EN ACCIÓN!
José Manuel
Redondo López
 V Wordpress reloaded

• WPSCAN NO SOLO PERMITE DESCUBRIR

VULNERABILIDADES EN INSTALACIONES DE WORDPRESS,
TAMBIÉN TIENE UNA SERIE DE MÓDULOS DE ATAQUE
• EL PRIMERO DE ELLOS SE VE EN LA IMAGEN, Y ES LA
ENUMERACIÓN DE USUARIOS
• EN ESTE CASO NOS DESCUBRE QUE EL ADMINISTRADOR
POR DEFECTO DE WORDPRESS EXISTE, Y QUE EL
PROPIETARIO NO HA RENOMBRADO LA CUENTA (COMO
DEBERÍA HABER HECHO)
• LA HERRAMIENTA TIENE MÁS OPCIONES:
HTTPS://BLOG.SUCURI.NET/ESPANOL/2015/12/USAND
O-WPSCAN-ENCONTRANDO-VULNERABILIDADES-DE-
WORDPRESS.HTML

José Manuel
Redondo López
 V Sacando la password de Wordpress

• OTRO MÓDULO PERMITE SACAR CLAVES POR FUERZA

BRUTA, COMO TAMBIÉN SE VE EN LA IMAGEN
• PARA FACILITAR LA TAREA, TENEMOS AYUDAS
• EL USUARIO QUE SACAMOS ANTES: NO TODO VA A
TENER QUE INFERIRSE
• LAS WORDLISTQUE USAMOS PARA UN ATAQUE
ANTERIOR, CON LAS CLAVES MÁS COMUNES
• LANZAMOS EL MÓDULO Y….¡BINGO!
• ¡ELADMINISTRADOR DE WORDPRESS HA PUESTO UNA
CLAVE SUPER-SEGURA QUE NADIE USA! :’D
• (NOTA: ESTO NO ES BROMA, OCURRE Y DEMASIADO A
MENUDO)

José Manuel
Redondo López
 V ¿Y esto para qué nos sirve?

• PUEDE PENSARSE QUE HACERSE CON LA CLAVE DE ADMIN DE UN WORDPRESS NOS

PERMITE CAMBIAR EL SITIO WEB QUE ADMINISTRA Y HACER LO QUE SE QUIERA CON EL
MISMO
• Información falsa
• Introducir malware y vulnerabilidades en el código
• Redirigir a sitios maliciosos
• …
• TODO ESTO ES CIERTO, PERO…¿Y SI LO PUDIÉRAMOS USAR PARA TOMAR EL CONTROL
DE LA MÁQUINA TAMBIÉN?
• ES DECIR, PARA OBTENER UNA SHELL / METERPRETER POR ESTA VÍA
• ¿SE PUEDE HACER ESO A PESAR DE SER UNA WEB? SI, SI QUE SE PUEDE ☺
José Manuel
Redondo López
 V We … are venom

• MSFVENOM ES UN GENERADOR DE PAYLOADS QUE PERTENECE AL MSF

• ¿PARA QUE SIRVE? GENERA PROGRAMAS / SCRIPTS CON DIFERENTES EFECTOS USABLES EN ESCENARIOS
DE PENTESTING Y EN DISTINTOS LENGUAJES
• Cuando estos programas logran ejecutarse, la acción se desencadena, permitiendo a una
máquina remota aprovechar el efecto del payload para lograr acceso a la misma
• No se limita solo a ejecutables, también admite lenguajes del servidor en un servidor web,
como ficheros .php o .asp
• Si conseguimos que se ejecute uno de estos como parte de una aplicación (página de una web),
o ejecutarlo nosotros (sin problema de permisos), habremos completado el exploiting
• POR TANTO, LAS VULNERABILIDADES DE RFI, EL SPOOFING DE CONEXIONES DE RED (CON REDIRECCIÓN
DE LAS PÁGINAS QUE SE SOLICITEN), LA FUNCIONALIDAD DE SUBIR ARCHIVOS Y OTRAS FUNCIONALIDADES
SIMILARES DE REPENTE SE VUELVEN MUCHO MÁS PELIGROSAS POR CULPA DE MSFVENOM
• O INCLUSO SIMPLEMENTE ENTRAR EN UN SISTEMA COMO UN USUARIO ESTÁNDAR ¡LAS POSIBILIDADES
SON INFINITAS (ESPECIALMENTE SI HAY PROBLEMAS DE PERMISOS)!
• MÁS INFORMACIÓN: HTTPS://WWW.OFFENSIVE-SECURITY.COM/METASPLOIT-UNLEASHED/MSFVENOM/
José Manuel
Redondo López
 V Envenenando el Wordpress

• ¿PERO ESTO ES EN SERIO? ¡CLARO! AHORA COMO ADMIN DE WORDPRESS TENGO LA CAPACIDAD DE CAMBIAR CUALQUIER PÁGINA DEL SITIO CREADO

• VAMOS A HACERLO CON LA PÁGINA DE ERROR 404 POR DEFECTO DEL TEMA USADO
• SUSTITUIREMOS SU CÓDIGO POR ALGO QUE NOS GENERE MSFVENOM

José Manuel
Redondo López
 V Generando un payload adecuado

• LANZAMOS EL GENERADOR PIDIENDO QUE NOS CREE UN

PAYLOAD CON LAS SIGUIENTES CARACTERÍSTICAS
• Ejecuta un reverse shell que lanza un meterpreter,
incluyendo en la generación del mismo el módulo
php/meterpreter/reverse_tcp
• Permite la conexión solo de desde nuestra máquina
Kali (192.168.14.10) desde el puerto 3000
• LA EJECUCIÓN GENERA UN CÓDIGO PHP EJECUTABLE, QUE
PODEMOS PEGAR EN LA WEB QUE ESTAMOS EDITANDO

• EN OTROS ESCENARIOS PODRÍAMOS SUBIRLO A UNA WEB QUE

ADMITA ARCHIVOS QUE NO SE FILTREN ADECUADAMENTE,
BIEN COMO PARTE DEL SITIO (.ASP, .PHP) O COMO FICHERO
SUBIDO (.EXE) Y EJECUTAR EL MISMO

• EL TIPO DE ATAQUE PUEDE SER EL MISMO (VER

DOCUMENTACIÓN PARA TIPOS DE ATAQUE PERMITIDOS), PERO
EL LENGUAJE HAY QUE ADAPTARLO AL ENTORNO

José Manuel
Redondo López
 V Reemplazando la web por una maliciosa

• EN OTRAS PALABRAS, NUESTRA PÁGINA DE ERROR 404 ES AHORA MALICIOSA, NOS PERMITE ABRIR UN
REVERSE SHELL Y NO HEMOS TENIDO QUE TOCAR UNA LÍNEA DE CÓDIGO
• ¡NI SIQUIERA ES NECESARIO ENTENDER LO QUE PASA EN EL CÓDIGO PARA USARLO!
• ESCRIBIMOS PUES EL CÓDIGO EN LA WEB QUE QUEREMOS TROYANIZAR Y GUARDAMOS
• ¡WORDPRESS YA ESTÁ COMPROMETIDO!

José Manuel
Redondo López
 V ¿Pero cómo le saco partido a esto? multi/handler de MSF

• EL PRINCIPAL PROBLEMA QUE TENEMOS ES QUE EL EXPLOIT GENERADO NO SE LANZA DESDE MSF
• Es decir, hasta ahora habíamos usado la secuencia use <exploit> - set <parametros del
exploit> run / exploit dentro del framework, ejecutándolo manualmente
• Pero ahora tenemos un ejecutable que se arrancará en una máquina remota que muy
probablemente no tiene MSF instalado, y ni siquiera sabemos cuando lo hará
• PARA ESTE ESCENARIO SE USA EL MULTI/HANDLER, QUE ES UN PROGRAMA QUE MANEJA LOS EXPLOITS QUE
SE ARRANCAN FUERA DE MSF
• PARA QUE FUNCIONE DEBEMOS
• Decirle que tipo de payload (efecto malicioso) debe esperar recibir del exploit lanzado
• Y no nos podemos equivocar: si no coincide, no funciona
• Seleccionar la IP y puerto en el que escucha, que también debe coincidir con lo especificado
en el exploit
• Además, el multi/handler debe arrancarse primero que el exploit asociado al mismo
• Cuando el exploit se lance, multi/handler recibirá la petición y ejecutará el payload especificado si
todo es correcto

José Manuel
• MÁS INFORMACIÓN: HTTPS://WWW.OFFENSIVE-SECURITY.COM/METASPLOIT-UNLEASHED/BINARY-PAYLOADS/
Redondo López
 V Conectando la página explotada con nuestra máquina

• ¿PEROENTONCES ES COMO USAR MSF SIN MSF? SI,

PERO EN LA MÁQUINA ATACADA
• ENLAS IMÁGENES VEMOS LA SECUENCIA DE ACCIONES
A REALIZAR, TODAS DESDE LA MÁQUINA KALI ATACANTE
• Seleccionamos el multi/handler (use) y
configuramos sus parámetros para que
coincidan con los del exploit generado
• Lanzamos el exploit simplemente visitando la
página que hemos modificado
• Al ser un script PHP, una visita ejecuta su payload
• En este caso lo hemos hecho nosotros, pero
valdría cualquier visita hecha por cualquier
usuario legítimo a esa página
• ¡Nos quedaríamos simplemente a la espera de
una “víctima”!

José Manuel
Redondo López
 V Pwnd!!

• ¡FUNCIONA! ESTE ES UN EJEMPLO DE UNA

MÁQUINA ATACANTE QUE SE QUEDA
“VIGILANTE” A LA ESPERA DE SU “VICTIMA”
• ESTE VECTOR DE ATAQUE TIENE OTRAS
MUCHAS APLICACIONES, TANTAS COMO SITIOS
DONDE PODAMOS COLOCAR UN PAYLOAD DE
UN EXPLOIT GENERADO CON MSFVENOM
• YSI, ACABAMOS DE CONSEGUIR ACCESO A
UNA MÁQUINA A BASE DE CAMBIAR EL
CÓDIGO DE UNA WEB ALOJADA EN LA MISMA
• ¡LA PROTECCIÓN ADECUADA DE LOS
SERVIDORES WEB ES MÁS IMPORTANTE DE LO
QUE PARECE!
José Manuel
Redondo López
 V Feel the power of Meterpreter

• LO REALMENTE POTENTE DE ESTA ACCIÓN ES QUE NO LANZAMOS UNA SHELL DEL SISTEMA, LANZAMOS
EL PAYLOAD MÁS VERSÁTIL, FAMOSO Y POTENTE DE MSF: METERPRETER (QUE DESCRIBIMOS AQUÍ)
• ESTEPAYLOAD TIENE LA CAPACIDAD DE EJECUTAR ACCIONES MUY AVANZADAS EN LA MÁQUINA
COMPROMETIDA, SI NO HAY NADA EN DICHA MÁQUINA QUE SE LO IMPIDA POR ALGÚN MOTIVO
• EN LA IMAGEN VEMOS ALGUNAS DE ESTAS ACCIONES: ESCALAR PRIVILEGIOS, ROBAR EL TOKEN DE SESIÓN
DE UN USUARIO, PERSISTIR LA INTRUSIÓN (CADA VEZ QUE LA MÁQUINA SE REINICIE ESTA FORMA DE
ACCESO ESTARÁ DISPONIBLE PORQUE SE CREARÁ EN LOS FICHEROS DE ARRANQUE EL CÓDIGO NECESARIO
PARA ELLO), ETC.
• COMO VEMOS, SI CONSEGUIMOS UN METERPRETER SOBRE UNA MÁQUINA REMOTA EL ARMITAGE NOS
MOSTRARÁ UN MENÚ NUEVO INDICANDO ESTE HECHO

José Manuel
Redondo López
 V Feel the power of Meterpreter

• ENTRE LAS COSAS POSIBLES QUE PUEDE HACER

UN METERPRETER, SE ENCUENTRA
• Recorrer el sistema de ficheros
• Ver los procesos en marcha
• Hacer de keylogger (con el compromiso a
la privacidad y las claves que supone)
• Tomar capturas de pantalla de lo que se
está haciendo
• Ordenarle a una cámara web que tome una
foto de lo que está delante de la pantalla
• COMO VEIS, LO QUE CUENTA EL FAMOSOS
CORREO DE PHISING ES TÉCNICAMENTE
POSIBLE, PERO A LA VEZ MUY DIFÍCIL DE
EJECUTAR REALMENTE
José Manuel
Redondo López
 V Feel the power of Meterpreter

• COMO MUESTRA DE LAS ACCIONES SE MUESTRA LA LISTA DE CARPETAS DEL

SERVIDOR COMPROMETIDO
• AHORA PODRÍAMOS CREAR DIRECTORIOS, SUBIR FICHEROS, ETC.
• ¡LA MÁQUINA COMPROMETIDA YA NO TIENE SECRETOS PARA NOSOTROS!

José Manuel
Redondo López
 V We didn’t start the fire…

• SI ESTE USO DE MSFVENOM TE HA PARECIDO INTERESANTE, LOS SIGUIENTES

ENLACES TE DARÁN UNA IDEA MÁS COMPLETA DE LO QUE PUEDE HACER
• MSFvenom Payload Creator for Red Team Tactics:
https://www.codementor.io/packt/msfvenom-payload-creator-for-red-team-tactics-
qewdwa150
• Tutorial de uso general: https://www.offensive-security.com/metasploit-
unleashed/msfvenom/
• Cheatsheet (referencias rápidas para usos comunes)
• https://burmat.gitbook.io/security/hacking/msfvenom-cheetsheet
• https://redteamtutorials.com/2018/10/24/msfvenom-cheatsheet/
• https://nitesculucian.github.io/2018/07/24/msfvenom-cheat-sheet/

José Manuel
Redondo López
 V ¿Y para otros servicios / software, que hago?

• DADO QUE ESTO ES UNA INTRODUCCIÓN PARA EXPLICAR UN POCO COMO VA TODO EL
PROCESO DESDE CERO, NI PODEMOS NI PRETENDEMOS CUBRIR COMO EXPLOTAR TODOS
LOS POSIBLES SERVICIOS / SOFTWARE QUE NOS PODAMOS ENCONTRAR
• PERO EN LA ERA DE LA INFORMACIÓN, TODO ESTÁ AL ALCANCE DE GOOGLE ☺
• UNOS EJEMPLOS:
• Como explotar un servidor ColdFusion: https://nets.ec/Coldfusion_hacking
• Como explotar servidores que Nikto reporte como vulnerables a Shellsock:
https://www.sneakymonkey.net/2017/08/20/ctf-boot2root-sick-os-1-1-2/
• Exploiting de sistemas de ficheros NFS (si showmount nos hubiera devuelto algo
positivo…): https://resources.infosecinstitute.com/exploiting-nfs-share/#gref
• Algo a probar con alta probabilidad de éxito si te encuentras con una máquina
Windows XP: https://iuberpwned.wordpress.com/2014/08/11/hacking-windows-xp-
sp3-the-easy-way-using-armitage-in-kali/
José Manuel
Redondo López
 V ¿Y para otros servicios / software, que hago?

• Explotando los servicios WinRM: https://pentestlab.blog/2018/05/15/lateral-

movement-winrm/
• Explotando PhpMyAdmin:
https://www.rapid7.com/db/modules/exploit/multi/http/phpmyadmin_null_termination_exec
• Explotando los servicios RPC de Windows:
https://medium.com/@nancyjohn_95536/using-kali-linux-for-gaining-access-
windows-machine-8295ec00af6c
• El archifamoso EternalBlue, aún no parcheado en muchos servidores (algunos
modernos), con capacidad de sacarnos un reverse shell: https://null-
byte.wonderhowto.com/how-to/exploit-eternalblue-windows-server-with-metasploit-0195413/
• ¿Hubiera funcionado en nuestro Windows de pruebas? No tengo pruebas, pero tampoco
dudas ☺
• Sin duda, es algo que probaría en cualquier máquina Windows de un CTF ☺
• BUSCA,COMPARA, Y SI ENCUENTRAS ALGO TENTADOR, PRUÉBALO! ¡NUNCA SABES LO
QUE TE VA A DAR PUNTOS EN UN CTF O PRUEBA SIMILAR!
José Manuel
Redondo López
 V ¿Y para otros servicios / software, que hago?

• METASPLOIT ES TAN GRANDE Y TIENE TANTAS COSAS A PROBAR QUE ABARCARLO TODO
NO ES POSIBLE, AL MENOS CON LOS OBJETIVOS DE ESTA PRESENTACIÓN
• HAY MUCHOS MÁS EXPLOITS CON EFECTOS VARIADOS, MÓDULOS DE POST-
EXPLOTACIÓN Y AUXILIARES QUE NOS PUEDEN SER ÚTILES EN MUCHAS OCASIONES
• PERO LA FORMA GENERAL DE TRABAJAR CON ELLOS ES LA MISMA QUE HEMOS VISTO,
POR LO QUE AHORA, SI OS INTERESA, DEBERÍAIS SER CAPACES DE ENFRENTAROS A
ELLOS CON GARANTÍAS…¡Y APRENDER POR VUESTRA CUENTA!
• ALGUNAS LECTURAS INTERESANTES COMPLEMENTARIAS
• https://books.google.es/books?id=T_LlAwAAQBAJ&pg=PA299&lpg=PA299&dq=sshexec+expl
oit&source=bl&ots=NVFR2_GsOY&sig=ACfU3U3yXpOfBDcADIJanO9lzdaUXiUudQ&hl=es&sa=
X&ved=2ahUKEwjlgKD37P_kAhXIA2MBHXcLBWQQ6AEwA3oECAkQAQ#v=onepage&q=sshexe
c%20exploit&f=false
• https://www.offensive-security.com/metasploit-unleashed/psexec-pass-hash/
• https://www.randomserver.xyz/content/cyberbooks/Penetration%20Testing_%20A%20Hands-
José Manuel
O%20-%20Georgia%20Weidman_8.pdf
Redondo López
 V ¿Y si tengo que hacerle pentesting a una web?

• ENCASO DE QUE EL CTF CONSISTA EN ATACAR UNA WEB Y NO LA INFRAESTRUCTURA

QUE HAY POR DEBAJO, HAY QUE CAMBIAR LA SECUENCIA DE PASOS A DAR
• VAMOS A INDICAR UNA POSIBLE SECUENCIA DE PASOS, PONIENDO PRIMERO LOS TEST
QUE DEBERÍAMOS EJECUTAR EN PRIMER LUGAR
• COMO HACER CADA UNO DE LOS TEST SE PUEDE SACAR DE VARIOS SITIOS (EN ORDEN
SUGERIDO DE CONSULTA)
• De la OWASP Pentesting Guide más moderna
• https://www.owasp.org/index.php/OWASP_Testing_Guide_v4_Table_of_Contents
• https://github.com/OWASP/wstg
• También te explica la terminología, nombre y propósito de los posibles ataques a la web
• De las distintas secciones con herramientas para la web vistas en nuestra clasificación
• De las guías de aprendizaje del material recomendado FileSync y EraLiteraria
• De los enlaces que pondremos en algunos puntos de la lista
José Manuel
Redondo López
 V Procedimiento de pentesting para la web

• TEST DE REFLECTED XSS, STORED XSS Y DOM-BASED XSS

• https://portswigger.net/web-security/cross-site-scripting/cheat-sheet
• https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet
• TEST DE CROSS-SITE FLASHING
• TEST DE CSRF:
• https://www.owasp.org/index.php/Category:OWASP_CSRFTester_Project/es
• TEST GENERALES DE INYECCIÓN DE DISTINTAS CLASES DE ELEMENTOS
• Test de HTML Injection
• Test de SQL Injection
• Test de LDAP Injection
• Test de ORM Injection
• Test de XML Injection
• Test de XXE Injection
• Test de SSI Injection
• Test de XPath Injection
• Test de XQuery Injection
José Manuel
Redondo López
 V Procedimiento de pentesting para la web

• Test de IMAP/SMTP Injection

• Test de Code Injection
• Test de CSS Injection
• https://x-c3ll.github.io/posts/CSS-Injection-Primitives/
• Test de Expression Language Injection
• Test de Command Injection
• TEST DE (STACK, HEAP E INTEGER) OVERFLOW
• TEST DE FORMAT STRING
• TEST DE HTTP SPLITTING / SMUGGLING
• TEST DE HTTP VERB TAMPERING
• TEST DE OPEN REDIRECTION
• TEST DE LOCAL FILE INCLUSION
• TEST DE REMOTE FILE INCLUSION
• TEST DE NOSQL INJECTION
• TEST DE HTTP PARAMETER POLLUTION
• TEST DE AUTO-BINDING
• TEST DE MASS ASSIGNMENT
• TEST DE NULL/INVALID SESSION COOKIE
José Manuel
Redondo López
CTFS ¿Y AHORA QUE HAGO?

¿Cómo aplico esto en un CTF?

Volver al Índice
 V CTF

• UN CTF CONSISTE EN LA CAPTURA DE UNA “BANDERA”, ES DECIR, OBTENER ALGUNA

CLASE DE INFORMACIÓN QUE NOS PIDAN DE ANTEMANO PARA GANAR
• TÍPICAMENTESUELE SER EL CONTENIDO DE UN FICHERO CUYO PROPIETARIO ES UN
USUARIO DETERMINADO (COMO ROOT)
• POR TANTO, TODO LO QUE VIMOS EN LA SECCIÓN ANTERIOR TIENE APLICACIÓN
DIRECTA EN UN CTF
• PERO
• En un CTF se trata de probar la habilidad de los jugadores para temas de hacking y
además crear un reto que os haga pensar
• Esto implica que podrían usarse elementos que no suelen encontrarse típicamente en
despliegues reales para diseñar estos retos
• Uno de ellos son las técnicas esteganográficas
José Manuel
Redondo López
 V ¿Estegano…what?

• SON TÉCNICAS PARA ESCONDER INFORMACIÓN TEXTUAL EN FICHEROS DE OTRO TIPO

• Típicamente imágenes, pero también pueden usarse otra clase de ficheros
• HAY UN FICHERO “CONTENEDOR” Y UNA INFORMACIÓN SECRETA DENTRO DE ÉL, PERO EL FICHERO NO
SUFRE MODIFICACIONES QUE PUEDAN SER APRECIADAS POR SUS USUARIOS…CON HERRAMIENTAS
NORMALES
• PUEDE SER INFORMACIÓN EMBEBIDA EN LA PROPIA ESTRUCTURA DE UN FICHERO DE IMAGEN, AL FINAL
DE LA MISMA, INTERPRETANDO LA IMAGEN VISUALMENTE…
• Y MUCHAS VECES ES INFORMACIÓN CIFRADA, POR LO QUE SIN LA CLAVE NO PODREMOS USARLA
AUNQUE LA OBTENGAMOS
• HABITUALMENTE, PARA RESOLVER UN RETO ESTEGANOGRÁFICO SE NECESITA SOFTWARE ESPECIALIZADO
• VEAMOS UNO DE ESTOS COMBINADO CON COMO USAR MSF CONTRA UN SERVIDOR MYSQL
• PODÉIS LEER OTRAS FORMAS DE HACERLO AQUÍ
• https://github.com/ctfs/write-ups-2014/tree/master/plaid-ctf-2014/doge-stege
• https://ctfs.github.io/resources/topics/steganography/invisible-text/README.html
José Manuel
Redondo López
 V Nuestro objetivo

• NOS HAN INDICADO QUE LA MÁQUINA A

ESTUDIAR ESTÁ EN LA IP 192.168.14.32 DE
NUESTRA RED LOCAL
• NO SE NOS DA NINGÚN DATO ADICIONAL
SOBRE LA MÁQUINA EN SÍ, ASÍ QUE
PROCEDEREMOS TAL CUAL HEMOS VISTO
INICIALMENTE
• LO PRIMERO POR TANTO ES LANZARLE UN NMAP
QUE NOS DE INFORMACIÓN DETALLADA DEL
SERVIDOR

José Manuel
Redondo López
 V ¿Qué ven tus ojos de elf…hacker?

Open SSH 7.6p1 para Ubuntu para acceso remoto

Apache 2.4.29 para Ubuntu corriendo un portal

web de una empresa que ofrece clases de Yoga de
rehabilitación. Además, detecta que tiene un
robots.txt accesible

El resto de cosas detectadas ya las vimos en un

José Manuel ejemplo anterior, por lo que no me repetiré
Redondo López
 V ¡Hay una web operativa!
• EFECTIVAMENTE, ESTE SERVIDOR TIENE UN PORTAL WEB DE UNA EMPRESA NAVEGABLE
• COMO VIMOS AL PRINCIPIO DE ESTA PRESENTACIÓN, PODRÍAMOS INSPECCIONAR SU CÓDIGO FUENTE EN BUSCA DE
INFORMACIÓN INTERESANTE
• DESGRACIADAMENTE, NO LA TIENE: EL CÓDIGO FUENTE ES SENCILLO Y SIN COMENTARIOS U OTROS DATOS QUE DELATEN
ALGO INTERESANTE

José Manuel
Redondo López
 V Ha aparecido un robots.txt…

• PERO NMAP DETECTÓ UN ROBOTS.TXT…

• Este fichero se usa para indicar los
buscadores que no indexen las páginas o
directorios que incluyen
• Se suele usar (equivocadamente) para
esconder partes privadas de una web del
alcance de los buscadores
• Pero no es de obligado complimiento, y si
sabes que hay uno, vas a ir a leerlo
• CONFIRMAMOS ADEMÁS SU EXISTENCIA CON
NIKTO Y DETECTAMOS ALGÚN PROBLEMA DE
CONFIGURACIÓN ADICIONAL A LOS QUE
VIMOS ANTES
José Manuel
Redondo López
 V ¡Listado de directorios!

• ESTE SERVIDOR TIENE UN PROBLEMA DE CONFIGURACIÓN

GRAVE E INADMISIBLE: LISTADO DE DIRECTORIOS EN
ALGUNAS PARTES
• IMPLICA QUE EL ACCESO A UNA CARPETA DE LA WEB (SIN
INDICAR FICHERO) LISTA TODO SU CONTENIDO
• ESTO NOS PERMITE VER TODOS LOS FICHEROS QUE CONTIENE,
SEAN SERVIDOR POR LA WEB O NO
• ADEMÁS, DELATA LA VERSIÓN DEL SERVIDOR, AUNQUE YA LA
OBTUVIMOS POR OTROS MEDIOS
• CON ESTA VULNERABILIDAD ES FRECUENTE ENCONTRAR
INFORMACIÓN DE MÁS
• Ficheros de backup del código: Código del servidor
con, potencialmente, claves / usuarios / otra
información privada hardcodeada
• Ficheros / carpetas no enlazados: a los que ahora
podemos navegar fácilmente
• Ficheros de texto / de configuración con datos
relevantes privados

José Manuel
• DESGRACIADAMENTE, TAMPOCO ES NUESTRO CASO
Redondo López
 V ¿Y que tiene el robots.txt?

• EL CONTENIDO DE UN ROBOTS.TXT SE DIVIDE EN 2

PARTES
• https://support.google.com/webmasters/answer/6062596?hl=
es

• El User-Agent del buscador afectado

• * para actuar sobre todos ellos

• Una directiva Disallow con las URLs o directorios

que no quieren indexarse
• COMO VEMOS, PARA QUE LOS BUSCADORES PUEDAN
ENCONTRARLO SE OFRECE DE FORMA PÚBLICA: SI ESTÁ
SIEMPRE SE LLAMA ROBOTS.TXT Y ESTÁ EN LA URL RAÍZ
• PERO SU CONTENIDO ES RARO…
• Los User-Agent no corresponden a ningún
buscador / araña web conocido
• Se limita el acceso a un fichero concreto ¿por
qué a ese fichero solamente?
José Manuel
Redondo López
 V ¿Qué tiene de particular este fichero?

• ES UNA SIMPLE IMAGEN DE STOCK DE ALGUIEN

HACIENDO UNA POSICIÓN DE YOGA…
• NO PARECE TENER NINGÚN ELEMENTO “SOSPECHOSO”
• LAPOSE ES LA “TALASANA” O “PALMERA”: PROBAMOS
COMO PASSWORDS “TALASANA”, “PALM”, “PALM TREE”,
“YOGA”… SIN ÉXITO
• POR TANTO, NO TIENE NINGÚN SIGNIFICADO OCULTO
EVIDENTE
• PORLO QUE PUEDE TENERLO DE FORMA NO EVIDENTE:
Y AQUÍ ENTRA LA ESTEGANOGRAFÍA
• LAIMAGEN TIENE ALGO OCULTO, PERO TENEMOS QUE
AVERIGUAR QUÉ Y, SOBRE TODO, CÓMO SACARLO DE
ELLA

José Manuel
Redondo López
 V Como combatir los secretos esteganográficos

• ANTE LA CARENCIA DE SIGNIFICADO OBVIO, PODEMOS

• Usar el programa binwalk para comprobar si hay otro tipo de
fichero embebido en la imagen: significaría que este fichero se
ha unido con otro, y hay que extraerlo
• https://www.ostechnix.com/hide-files-inside-images-linux/

• Usar el programa exiftool para ver si hay información escondida

en los metadatos del fichero
• Usar el programa stegsolve para recorrer las distintas capas de
la imagen y ver si alguna tiene alguna anomalía
• Puede tratarse de texto que solo esté en una capa, un código QR…

• Usar el programa zsteg para comprobar automáticamente qué

tipo de técnica de esteganografía se ha usado
• Usar el programa strings sobre la imagen para ver si hay un
texto “sospechoso”, como "CTF{W“
• En ese caso, y si es una imagen .PNG, podríamos comprobar su
datos IDAT: http://shanereilly.net/2019/01/23/Basic-
Steganography.html

• Usar el programa DII para ver si hay contenido invisible

• HAY MÁS FORMAS, PERO EL NIVEL DE DIFICULTAD ES MUY ALTO
PARA LO QUE PRETENDEMOS
José Manuel
Redondo López
 V Binwalk, stegsolve

• NI NI STEGSOLVE NOS
BINWALK OFRECEN
RESULTADOS SATISFACTORIOS
• binwalk muestra que es una simple imagen
• Con stegsolve las distintas capas de la
imagen no revelan información
• El resto de opciones tampoco revela nada
• Podemos instalar stegsolve así
• wget
http://www.caesum.com/handbook/Stegsolve
.jar -O stegsolve.jar
• chmod +x stegsolve.jar

José Manuel
Redondo López
 V stegsolve

• ESTA HERRAMIENTA ES MUY AVANZADA Y NOS

PERMITE EXTRAER INFORMACIÓN DE LOS
DISTINTOS PLANOS DE BITS DE LA IMAGEN
• SE TRATARÍA DE IR RECORRIENDO LAS
DISTINTAS OPCIONES Y VER SI LA
INFORMACIÓN EXTRAÍDA TIENE ALGÚN
SENTIDO
• PUEDE SER UNA LABOR TEDIOSA, PERO EN
NUESTRO CASO TAMPOCO NOS LLEVA AL
ÉXITO: STEGSOLVE NO ES CAPAZ DE RESOLVER
ESTE RETO

José Manuel
Redondo López
 V Metadatos (exiftool), zsteg y DII

• LAS IMÁGENES “NORMALES” LLEVAN YA DE POR SI

METADATOS (LUGAR Y FECHA DE CREACIÓN, TIPO Y
MARCA DE LA CÁMARA, …) POR LO QUE ES UN SITIO
TÍPICO DONDE BUSCAR INFORMACIÓN “OCULTA”
• EXIFTOOL ES UNA DE LAS MEJORES HERRAMIENTAS PARA
ELLO (APT-GET INSTALL EXIFTOOL)
• Pero no hay metadatos que nos sirvan
• ZSTEG (HTTPS://GITHUB.COM/ZED-0XFF/ZSTEG) ES UNA
GEMA DE RUBY INSTALABLE VÍA GEM INSTALL ZSTEG
• Desgraciadamente, no trabaja con .jpg, sino con
.png
• Podríamos intentar convertir la imagen de
formato, pero a riesgo de destruir la información
secreta…
• FINALMENTE, DII (DIGITAL INVISIBLE INK TOOLKIT,
HTTPS://SOURCEFORGE.NET/PROJECTS/DIIT/) TAMPOCO
OFRECE RESULTADOS POSITIVOS…
José Manuel
Redondo López
 V strings

• ESTA UTILIDAD SE USA PARA ENCONTRAR

CADENAS DE CARACTERES LEGIBLES POR UN
SER HUMANO DENTRO DE
• Ejecutables
• Ficheros binarios en general
• PORTANTO, NO DEBEMOS DESCARTAR PODER
ENCONTRAR UNA INFORMACIÓN SECRETA
OCULTA DE ESTA FORMA EN UNA IMAGEN
• UN MANUAL DE USO MÁS DETALLADO ESTÁ
EN: HTTPS://WWW.HOWTOFORGE.COM/LINUX-
STRINGS-COMMAND/

• EN NUESTRO CASO CONCRETO, TAMPOCO

DEVUELVE NINGÚN RESULTADO POSITIVO
José Manuel
Redondo López
 V ¿Y entonces?

• SI NINGUNO DE ESTOS MÉTODOS DE RESOLUCIÓN

DEVUELVE UN RESULTADO POSITIVO, LA ÚNICA OPCIÓN
ES QUE EL PROCESO DE ESTEGANOGRAFÍA SE HAYA
HECHO CON UNA HERRAMIENTA ESPECÍFICA
• EXISTEN VARIAS MUY POPULARES:
HTTPS://RESOURCES.INFOSECINSTITUTE.COM/STEGANOGRAPHY
-AND-TOOLS-TO-PERFORM-STEGANOGRAPHY/#GREF
• PERO NO TENEMOS NINGUNA PISTA ACERCA DE CUAL,
ASÍ QUE BUSCAMOS VÍA GOOGLE LOS TÉRMINOS
“RAROS” DEL ROBOTS.TXT
• EL PRIMERO “YOGA_FLAME” NO OFRECE RESULTADOS
POSITIVOS (Y NO, NO ERA LA CLAVE DE LA ZONA
PRIVADA DE LA WEB ☺)

José Manuel
Redondo López
 V ¡Una pista!

• PERO ES SEGUNDO TÉRMINO, ¡SI QUE LO ES!

• SE TRATA DEL NOMBRE DE UNA HERRAMIENTA
MUY POPULAR PARA HACER ESTEGANOGRAFÍA:
STEGHIDE
(HTTP://STEGHIDE.SOURCEFORGE.NET)
• QUE ADEMÁS APARECE EN LA LISTA DE
HERRAMIENTAS LA TRANSPARENCIA ANTERIOR
• ES UNA HERRAMIENTA QUE PUEDE EMBEBER
FICHEROS DE TEXTO EN IMÁGENES,
OPCIONALMENTE VÍA CONTRASEÑA
• ¿Y SI TIENE CONTRASEÑA? ¿CUÁL ES? BUENO,
PASO A PASO ☺
José Manuel
Redondo López
 V Steghide

• ES
UNA HERRAMIENTA NO DISPONIBLE EN KALI POR LO
QUE DEBEMOS INSTALARLA: APT-GET INSTALL STEGHIDE
• SI MIRAMOS EL MANUAL OFICIAL
(HTTP://STEGHIDE.SOURCEFORGE.NET/DOCUMENTATION
/MANPAGE_ES.PHP) VEMOS QUE PARA EXTRAER LA
INFORMACIÓN HAY QUE USAR EL COMANDO EXTRACT
INDICANDO EL FICHERO CON EL PARÁMETRO –SF
• INMEDIATAMENTE SE NOS PEDIRÁ UNA CLAVE…¿CUÁL
SERÁ?
• ¿Será la otra palabra sin sentido del fichero
robots.txt?
• ¡SI!
• PERO…¿QUÉ SIGNIFICA EL MENSAJE “DON’T FORGET TO
KNOCK…” QUE NOS SALE?

José Manuel
Redondo López
 V Knock, knock, knocking on server ports

• EL MENSAJE OCULTO QUE OBTENEMOS DE LA IMAGEN

HACE REFERENCIA A UNA TÉCNICA PARA ABRIR/CERRAR
PUERTOS DE UN SERVIDOR: EL PORT KNOCKING
• CONSISTE EN QUE UN SERVIDOR ESTÉ CONFIGURADO
PARA QUE SI RECIBE UNOS MENSAJES DE CIERTO TIPO
DE MANERA CONSECUTIVA EN UNA SERIE DE PUERTOS
PREDETERMINADA, ENTONCES ABRE OTRO
• Habitualmente, la secuencia inversa lo cierra
• POR TANTO, LO QUE NOS DICE EL MENSAJE ES QUE
HAGAMOS KNOCK A ESA SECUENCIA DE TRES PUERTOS
• Instalamos el programa para hacer knock: apt-get install
knockd

• Hacemos knock al servidor en el orden indicado

• ¡APARECE UN NUEVO PUERTO ABIERTO, EL 3306, CON
UN SERVIDOR MYSQL FUNCIONANDO!
• ¿Y AHORA QUE HACEMOS? ¡USAR METASPLOIT COMO
HEMOS VISTO PARA “ATACARLO”! ☺
José Manuel
Redondo López
 V El mysql de los secretos ha sido abierto…

• AHORA PODEMOS USAR MSF Y LOS MÓDULOS RELATIVOS A MYSQL

QUE TIENE PARA PODER EXTRAER INFORMACIÓN DE ESE SERVICIO

• SE TRATARÍA DE USAR LOS MÓDULOS AUXILIARES DE MSF DE LAS

CATEGORÍAS SCANNER Y ADMIN PARA PODER VER QUÉ TIENE EL
SGBD Y PODER SACAR PARTIDO DE ESA INFORMACIÓN…
• …O BIEN APROVECHARSE DE ALGUNA MALA CONFIGURACIÓN /
VULNERABILIDAD PARA OBTENER UNA SHELL O UN METERPRETER
COMO VIMOS ANTERIORMENTE

• EL PRIMERO DE ELLOS ES MYSQL_LOGIN: UN MÓDULO PARA SACAR

LA CLAVE DE USUARIOS MYSQL POR FUERZA BRUTA
• Crearnos un fichero users.txt con un único usuario root,
que es el usuario administrador por defecto de mysql
• Usarnos la wordlist de nmap que ya usamos anteriormente
• Configuramos y lanzamos el módulo como anteriormente
• ¡Pero nos devuelve demasiada información y no podemos
ver si realmente ha conseguido crackear la clave!

José Manuel
Redondo López
 V Fuerza bruta…

• ES LA TERCERA VEZ QUE USAMOS FUERZA BRUTA PARA SACAR UNA

CLAVE Y ES QUE SALVO VULNERABILIDAD O PISTA PREVIA REALMENTE
ES UNA FORMA COMÚN DE HACERLO

• HEMOS USADO SCRIPTS AUXILIARES DE OTRAS HERRAMIENTAS, PERO

PODRÍAMOS USAR SOFTWARE ESPECÍFICO PARA ESTAS TAREAS QUE
SE APROVECHE DE LAS CAPACIDADES HARDWARE DE LA MÁQUINA O
BIEN USE TÉCNICAS DE CRACKEO MÁS AVANZADAS
• La sección correspondiente a estas herramientas está aquí
• PERO ESTAS HERRAMIENTAS TAMBIÉN DEPENDEN DE LA “CALIDAD” DE
LAS LISTAS DE CLAVES QUE SE USEN
• Más comunes por periodo de tiempo, por país en el que se
encuentre el servidor, por producto…
• Podemos encontrar ejemplos aquí
• https://github.com/danielmiessler/SecLists/tree/master/Passwords
• https://github.com/danielmiessler/SecLists/blob/master/Password
s/Common-Credentials/10-million-password-list-top-1000000.txt

• NOSOTROS USAREMOS LA DE PARA ESTE EJEMPLO Y

NMAP
QUITAREMOS EL MODO VERBOSE DE LA SALIDA DEL PLUGIN PARA QUE
SOLO NOS MUESTRE SI HA ACERTADO

José Manuel • ¡LO CONSIGUE! LA CLAVE DE ROOT DE MYSQL ES “CANDYMAN”

Redondo López
 V Mysql_sql

• CON ESTA CLAVE AHORA PODRÍAMOS CONECTAR

EL CLIENTE ESTÁNDAR DE MYSQL DESDE LA
MÁQUINA KALI Y HACER LO QUE QUISIÉRAMOS
CON EL SERVER DE MYSQL DESCUBIERTO
• PERO SI NO LO TENEMOS INSTALADO, EL PROPIO
MSF TIENE UN MÓDULO QUE PERMITE ENVIAR
COMANDOS SQL SENCILLOS A UN SERVIDOR MYSQL
• En el ejemplo vemos el comando para listar las
BBDD alojadas
• Y, entre ellas, la de la web: YogaCenter
• ¡Ahora tenemos toda la información guardada a
nuestro alcance!
• En un caso real: nombres de usuario, claves, datos
de pago,…
• En un CTF, puede que en alguna de las tablas de la
José Manuel
BBDD esté la bandera que nos han pedido ☺
Redondo López
 V Mysql_schemadump

• CON ESTE SCRIPT DE MSF PODEMOS SACAR

LA COMPOSICIÓN DE TODAS LAS TABLAS DE
LAS BBDD DEL SERVIDOR
• ESTOINCLUYE NOMBRES, NOMBRES DE
COLUMNAS, TIPOS DE DATOS…
• CON ELLO, PODEMOS AVERIGUAR CON
PRECISIÓN COMO SE GUARDA LA
INFORMACIÓN, Y QUIZÁ OBTENER PISTAS PARA
OTROS ATAQUES A MÁQUINAS SIMILARES

José Manuel
Redondo López
 V Mysql_hashdump

• MSF TAMBIÉN TIENE EL CLÁSICO SCRIPT PARA VOLCAR

LAS HASHES DE LAS CLAVES DE LOS USUARIOS MYSQL
• CON ESTAS HASHES NUEVAMENTE PODREMOS USAR
HERRAMIENTAS DE CRACKEO DE CONTRASEÑAS OFFLINE
(JOHN, HASHCAT, THC HYDRA…) DESCRITAS EN LA
SECCIÓN CORRESPONDIENTE QUE SE MENCIONÓ
ANTERIORMENTE
• ESTASCLAVES PUEDEN CORRESPONDER A CLAVES DE
USUARIOS DEL SISTEMA / DOMINIO QUE PODRÍAN SER
NO OBTENIBLES DE OTRA FORMA
• ES COMÚN REUTILIZAR CLAVES PARA VARIOS
SERVICIOS…

José Manuel
Redondo López
 V Mysql_file_enum

• ESTE MÓDULO DE MSF PERMITE DETERMINAR SI UNA

DETERMINADA RUTA EXISTE EN EL DISCO DURO DE LA
MÁQUINA OBJETIVO
• PERMITE LA ENUMERACIÓN DE DIRECTORIOS QUE PUEDE
A SU VEZ DESCUBRIR CARPETAS COMPARTIDAS, LA
INSTALACIÓN DE UN DETERMINADO PRODUCTO O
AVERIGUAR MÁS DATOS DEL SISTEMA OBJETIVO
• NECESITA PREVIAMENTE CREAR UN FICHERO DE TEXTO
CON LAS RUTAS QUE SUMINISTRARLE PARA QUE LUEGO
LAS EXAMINE Y NOS DEVUELVA SI EXISTEN O NO
• PUEDE COMBINARSE CON OTRO MÓDULO QUE NOS
INDICARÍA SI ESTAS RUTAS PERMITEN EL ACCESO DE
ESCRITURA

José Manuel
Redondo López
 V Exploits MySQL…

• FINALMENTE, MSF TAMBIÉN TIENE MÓDULOS PARA LA

EXPLOTACIÓN DE MYSQL

• CON LA CONTRASEÑA OBTENIDA, Y SI EL MYSQL ESTÁ

CONFIGURADO INADECUADAMENTE, ES POSIBLE OBTENER UN
SHELL QUE NOS PERMITA HACER LO QUE VIMOS EN LOS
EJEMPLOS ANTERIORES

• PARA ELLO, EL SERVIDOR MYSQL DEBERÍA TENER ADEMÁS

INSTALADAS Y ACTIVAS LAS FUNCIONES MYSQLUDF_SYS QUE
PERMITAN AL SGBD INTERACTUAR CON EL SO
• https://github.com/mysqludf/lib_mysqludf_sys
• Si bien pueden ser de utilidad para ciertas aplicaciones,
suponen un riesgo de seguridad por su funcionalidad y
en un despliegue real habría que pensarse mucho si
habilitarlas
• No obstante, en el contexto de un CTF merece la pena
probar este vector de ataque
José Manuel
Redondo López
ASPECTOS GENERALES

¿Qué pasa con la web?

Volver al Índice
 V ¿Y cómo aplico esta clasificación?

• POR TANTO, UN POSIBLE ORDEN DE ACTUACIÓN SERÍA:

• OSINT (Nivel 8)
• Recabar información y reconocimiento de servicios (Niveles 6 y 4)
• Exploiting (Nivel 7)
• Hijacking (Nivel 5)
• Si como resultado de alguno de los anteriores hemos entrado dentro del sistema estudiado, ya
se pueden aplicar el resto de niveles
• Si se quiere incluso en orden, ya que cada nivel requiere accesos con mayor privilegio
• POR SUPUESTO, ESTO NO SE APLICARÍA EN UN CTF O ESCENARIO PRECONCEBIDO: AHÍ LAS
CONDICIONES, EL RETO CONCRETO Y PISTAS PUEDEN LLEVARNOS DIRECTAMENTE A ALGÚN NIVEL
CONCRETO POR EL QUE EMPEZAR
• Por ejemplo, en Hack The Box estamos en la misma red que los objetivos directamente, los
niveles 1-3 son directamente aplicables
• En este escenario tampoco tiene sentido el OSINT
José Manuel
Redondo López
 V Cómo manejar estas herramientas

• PARA MANEJAR LAS HERRAMIENTAS SIGUIENTES HAY QUE TOMAR UNA SERIE DE PRECAUCIONES ADICIONALES PARA
EVITAR POTENCIALES “SORPRESAS DESAGRADABLES”

• NO QUIERE DECIR QUE LAS WEBS SEAN INSEGURAS, PERO NUNCA PODEMOS DESCARTAR UN SUPPLY-CHAIN ATTACK
EN ESTOS ENTORNOS
• Webs legítimas que han sido troyanizadas con software malicioso que nos puede afectar
• LO PRIMERO, SI LA HERRAMIENTA ESTÁ EN KALI LINUX O ES INSTALABLE EN KALI LINUX VÍA APT, USAMOS
DIRECTAMENTE ESTA VERSIÓN
• En caso contrario, recurrimos a su web oficial (normalmente está enlazada en esta presentación) y sus
instrucciones de instalación
• PARA PREVENIR POSIBLES PROBLEMAS SE RECOMIENDA TOMAR LAS SIGUIENTES PRECAUCIONES
• Navegar a la web oficial o a las de tutoriales asociados bajo protección: navegador actualizado desde
máquina virtual + plugin Adblock Plus o similar + plugin NoScript
• Siempre mantener el SO de pruebas (Kali o tipo Linux preferiblemente) actualizado y en una MV
• Instalar siempre el programa descargado de la web legítima dentro de la MV de pruebas
• Intentar no mantener ninguna vía de comunicación con el host (directorios compartidos, redes tipo
bridge, redes tipo host-only…)
José Manuel
Redondo López
 V ¿Son todas las herramientas?

• AUNQUE EN ESTA PRESENTACIÓN SE VAN A VER MUCHAS HERRAMIENTAS CLASIFICADAS

POR SU PROPÓSITO, NI DE LEJOS SON TODAS LAS EXISTENTES
• ESTE MUNDO ES TAN AMPLIO Y CAMBIANTE QUE LISTARLAS TODAS ES SENCILLAMENTE
IMPOSIBLE
• HAY HERRAMIENTAS NUEVAS QUE SALEN CASI A DIARIO
• Y, COMO SIEMPRE, ALGUNAS SON MEJORES QUE OTRAS
• EXISTE UN REPOSITORIO DE HERRAMIENTAS CLASIFICADAS QUE TIENEN UN MÍNIMO
NIVEL DE CALIDAD AQUÍ: HTTPS://INVENTORY.RAWSEC.ML/INDEX.HTML

José Manuel
Redondo López
 V Vulnerabilidades web

• HOY EN DÍA LA WEB ES EL MEDIO POR EL QUE SE IMPLEMENTAN LA MAYOR PARTE DE

SERVICIOS
• Por ello, es el objetivo nº 1 de ataques
• Y también por ello, tiene sus propios ataques y vulnerabilidades
• EN ESTA PRESENTACIÓN, VARIAS SECCIONES TIENEN UN APARTADO DEDICADO
EXCLUSIVAMENTE PARA LA WEB, MENCIONANDO HERRAMIENTAS CONTRA ESTAS
VULNERABILIDADES
• MENCIONAREMOS AHORA LAS MÁS IMPORTANTES BREVEMENTE PARA SABER QUÉ SON,
EXTRAÍDAS DE LA CLASIFICACIÓN OWASP TOP 10 (2017):
HTTPS://WWW.OWASP.ORG/INDEX.PHP/TOP_10-2017_TOP_10

José Manuel
Redondo López
 V OWASP Top 10

• A1:2017-INJECTION: VULNERABILIDADES QUE OCURREN CUANDO DATOS SIN VALIDAR SE ENVÍAN A

UN INTERPRETE DE UN LENGUAJE COMO PARTE DE UN COMANDO O PETICIÓN
• Esos datos pueden hacer que el intérprete ejecute comandos que no están autorizados o
acceder a datos restringidos, entre otros
• Existen las variantes:
• SQL Injection
• NoSQL Injection
• OS Command Injection
• LDAP Injection

• A2:2017-BROKEN AUTHENTICATION: IMPLEMENTACIONES DEFECTUOSAS DE LA LÓGICA DE

AUTENTICACIÓN O MANEJO DE SESIONES DE UNA APLICACIÓN
• Llevan a comprometer passwords, claves de APIs, tokens de sesión
• O bien escalado de privilegios temporal o permanente

José Manuel
Redondo López
 V OWASP Top 10

• A3:2017-SENSITIVE DATA EXPOSURE: MUCHAS APIS O APLICACIONES WEB NO PROTEGEN BIEN SUS
DATOS SENSIBLES: FINANCIEROS, DE SALUD U OTRA INFORMACIÓN PRIVADA QUE IDENTIFICA INDIVIDUOS
• Los atacantes pueden robarla o modificarla, y con ello hacer fraudes de diferente tipo (robo de
tarjetas de crédito, identidad…)
• Estos datos, si no están adecuadamente cifrados y protegidos pueden robarse del
almacenamiento o durante la transmisión
• Deben ser tratados de forma especial cuando se usan desde un browser
• A4:2017-XML EXTERNAL ENTITIES (XXE): MUCHAS APIS DE TRATAMIENTO DE XML ANTIGUAS, NO
ACTUALIZADAS O MAL CONFIGURADAS PUEDEN EVALUAR REFERENCIAS A ENTIDADES XML EXTERNAS
EN DOCUMENTOS XML QUE PUEDEN USARSE PARA
• Descubrir ficheros internos restringidos usando la URL del mismo
• Ficheros compartidos internos
• Hacer escaneo de puertos
• Provocar ejecución de código no autorizada
• Ataques DoS
José Manuel
Redondo López
 V OWASP Top 10

• A5:2017-BROKEN ACCESS CONTROL: UNA VEZ UN USUARIO HA SIDO AUTENTICADO, EL PROBLEMA

PUEDEN SER RESTRICCIONES INADECUADAS O MAL APLICADAS A LO QUE PUEDEN HACER
• Los atacantes pueden usar estos fallos para:
• Acceder a funcionalidades o datos no autorizados (pertenecientes a otros usuarios)
• Ver ficheros con información privada
• Modificar datos de otros usuarios, incluyendo privilegios de acceso, etc.
• A6:2017-SECURITY MISCONFIGURATION: OCURRE CUANDO SE DEJAN CONFIGURACIONES POR
DEFECTO EN CIERTOS PRODUCTOS O FRAMEWORKS QUE HABITUALMENTE NO SON SEGURAS
• También ocurre con configuraciones incompletas o hechas ad-hoc, incluyendo almacenamiento
en nube, cabeceras HTTP o errores web que dan demasiada información o información privada
• Esto se aplica a todos los SO, frameworks, librerías y aplicaciones usadas, que además deben
estar puntualmente actualizadas

José Manuel
Redondo López
 V OWASP Top 10

• A7:2017-CROSS-SITE SCRIPTING (XSS): OCURREN CUANDO UNA APLICACIÓN INCORPORA DATOS

SUMINISTRADOS POR EL USUARIO Y NO VALIDADOS ADECUADAMENTE COMO PARTE DE SUS WEB
• O bien usa estos datos para actualizar webs existentes a través de una API del navegador o
Javascript
• Permite, entre otros:
• La ejecución de scripts en el navegador de cualquier visitante
• Robo de sesiones
• Modificación de los contenidos de la web (deface)
• Redirección a webs maliciosas
• A8:2017-INSECURE DESERIALIZATION: OCURRE CUANDO LOS DATOS DESERIALIZADOS NO SE VALIDAN
ADECUADAMENTE Y LLEVA A
• Ejecución de código remoto
• Ataques de replay
• Inyección de código
• Escalado de privilegios
José Manuel
Redondo López
 V OWASP Top 10

• A9:2017-USING COMPONENTS WITH KNOWN VULNERABILITIES: TODA LIBRERÍA, FRAMEWORK U

OTRO TIPO DE MODULO DE SOFTWARE USADO EN UNA APLICACIÓN SE EJECUTA CON SUS PRIVILEGIOS
• Si alguno de ellos tiene una vulnerabilidad explotable, la aplicación puede tenerla también
• Por tanto, la aplicación es tan vulnerable como su componente más vulnerable
• Puede llevar a un gran nº de posibles ataques distintos, entre ellos:
• Pérdida de información
• Toma de control del servidor
• A10:2017-INSUFFICIENT LOGGING & MONITORING: SI NO SE REGISTRAN LOS EVENTOS QUE
OCURREN EN UNA WEB Y ADEMÁS NO SE INCORPORA UN MECANISMO DE RESPUESTA ANTE INCIDENTES,
CUALQUIER ATAQUE PERMANECERÁ SIN DETECTAR DEMASIADO TIEMPO
• Permitiendo al atacante una ventana grande de tiempo para:
• Atacar otros sistemas
• Hacer el ataque persistente
• Crear pivots que permitan acceder a otros sistemas/redes internos
• Modificar/extraer/borrar datos, etc.
José Manuel
Redondo López
 OSINT
Open Source Intelligence

HACKING
THROUGH
ABILITY
ABILITY
THROUGH
HACKING

Volver al Índice
Repositorios de Código
 V Shodan http://www.shodanhq.com/

• SHODAN ES UN MOTOR DE BÚSQUEDA, PERO QUE EN LUGAR DE

PÁGINAS ENCUENTRA MÁQUINAS
• Routers, servidores, cámaras de grabación CCTV, semáforos, …
• Permite saber qué tipo de servicio es, versión, etc.
• Encuentra también dispositivos que soportan SCADA (Supervisory
Control And Data Acquisition)
• BUSCA HASTA 10 RESULTADOS GRATUITAMENTE
• El registro gratuito incrementa este límite
• ES USADO PARA VER DISPOSITIVOS EXPUESTOS A INTERNET Y SI
SUPONEN UN PELIGRO
• Tienen software al que puede accederse, y por tanto atacar
• TUTORIALES
• https://danielmiessler.com/study/shodan/
• https://hacking-etico.com/2016/02/12/4979/
• OTRAS HERRAMIENTAS SIMILARES
• Onhype.io: https://fwhibbit.es/descubrimiento-y-recopilacion-de-
activos-con-onyphe-io
• Binaryedge.io: https://www.flu-project.com/2019/10/analizando-
dominios-con-binaryedgeio.html
• https://www.dragonjar.org/shodan-vs-scans-io-vs-censys-io-vs-
zmap-vs-mr-looquer.xhtml
José Manuel
Redondo López
 V Shodan
Busca en banners de estos servicios
• HTTP/HTTPS
• FTP
• SSH
• Telnet
• SNMP
• SIP (telefonía IP)
• RTSP (streaming de video y
webcams)
• …

José Manuel
Redondo López
 V Shodan CLI https://cli.shodan.io/

• ESUNA LIBRERÍA PYTHON QUE PERMITE USAR LAS

CAPACIDADES DE SHODAN DESDE LA LÍNEA DE
COMANDOS
• ESPOR TANTO MUY ÚTIL EN ENTORNOS EN LOS QUE
NO TENGAMOS CAPACIDAD DE VISUALIZAR WEBS
• Y TAMBIÉN PARA INTEGRAR LAS CAPACIDADES DE
SHODAN EN NUESTROS PROPIOS PROGRAMAS
• O AUTOMATIZAR TAREAS DE PENTESTING INCLUYENDO
A SHODAN EN EL PROCESO
• EN EL ENLACE DE SU WEB OFICIAL HAY ALGUNOS
EJEMPLOS DE USO, QUE EQUIVALEN A LAS CAPACIDADES
DE LA INTERFAZ WEB
• EN ESTE ENLACE HAY UN CONJUNTO DE BÚSQUEDAS
ÚTILES: HTTPS://GITHUB.COM/JAKEJARVIS/AWESOME-SHODAN-
QUERIES

José Manuel
Redondo López
 V Censys https://censys.io/

• CENSYS ES OTRA HERRAMIENTA

SIMILAR A SHODAN, PERO QUE
PRESENTA LA INFORMACIÓN MÁS
ESTRUCTURADA

• PERMITE HACER BÚSQUEDAS

BASADA EN DATOS DE LOS
SERVIDORES QUE ANALIZA

• TUTORIAL
• https://developerinsider.co/censy
s-find-and-analyze-any-server-
and-device-on-the-internet/

José Manuel
Redondo López
 V Google Hacking

• ES LA CAPACIDAD DE HACER DETERMINADAS BÚSQUEDAS MANUALMENTE CON EL OPERADOR SITE: EN ESE

BUSCADOR (O EN OTROS EQUIVALENTES)

• ESAS BÚSQUEDAS TIENEN COMO FIN ENCONTRAR INFORMACIÓN QUE DELATE VULNERABILIDADES, PROBLEMAS DE
CONFIGURACIÓN O INFORMACIÓN QUE PUEDA PROPICIAR UN ATAQUE

• USA LAS BÚSQUEDAS “PREFABRICADAS” Y CLASIFICADAS DE LA GOOGLE HACKING DATABASE

• Ve a: https://www.exploit-db.com/google-hacking-database
• Elige la categoría de búsqueda adecuada
• ¡Cada categoría representa una posible vulnerabilidad!
• Haz la búsqueda sobre el cliente (site:)
• EJEMPLOS
• https://wifibit.com/google-hacking/
• https://ciberpatrulla.com/osint-con-google/
• https://ciberpatrulla.com/buscar-google/
• https://medium.com/@logicbomb_1/one-misconfig-jira-to-leak-them-all-including-nasa-and-hundreds-of-
fortune-500-companies-a70957ef03c7
José Manuel
Redondo López
 V Google Hacking: proceso

José Manuel
Redondo López
 V Maltego https://www.paterva.com/buy/maltego-clients/maltego-ce.php#

• MALTEGO ES UNA HERRAMIENTA PARA RECABAR

INFORMACIÓN DE ENTIDADES EN INTERNET

• PERMITE CREAR ENTIDADES PERSONALIZADAS QUE

REPRESENTAN CUALQUIER CLASE DE INFORMACIÓN

• SE ESPECIALIZA EN ENCONTRAR RELACIONES ENTRE DICHAS

ENTIDADES (REDES SOCIALES, REDES DE COMPUTADORES,
DOMINIOS…)

• USA COMO FUENTES DE INFORMACIÓN REGISTROS DNS Y

WHOIS, MOTORES DE BÚSQUEDA, REDES SOCIALES
CONOCIDAS, APIS…

• TUTORIALES
• https://www.fwhibbit.es/introduccion-a-maltego
• https://ciberpatrulla.com/maltego/
• www.elladodelmal.com/2010/08/mineria-de-datos-
con-maltego-1-de-2.html
José Manuel
Redondo López
 V Tinfoleak https://github.com/vaguileradiaz/tinfoleak

• ES UNA HERRAMIENTA PARA EL ANÁLISIS Y EXTRACCIÓN DE

INFORMACIÓN DE CUENTAS DE TWITTER ABIERTAS

• PERMITE ENCONTRAR MENSAJES POR TÉRMINOS, BÚSQUEDAS

Y GRAN CANTIDAD DE ACCIONES PARA AVERIGUAR DATOS DEL
USUARIO

• ES LA HERRAMIENTA TÍPICA PARA LA BÚSQUEDA DE TWEETS

COMPROMETEDORES A PERSONALIDADES PÚBLICAS

• REQUIERE UNA CUENTA DE TWITTER ACTIVA Y REGISTRARSE

PARA OBTENER UNAS KEYS QUE PERMITAN USARLA

• ENLACES (INSTALACIÓN E INFORMACIÓN):

• https://ciberpatrulla.com/tutorial-tinfoleak/
• https://www.isecauditors.com/herramientas-tinfoleak
• http://www.noise-sv.com/tutorial-de-tinfoleak/

José Manuel
Redondo López
 V Twint https://github.com/twintproject/twint

• ES UN SCRIPT DE PYTHON QUE HACE SCRAPING DE TWITTER

• Es decir, obtiene tweets sin usar su API
• Para ello usa operadores de búsqueda para extraer
tweets de usuarios concretos, con una temática de
terminada, hashtags, tendencias…
• También puede localizar información sensible como e-
mails o nºs de teléfono
• Permite adicionalmente averiguar los seguidores de un
usuario, que tweets le han gustado y a quien sigue
• NO USAR EL API DE TWITTER LE DA DETERMINADAS VENTAJAS
• Solo está limitado por la capacidad de scroll de Twitter
(3200 tweets máximo por petición)
• Se puede usar de forma anónima, al no ser necesario
validarse
• No tiene limitaciones de ratio
• ES PARTE DE UN PROYECTO MAYOR CON MÁS UTILIDADES
José Manuel
RELACIONADAS: HTTPS://GITHUB.COM/TWINTPROJECT
Redondo López
 V ¿Y el resto de redes sociales?

• TWITTER NO ES LA ÚNICA RED SOCIAL QUE TIENE HERRAMIENTAS PARA LA

INVESTIGACIÓN Y EXTRACCIÓN DE DATOS DE SUS CUENTAS
• ENLOS SIGUIENTES ENLACES PODEMOS ENCONTRAR MULTITUD DE ELLAS APLICABLES
SOBRE OTRAS REDES
• FACEBOOK
• https://ciberpatrulla.com/herramientas-osint-facebook/
• https://securitytrails.com/blog/osint-facebook-tools
• INSTAGRAM
• https://blog.segu-info.com.ar/2018/11/buscadores-para-instagram-osint.html
• https://ciberpatrulla.com/analisis-instagram-osint/
• LINKEDIN
• https://github.com/eth0izzle/the-endorser
José Manuel
Redondo López
 V Recon-ng https://kali-linux.net/article/recon-ng/

• SE USA PARA LA RECOPILACIÓN DE INFORMACIÓN DE

USUARIOS DE DIFERENTES FUENTES
• TIENE UNA SERIE DE MÓDULOS QUE PERMITEN BUSCAR
EN DISTINTAS FUENTES DE INFORMACIÓN
• Motores de búsqueda, APIs…
• SU ASPECTO ES SIMILAR A METASPLOIT PARA FACILITAR
EL TRABAJO A GENTE QUE YA ESTÉ FAMILIARIZADO CON
ESTA OTRA HERRAMIENTA
• TUTORIALES:
• https://hackertarget.com/recon-ng-tutorial/
• https://noticiasseguridad.com/tutoriales/recon-
ng-herramienta-para-recoleccion-de-
informacion/

José Manuel
Redondo López
 V ODIN https://github.com/chrismaddalena/ODIN

• ES UNA HERRAMIENTA DE DESCUBRIMIENTO Y

CATALOGACIÓN AUTOMATIZADO DE ACTIVOS DE REDES,
CORREO ELECTRÓNICO Y REDES SOCIALES
• INCLUYE EMPLEADOS Y ACTIVOS EN PLATAFORMAS DE
NUBE
• EMITE INFORMES QUE GUARDA EN UNA BBDD PARA SU
POSTERIOR CONSULTA
• MÁS INFORMACIÓN
• https://www.gurudelainformatica.es/2019/05/descubri
miento-y-catalogacion.html
• WEB CON APLICACIONES SIMILARES:
• https://blog.segu-info.com.ar/2019/05/aplicaciones-
para-osint.html?m=0

José Manuel
Redondo López
 V Userrecon https://github.com/thelinuxchoice/userrecon

• ESUNA HERRAMIENTA QUE SIRVE PARA ENCONTRAR

NOMBRES DE USUARIO EN DISTINTAS REDES SOCIALES
• PUEDE BUSCAR A TRAVÉS DE UNAS 75 DIFERENTES
• ES ÚTIL PORQUE ES MUY HABITUAL QUE UN MISMO
USUARIO USE EL MISMO NOMBRE EN DISTINTAS REDES
SOCIALES
• Y POR TANTO ESTO PUEDE LLEVAR A RECOPILAR MUCHA
INFORMACIÓN SOBRE EL MISMOS SI ALGUNA DE ELLAS
ESTÁ ABIERTA
• UN SCRIPT DE PYTHON CON EL MISMO PROPÓSITO ES:
HTTPS://GITHUB.COM/DECOXVIII/USERRECON-PY

• TUTORIAL
• https://www.kitploit.com/2019/10/userrecon-py-v20-
username-recognition.html
José Manuel
Redondo López
 V TheHarvester https://github.com/laramies/theHarvester

• ES UNA HERRAMIENTA PARA LA OBTENCIÓN DE DATOS DE UN

DETERMINADO OBJETIVO EN UNA GRAN CANTIDAD DE SITIOS
DE INTERNET DISTINTOS

• OBTIENE MUCHA INFORMACIÓN DE FUENTES DE DATOS

PÚBLICAS: EMAILS, NOMBRES, SUBDOMINIOS, IPS, URLS…
• Usa para ello buscadores de diferentes clases de
información: baidu, bing, bingapi, censys, Comodo
Certificate search, dnsdumpster, dogpile, duckduckgo,
github-code, Google (Google dorking opcional),
google-certificates, hunter, intelx, Linkedin, Netcraft
Data Mining, securityTrails (información histórica de
DNS), Shodan, threatcrowd, trello, Twitter, Bing
virtual hosts search, Virustotal y Yahoo search engine
• También información extraída de servidores DNSs:
DNS brute force, DNS reverse lookup, DNS TDL
expansion
• TUTORIAL
• https://www.welivesecurity.com/la-es/2015/04/08/the-
José Manuel harvester-riesgo-nformacion-publica/
Redondo López
 V Hunter.io https://hunter.io/

• ES
UNA WEB QUE PERMITE DESCUBRIR DIRECCIONES DE
EMAIL RELATIVAS A UN DOMINIO / EMPRESA
• CON ELLAS SE PUEDE INTENTAR EMPEZAR A
DESARROLLAR UNA SERIE DE ATAQUES DE OSINT
ADICIONALES, O BIEN INTENTOS DE PHISING O APTS
(ADVANCED PERSISTENT THREATS)
• ESDE PAGO, PERO CON EL REGISTRO GRATUITO SE
CONSIGUE UNA VERSIÓN LIMITADA DE SUS
FUNCIONALIDADES:
• Resultados completes
• Descargas en CSV
• Hasta 50 búsquedas / mes

José Manuel
Redondo López
 V Scrummage https://github.com/matamorphosis/Scrummage

• ES UNA HERRAMIENTA QUE CENTRALIZA ESCANEOS OSINT,

PROPORCIONANDO UNA VISTA DE ALTO NIVEL DE LOS SITIOS POR LOS
QUE SE HA BUSCADO INFORMACIÓN DIVERSA DE UN OBJETIVO

• IMPLEMENTA UN SISTEMA DE PLUGINS PARA PERSONALIZAR EL TIPO

DE ESCANEOS A REALIZAR Y ASÍ OPTIMIZAR EL USO DE RECURSOS

• DICHOS PLUGINS PROPORCIONAN CAPACIDADES DIVERSAS

• Búsqueda en blockchain
• Fuzzing de dominios
• Análisis de Twitter
• Búsqueda en Instagram
• Búsqueda en Have I Been Pwned? Por si se ha filtrado alguna
identidad de cuentas (https://haveibeenpwned.com/)
• …
• HERRAMIENTAS SIMILARES:
• OSINT Framework: https://github.com/lockfale/osint-
framework
• Scumblr: https://portunreachable.com/automated-osint-with-
scumblr-a4d81a048e54?gi=ae6ebac43a92
José Manuel
Redondo López
 V AIL Framework https://github.com/CIRCL/AIL-framework

• AIL ES UN FRAMEWORK ALTAMENTE MODULAR QUE

ANALIZA INFORMACIÓN FILTRADA DE ORÍGENES NO
ESTRUCTURADOS
• EJEMPLO DE ESTA CLASE DE ORÍGENES ES PASTEBIN
• PERO SU ALTA MODULARIDAD LE PERMITE SER
EXTENDIDO Y USADO PARA MINAR Y PROCESAR
INFORMACIÓN PRIVADA DE DISTINTA CLASE
• Y POR TANTO DETECTAR Y PREVENIR LA FUGA DE
INFORMACIÓN
• MÁS INFORMACIÓN
• https://www.kitploit.com/2019/08/ail-
framework-framework-for-analysis-of.html

José Manuel
Redondo López
 V Más herramientas de OSINT…

• LAS TÉCNICAS DE OSINT HOY EN DÍA SON MUY POPULARES Y CON LA INFORMACIÓN DISPONIBLE EN
INTERNET, MUY PODEROSAS
• EXISTEN UNA ENORME CANTIDAD DE HERRAMIENTAS QUE OBTIENEN INFORMACIÓN DE DIFERENTES
MEDIOS Y REDES SOCIALES
• ES MUY DIFÍCIL ENUMERARLAS TODAS, Y LAS VISTAS SON SOLO UN PEQUEÑO EJEMPLO
• PERO POR SUERTE, HAY UN LISTADO COMPLETO DE MUCHAS DE ELLAS DISPONIBLE:
HTTPS://CIBERPATRULLA.COM/LINKS/
• Ciberpatrulla es probablemente el repositorio más completo sobre herramientas OSINT
que existe
• Contiene cientos de herramientas clasificadas por su utilidad básica en alguna de las
operaciones que contempla la disciplina de OSINT
• Redes sociales, vehículos, teléfonos, documentos…hasta 38 categorías de herramientas distintas

José Manuel
Redondo López
 V Pero…¿No tienes un ejemplo?

• ESTA CLARO QUE CON TANTA HERRAMIENTA DISPONIBLE ES MUY FÁCIL PERDERSE A LA HORA DE HACER
UN ESTUDIO DE ESTE TIPO
• POR TANTO, LO MEJOR ES VER UN EJEMPLO DE COMO SE HACE UNO
• PODÉIS SEGUIRLO EN ESTE TUTORIAL DE CUATRO PARTES
• https://delta.navisec.io/osint-for-pentesters-part-1-passive-recon-and-asset-discovery/
• https://delta.navisec.io/osint-for-pentesters-part-2-linkedin-is-not-just-for-jobs/
• https://delta.navisec.io/osint-for-pentesters-part-3-password-spraying-methodology/
• https://delta.navisec.io/a-pentesters-guide-part-4-grabbing-hashes-and-forging-external-
footholds/
• O BIEN LOS PUNTOS DE ESTA GUÍA DE OSINT EN VARIAS PARTES
• https://www.hackers-arise.com/osint

José Manuel
Redondo López
 OSINT

Herramientas para Repositorios de

Código

OSINT
 V GitGot https://github.com/BishopFox/GitGot

• ESMUY COMÚN QUE DENTRO DEL CÓDIGO DE UN PROGRAMA HAYA INFORMACIÓN

PRIVADA QUE NO DEBERÍA SER VISTA POR NINGÚN USUARIO DE LA APLICACIÓN
• CADENAS DE CONEXIÓN, NOMBRES DE USUARIO, CLAVES, API KEYS (CON LAS QUE
HACER PETICIONES A SERVICIOS EN NOMBRE DE LA APLICACIÓN), DIRECCIONES DE
SERVIDORES DE BBDD, BUCKETS DE AMAZON SIN PROTECCIÓN…
• CUANDO ESTE CÓDIGO SE SUBE A GITHUB, ESTE TIPO DE INFORMACIÓN QUEDA MUY
FÁCILMENTE VISIBLE
• ESTA HERRAMIENTA SIRVE PRECISAMENTE PARA ESTO: BUSCAR DATOS SENSIBLES EN
CÓDIGO HOSPEDADO EN GITHUB, BIEN EN GENERAL, BIEN PARA UN OBJETIVO
PARTICULAR O BIEN SOLO PARA CIERTOS TIPOS DE INFORMACIONES SENSIBLES
• UNA HERRAMIENTA SIMILAR PERO ESPECIALIZADA EN ENCONTRAR API KEYS ES
GITHOUND: HTTPS://WWW.KITPLOIT.COM/2019/07/GIT-HOUND-FIND-EXPOSED-KEYS-
ACROSS.HTML?M=1
José Manuel
Redondo López
 V GitRob https://github.com/michenriksen/gitrob

• ESTAES OTRA HERRAMIENTA USADA PARA ENCONTRAR FICHEROS CON INFORMACIÓN

SENSIBLE EN REPOSITORIOS PÚBLICOS DE GITHUB
• PUEDE CLONAR REPOSITORIOS PERTENECIENTES A LA ORGANIZACIÓN INDICADA
• EL CLONADO TIENE UNA PROFUNDIDAD CONFIGURABLE, PARA CONTROLAR EL USO DE
RECURSOS
• HECHO ESTO, RECORRERÁ LOS FICHEROS DEL REPOSITORIO EN BUSCA DE AQUELLOS
QUE CREA PERTINENTES
• EL RESULTADO SE PRESENTA EN UN INFORME WEB PARA SU ANÁLISIS
• TUTORIAL: HTTPS://MICHENRIKSEN.COM/BLOG/GITROB-PUTTING-THE-OPEN-SOURCE-
IN-OSINT/

José Manuel
Redondo López
 V GitGraber https://github.com/hisxo/gitGraber

• ESUNA HERRAMIENTA QUE SE USA APARA ENCONTRAR

DATOS SENSIBLES EN REPOSITORIOS DE GITHUB
• CONTEMPLA DATOS PROVENIENTES DE VARIAS FUENTES
QUE SE PUEDEN HABER DEJADO EN FICHEROS DEL
REPOSITORIO
• ENTRE OTRAS FUENTES INCLUYE
• Google
• Amazon (AWS)
• Paypal
• Github
• Facebook
• Twitter
• …
José Manuel
Redondo López
EXPLOITING / POST-
EXPLOITING
HACKING
THROUGH
ABILITY Servicios concretos
ABILITY Escalado de privilegios
THROUGH Cracking
HACKING Reversing
LOLbins / GTFOBins
Volver al Índice Web
Servicios Web
 V Metasploit Framework https://tools.kali.org/exploitation-
tools/metasploit-framework

• ES UNA PLATAFORMA SOFTWARE PARA EL DESARROLLO, PRUEBAS Y EJECUCIÓN DE

EXPLOITS
• SE USA PARA CREAR HERRAMIENTAS QUE HAGAN PRUEBAS DE SEGURIDAD COMO PARTE
DE UN PENTESTING
• DADA SU POTENCIA, ES UNA DE LAS HERRAMIENTAS MÁS UTILIZADAS POR LOS
AUDITORES DE SEGURIDAD
• INCLUYE UNA GRAN COLECCIÓN DE EXPLOITS Y UN ENTORNO DE DESARROLLO PARA
CREAR NUEVOS
• PUEDE SER PERSONALIZADO Y UTILIZADO PARA NECESIDADES
• CUENTA CON EL RESPALDO DE UNA COMUNIDAD DE DESARROLLADORES MUY EXTENSA
Y DE LA EMPRESA RAPID7
• EJEMPLO DE USO CON EL EXPLOIT BLUEKEEP
• https://www.flu-project.com/2019/10/Explotando-BlueKeep-con-Metasploit.html
José Manuel
Redondo López
 V Metasploit Framework: Conceptos

• PARA ENTENDER METASPLOIT FRAMEWORK HAY QUE VER ESTOS TÉRMINOS

• Exploit: código escrito para sacar partido de una vulnerabilidad y así conseguir
ciertos privilegios o tomar control del sistema o software vulnerado
• Un tipo especial es el 0-day, que es un exploit previamente desconocido y para el que aún
no existe parche o solución
• Payload: Es la “carga” de un exploit, es decir, el código malicioso que se ejecutará en
la máquina vulnerada
• Uno de los payloads más famosos es Meterpreter (visto después)
• Módulos: conjunto de funcionalidades que hacen más sencillo de usar un exploit o
un escaneo. Existen diferentes tipos de módulos
• Auxiliary: Con herramientas externas tal como escaners o sniffers
• Exploits: todos los exploits que el framework puede usar
• Payloads: distintos tipos de códigos maliciosos que se pueden usar si un exploit tiene éxito

José Manuel
Redondo López
 V Metasploit Framework: Conceptos

• Shellcode: conjunto de instrucciones que suelen ser inyectadas en la

pila de ejecución de un programa para que en la máquina en la que
reside se ejecute la operación que se haya programado.
• Msfpayload: Herramienta enfocada a generar shellcodes para inyectar
junto a los exploits o junto a un software
• Msfencode: Herramienta que se encarga de ofuscar y ocultar el código
malicioso a distintos tipos de software de seguridad (IDS, antivirus…)
• Es necesaria para saltarse sistemas de protección en entornos reales
• Msfvenom: combina la funcionalidad de msfpayload y msfencode
• Es decir, genera un shellcode y lo oculta

José Manuel
Redondo López
 V Metasploit Framework: Comandos básicos

• BACK: RETROCEDE AL DIRECTORIO ANTERIOR DENTRO DE LA CONSOLA DE METASPLOIT

• CHECK: PERMITE COMPROBAR SI LA CONFIGURACIÓN DE UN EXPLOIT ES CORRECTA
• CONNECT: MÓDULO DE NETCAT PARA CONECTARSE A UN HOST REMOTO QUE ADMITE
SSL, PROXIES, PIVOTING Y TRANSFERENCIA DE ARCHIVOS
• EDIT: PERMITE EDITAR EL EXPLOIT EN LA CONSOLA DE METASPLOIT
• EXIT: SALE DE METASPLOIT
• GREP: COMO EL GREP DE LINUX, PERO BUSCA ENTRE LOS MÓDULOS DEL FRAMEWORK
• HELP: AYUDA DE TODOS LOS COMANDOS DE LA CONSOLA DE METASPLOIT (MSFCONSOLE)
• INFO: PROPORCIONA UNA INFORMACIÓN DETALLADA DE UN EXPLOIT: AUTOR, CVES
ASOCIADOS Y QUE TIPO DE PAYLOADS PUEDE TENER

José Manuel
Redondo López
 V Metasploit Framework: Comandos básicos

• IRB: INVOCA UNA SHELL DE RUBY A TRAVÉS DE MSFCONSOLE PARA CREAR SCRIPTS O
EXPLOITS EN CALIENTE
• LOAD: PERMITE CARGAR UN PLUGIN DE METASPLOIT
• ROUTE: PERMITE ENRUTAR SOCKETS A TRAVÉS DE UNA SESIÓN, PERMITIENDO UNA
FORMA BÁSICA HACER PIVOTING
• SEARCH: BUSCA EN TODA LA BASE DE DATOS DE METASPLOIT
• SESSIONS: COMANDO PARA CONTROLAR LAS SESIONES OBTENIDAS CON EXPLOITS
• SET: PERMITE INTRODUCIR LOS PARÁMETROS DE CONFIGURACIÓN PARA EL FRAMEWORK
• SHOW: PERMITE MOSTRAR Y LISTAR UNA SECCIÓN DE METASPLOIT, COMO MÓDULOS
AUXILIARES O EXPLOITS
• USE: SIRVE PARA SELECCIONAR ENTRE LOS MÓDULOS DE METASPLOIT
José Manuel
Redondo López
 V Meterpreter https://www.offensive-security.com/metasploit-
unleashed/about-meterpreter/

• ES UN POSIBLE PAYLOAD DE LOS EXPLOITS DE METASPLOIT, PROBABLEMENTE ES EL MÁS

FAMOSO DE ELLOS
• ES ASÍ AL SER MUY AVANZADO Y EXTENSIBLE DINÁMICAMENTE
• USA INYECCIÓN INTRA-DLL Y UNA FORMA DE COMUNICARSE CON EL MISMO LLAMADA
STAGER
• ESTESTAGER EXPONE UN SOCKET Y UNA API DE CLIENTE EN RUBY PARA
COMUNICARSE CON EL Y CONSEGUIR MÚLTIPLES EFECTOS
• TUTORIAL DE USO
• https://medium.com/forensicitguy/making-meterpreter-look-google-signed-using-
msi-jar-files-c0a7970ff8b7

José Manuel
Redondo López
 V Meterpreter

• EL PROPÓSITO DE METERPRETER ES CLARO: SI EL EXPLOIT USADO PERMITE LANZAR UNA INSTANCIA DEL
MISMO COMO PAYLOAD, TENDREMOS UN CONTROL ENORME SOBRE EL SISTEMA ATACADO
• Lo cual da pie a gran nº de formas de toma de control, robo de información y otras actividades
maliciosas avanzadas
• ¡Es el payload definitivo! ☺
• ALGUNAS DE LAS CARACTERÍSTICAS MÁS IMPORTANTES SON
• Eliminación de archivos de log
• Captura de pantalla
• Carga y descarga de archivos
• Copiar información
• Extracción de información de configuración: Tablas de enrutamiento, tarjetas de red, registro de
Windows, configuración de seguridad, archivos compartidos, configuración de firewall…
• TODO ELLO SE HACE A TRAVÉS DE SUS COMANDOS, QUE VEREMOS A CONTINUACIÓN

José Manuel
Redondo López
 V Meterpreter: Comandos básicos

• COMANDOS PRINCIPALES
• BACKGROUND: Ejecuta la sesión actual en segundo plano para retornar a la línea de comandos
de Meterpreter
• Para volver a la sesión se ejecuta el comando sessions –i 1 (u otro ID de sesión)
• MIGRATE: Permite migrarse a otro proceso en la maquina víctima
• COMANDOS DEL SISTEMA DE FICHEROS
• LS: Permite visualizar los archivos en el directorio remoto actual
• DOWNLOAD: Permite descargar un archivo de la maquina atacada, es necesario hacer uso del
backslash doble en la ruta del mismo.
• UPLOAD: Permite cargar un archivo en una ruta especifica, siendo también necesario hacer uso
del doble backslash al momento de indicar la ruta
• SEARCH: Permite buscar archivos en la maquina víctima, indicando tipo de archivo o ruta base

José Manuel
Redondo López
 V Meterpreter: Comandos básicos

• COMANDOS DE RED
• IPCONFIG: Permite ver toda la información de las tarjetas de red existentes en la
maquina atacada
• ROUTE: Permite consultar y modificar la tabla de enrutamiento
• COMANDOS DEL SISTEMA
• EXECUTE: Permite ejecutar un comando
• GETPRIVS: Permite obtener tantos privilegios de administración como sea posible
• GETUID: Permite consultar el tipo de usuario que la maquina victima esta ejecutando
• PS: Permite consultar todos los procesos que están en ejecución
• SHELL: Permite obtener una línea de comandos
• SYSINFO: Permite obtener información del sistema remoto como nombre de la
maquina, SO, tipo de arquitectura...
José Manuel
Redondo López
 V Meterpreter: Comandos básicos

• COMANDOS DEL INTERFAZ DE USUARIO

• ENUMDESKTOPS: Permite consultar todas las sesiones (o escritorios)
• IDLETIME: Permite consultar el tiempo en el que el usuario de la maquina victima ha
estado ausente
• SCREENSHOT: Permite extraer una imagen del escritorio remoto
• UICTL: Permite controlar algunos de los componentes del sistema afectado
• COMANDOS DE LA BASE DE DATOS DE PASSWORDS
• HASHDUMP: Permite consultar el contenido del la base de datos SAM en sistemas
Windows

José Manuel
Redondo López
 V Metasploit Community https://github.com/rapid7/metasploit-framework

• GUI MUY AVANZADO QUE DESCUBRE VULNERABILIDADES Y PRUEBA

EXPLOITS EN FUNCIÓN DE LAS VULNERABILIDADES DESCUBIERTAS POR
EL METASPLOIT FRAMEWORK
• TIENE UNA VERSIÓN GRATUITA (COMMUNITY) Y DE PAGO. LA
GRATUITA INCLUYE
• Descubrimiento de redes
• Escáner de vulnerabilidades
• Capacidades básicas para lanzar exploits
• GUI sencillo (descubrir - seleccionar - vulnerar)
• FUNCIONA MEJOR SI SE COMBINA CON EL ESCANEADOR DE
VULNERABILIDADES NEXPOSE
• http://www.rapid7.com/products/nexpose/compare-downloads.jsp

• DOCUMENTACIÓN
• http://www.metasploit.com/about/how-do-i-use-it/documentation.jsp

• TUTORIAL DE USO
• https://www.offensive-security.com/metasploit-unleashed/

José Manuel
Redondo López
 V Armitage http://www.fastandeasyhacking.com

• ES OTRO GUI PARA EL METASPLOIT FRAMEWORK QUE,

SI BIEN NO ES TAN AVANZADO, SI QUE PERMITE
SACARLE PARTIDO A TODAS SUS CAPACIDADES
• ENTRE ELLAS EL LANZAMIENTO DE EXPLOITS (INCLUSO
RECOMENDANDO LOS QUE CONSIDERE MÁS
ADECUADOS) CONTRA OBJETIVOS QUE SE HAYAN
DESCUBIERTO
• ADEMÁS, OCUPA MENOS RECURSOS QUE EL GUI
ANTERIOR Y VIENE PREINSTALADO EN KALI LINUX
• POR ELLO, ES MUY POPULAR PARA ESTAS TAREAS
• TUTORIALES DE USO
• http://www.fastandeasyhacking.com/manual
• https://resources.infosecinstitute.com/how-to-attack-
windows-10-machine-with-metasploit-on-kali-linux/

José Manuel
Redondo López
 V Beef (Browser Exploitation Framework)
https://github.com/beefproject/beef

• ES UNA HERRAMIENTA DE PENTESTING QUE ATACA DIRECTAMENTE A

LOS NAVEGADORES WEB
• USA VULNERABILIDADES EN LOS NAVEGADORES WEB DEL CLIENTE
PARA PODER SALTARSE DEFENSAS PERIMETRALES: IDS, FIREWALLS…
• Se “acopla” a ellos convirtiéndolos en puntos de entrada
• USA FUNCIONALIDADES AVANZADAS Y VULNERABILIDADES DE LOS
NAVEGADORES PARA LANZAR COMANDOS A MÁQUINAS QUE SOLO
ESTÁN ACCESIBLES DESDE LA MÁQUINA DEL CLIENTE CUYO
NAVEGADOR SE HA “ENVENENADO” (REDES LOCALES)
• PERMITIENDO INCLUSO EL CONTROL REMOTO DE FUNCIONALIDADES Y
EL KEYLOGGING PARA AVERIGUAR PASSWORDS, ETC.
• POR LA EXISTENCIA DE HERRAMIENTAS COMO ESTA ES MUY
IMPORTANTE ELIMINAR VULNERABILIDADES XSS EN LA WEB, YA QUE
LOS EFECTOS DE ESTE FRAMEWORK PUEDEN SER CATASTRÓFICOS
• TUTORIALES
• https://www.fwhibbit.es/automatizando-vulnerabilidades-xss-con-beef
• https://resources.infosecinstitute.com/beef-part-1/
• https://resources.infosecinstitute.com/beef-part-2/
• https://www.hackers-arise.com/single-post/2017/05/22/Browser-
Exploitation-Framework-BeEF-Part-1
José Manuel
Redondo López
 V Immunity's CANVAS https://www.immunityinc.com/products/canvas/

• ES UNA COLECCIÓN DE CIENTOS DE EXPLOITS

• INCLUYE ADEMÁS UN SISTEMA DE EXPLOITING AUTOMATIZADO
• COMPLEMENTADO CON UN FRAMEWORK PARA EL DESARROLLO DE NUEVOS EXPLOITS
• ES MUY USADO A NIVEL MUNDIAL
• TUTORIAL
• https://www.immunityinc.com/products/canvas/tutorials.html

José Manuel
Redondo López
 V Exploit Pack https://exploitpack.com/

• CONTIENE MÁS DE 38000 EXPLOITS PARA TODO TIPO DE SISTEMAS OPERATIVOS

• Incluyendo plataformas móviles y web
• TIENEUN ENTORNO INTEGRADO QUE PERMITE LA REALIZACIÓN DE PENTESTING CON UNA SERIE DE
CONOCIMIENTOS MÍNIMOS
• AL POSEER TAL CANTIDAD DE EXPLOITS, ES RELATIVAMENTE FÁCIL PODER ENCONTRAR UNO QUE
FUNCIONA CONTRA UNA VULNERABILIDAD EXISTENTE EN UNA APLICACIÓN ESTUDIADA
• POR LA EXISTENCIA DE HERRAMIENTAS COMO ESTA ES TAN IMPORTANTE MANTENER LAS APLICACIONES
ACTUALIZADAS Y CORRECTAMENTE CONFIGURADAS
• ADEMÁS DE MANTENER EL CONJUNTO DE PROGRAMAS MÍNIMO NECESARIO PARA HACER LAS FUNCIONES
NECESARIAS
• TUTORIAL
• https://juansacco.gitbooks.io/exploitpack/content/what-are-the-packs/first-steps-with-the-tool.html

José Manuel
Redondo López
 V Red Ghost https://github.com/d4rk007/RedGhost

• ES UN FRAMEWORK DE POST-EXPLOTACIÓN PARA

LINUX
• ESCRITO EN LENGUAJE DE SCRIPT DE BASH
• SIRVE, ENTRE OTROS, PARA
• Lograr un reverse shell y ejecutar comandos en
el sistema vulnerado
• Escalado de privilegios, incluyendo sudo
• Ejecución de payloads inyectados en comandos
del sistema
• Keylogger
• Acceso persistente a la máquina y de las
funcionalidades del framework
• Borrar logs y con ellos las evidencias de los
ataques hechos

José Manuel
• Obtener información variada del sistema
Redondo López
 V Evil-WinRM https://github.com/Hackplayers/evil-winrm

• ES UN SHELL QUE IMPLEMENTA EL PROTOCOLO DE MICROSOFT WS-

MANAGEMENT ESPECIALIZADO EN PENTESTING
• ESTE PROTOCOLO SOAP SIRVE PARA QUE DISPOSITIVOS Y SO DE
DIFERENTES FABRICANTES PUEDAN INTEROPERAR, Y DE ESTA MANERA
FACILITAR EL TRABAJO A LOS ADMINISTRADORES

• EN WINDOWS ESTA CARACTERÍSTICA ESTÁ ACTIVA EN EL PUERTO

5985
• NECESITA CREDENCIALES DE USUARIO Y PERMISOS PARA EJECUTARLO,
POR LO QUE TIENE SENTIDO EN UNA POST-EXPLOTACIÓN

• CARACTERÍSTICAS PRINCIPAL
• Descarga y carga de ficheros
• Listado de servicios
• Soporte de Powershell completo, incluyendo la carga de
scripts
• Carga en memoria de DLLs y de programas C# para que
algunos antivirus no lo detecten
• TUTORIAL
• https://kalilinuxtutorials.com/evil-winrm-hacking-pentesting/
José Manuel
Redondo López
 V PowerHub https://github.com/AdrianVollmer/PowerHub

• ES UNA HERRAMIENTA DE POST-EXPLOITING BASADA EN WEB

• SU PRINCIPAL FUNCIONALIDAD ES TRANSFERIR FICHEROS
DESDE/HACIA LA MÁQUINA ATACADA

• USANDO UNA CODIFICACIÓN QUE PERMITA SALTARSE

PROTECCIONES QUE LA MÁQUINA PUEDA TENER

• FACILITA ENORMEMENTE EL TRABAJO CON FICHEROS SOBRE

UNA MÁQUINA VULNERADA, PERMITIENDO INCLUSO LA
EJECUCIÓN DE BINARIOS EN MEMORIA

• INCORPORA LA POSIBILIDAD DE EJECUTAR UN REVERSE

POWERSHELL PARA TOMAR CONTROL TOTAL DE LA MÁQUINA
VULNERADA

• ES UNA HERRAMIENTA MODULAR

• TUTORIAL
• https://github.com/AdrianVollmer/PowerHub/wiki

José Manuel
Redondo López
 V Frameworks de Post-Explotación (C2)

• POWERHUB ES UN FRAMEWORK DE POST-EXPLOTACIÓN MÁS DE LOS MUCHOS

EXISTENTES PARA OBTENER INFORMACIÓN / HACERSE EL CONTROL DE MÁQUINAS
• TAMBIÉN SON LLAMADOS FRAMEWORKS C2 (COMMAND & CONTROL)
• AQUÍ HAY UN LISTADO DE LOS MÁS POPULARES OPEN SOURCE CON UNA PEQUEÑA
EXPLICACIÓN: HTTPS://WWW.HACKPLAYERS.COM/2019/08/LISTADO-DE-FRAMEWORKS-
C2.HTML
• COMO PUEDE VERSE, UNA VEZ SE HA VULNERADO UN SISTEMA LA CANTIDAD DE
OPCIONES PARA HACERNOS CON EL CONTROL TOTAL DEL MISMO U OBTENER
CUALQUIER CLASE DE INFORMACIÓN SENSIBLE ES ALTÍSIMA
• LOSENLACES A LAS WEBS OFICIALES DE LOS MISMOS APARECEN EN LA SIGUIENTE
DIAPOSITIVA

José Manuel
Redondo López
 V Frameworks de Post-Explotación (C2)

• APFELL: HTTPS://GITHUB.COM/ITS-A-FEATURE/APFELL
• AURA BOTNET: HTTPS://GITHUB.COM/WATERSALESMAN/AURA-BOTNET
• COVENANT: HTTPS://GITHUB.COM/COBBR/COVENANT
• FACTION C2: HTTPS://GITHUB.COM/FACTIONC2/FACTION
• FUDGEC2: HTTPS://GITHUB.COM/ZICONIUS/FUDGEC2
• IBOMBSHELL: HTTPS://GITHUB.COM/ELEVENPATHS/IBOMBSHELL
• KOADIC: HTTPS://GITHUB.COM/ZEROSUM0X0/KOADIC
• MERLIN: HTTPS://GITHUB.COM/NE0ND0G/MERLIN
• NUAGES: HTTPS://GITHUB.COM/P3NT4/NUAGES
• POSHC2: HTTPS://GITHUB.COM/NETTITUDE/POSHC2_PYTHON
• SLIVER: HTTPS://GITHUB.COM/BISHOPFOX/SLIVER/
• SILENTTRINITY: HTTPS://GITHUB.COM/BYT3BL33D3R/SILENTTRINITY
• TREVORC2: HTTPS://GITHUB.COM/TRUSTEDSEC/TREVORC2
José Manuel
Redondo López
 V Shells remotos

• UNO DE LOS PRINCIPALES OBJETIVOS DE UN ATACANTE ES ABRIR UN SHELL EN EL

SISTEMA REMOTO
• NO TIENE PORQUE SER UN USUARIO PRIVILEGIADO: EL ESCALADO DE PRIVILEGIOS PUEDE
VENIR UNA VEZ DENTRO
• HAY VARIAS TÉCNICAS PARA ELLO. ESTOS ENLACES DESCRIBEN LAS MÁS TÍPICAS
• Técnicas para abrir shells a través de páginas web:
https://dfir.it/blog/2015/08/12/webshell-every-time-the-same-purpose/
• Bind y reverse shells con netcat:
https://www.hackingtutorials.org/networking/hacking-netcat-part-2-bind-reverse-
shells/
• Reverse shells vía SSL con RevSSL: https://github.com/TheSecondSun/Revssl

José Manuel
Redondo López
 V Otros recursos para exploiting

• A LIST OF USEFUL PAYLOADS AND BYPASS FOR WEB APPLICATION SECURITY AND
PENTEST/CTF: HTTPS://GITHUB.COM/SWISSKYREPO/PAYLOADSALLTHETHINGS
• A GUIDE TO HACKING WITHOUT METASPLOIT: HTTPS://MEDIUM.COM/@HAKLUKE/HAKLUKES-
GUIDE-TO-HACKING-WITHOUT-METASPLOIT-1BBBE3D14F90

• Esta guía tiene sentido en nuestro contexto porque en los exámenes de algunas
certificaciones o en algunos CTFs está prohibido el uso de Metasploit
• Eso requiere conocer otras técnicas de más bajo nivel que suplan la carencia de esta
herramienta
• También es útil en los casos en los que nuestra máquina “de ataque” no tenga opción
o soporte para su instalación

José Manuel
Redondo López
 V Desarrollo de exploits

• LOSEXPLOITS SON PROGRAMAS COMO OTROS CUALQUIERA, PERO CREADOS PARA

SACAR PARTIDO DE UNA VULNERABILIDAD
• ELDESARROLLO DE LOS MISMOS ES MÁS DIFÍCIL DADO QUE EL OBJETIVO LES HACE
INHERENTEMENTE MÁS COMPLEJOS
• NECESITAMOS UNA VULNERABILIDAD Y LUEGO ACCESO A ALGUNA PARTE O DATOS
RESTRINGIDOS
• POR SUERTE HAY HERRAMIENTAS QUE FACILITAN SU DESARROLLO
• Zeratool (https://github.com/ChrisTheCoolHut/Zeratool): Una herramienta para
analizar binarios y detectar puntos donde introducir código arbitrario ejecutable
• El código se puede introducir más fácilmente gracias a pwntools
(https://github.com/Gallopsled/pwntools)
• Sysanalyzer: herramienta que permite ver y comparar todas las acciones que hace un
determinado ejecutable en el sistema
• Puede usarse para analizar un malware y aprender de su funcionamiento
José Manuel
Redondo López
 EXPLOITING

Técnicas para Servicios Concretos

Exploiting
 V Sobre los servicios del objetivo estudiado

• ENLA PRIMERA PARTE DE LA PRESENTACIÓN VIMOS QUE, UNA VEZ DENTRO DE HACK THE BOX,
PASÁBAMOS A ESTUDIAR UN OBJETIVO
• PARAELLO AVERIGUÁBAMOS LOS SERVICIOS QUE OFRECÍA Y TANTEÁBAMOS POSIBLES VÍAS DE ATAQUE
POR CADA UNO DE ELLOS
• CADA SERVICIO DE UN SERVIDOR TIENE POSIBLES VÍAS DE ATAQUE DIFERENTES, Y NORMALMENTE SE
TRATA DE ELEGIR UNO Y PROBARLAS HASTA DAR CON ALGO “JUGOSO”
• EN ESTA SECCIÓN VAMOS A VER EJEMPLOS DE ALGUNOS DE ESTOS SERVICIOS COMUNES Y SUS
POSIBLES VÍAS DE ATAQUE
• PEROHAY MUCHOS MÁS (HTTPS://EN.WIKIPEDIA.ORG/WIKI/LIST_OF_TCP_AND_UDP_PORT_NUMBERS), Y EL
PROCEDIMIENTO SIEMPRE ES EL MISMO
• Averigua qué es y lo que hace si no lo conoces de antemano
• Busca posibles vías de ataque, vulnerabilidades o herramientas que te ayuden a hacerlo, que
implementen mecanismos contra ese tipo de servicio
• Pruébalas y, en función de lo que vaya ocurriendo, mira a ver qué consecuencias puedes ir
sacando y si con ellas puedes hacer evolucionar el proceso a otras vías o usar otras
herramientas complementarias
José Manuel
Redondo López
 V Técnicas contra servicios específicos

• PUERTOS 20, 21: PROTOCOLO FTP DE TRANSFERENCIA DE ARCHIVOS

• https://shahmeeramir.com/penetration-testing-of-an-ftp-server-19afe538be4b?gi=7ff957ff0d64
• http://www.pablin.com.ar/computer/info/varios/hackftp1.htm
• https://www.hackingarticles.in/6-ways-to-hack-ftp-login-password/
• PUERTO 22: PROTOCOLO PARA CONEXIONES CIFRADAS SSH
• https://www.hackingarticles.in/ssh-penetration-testing-port-22/
• PUERTO 23: PROTOCOLO PARA CONEXIONES SIN CIFRAR TELNET
• Una antigüedad que no debería estar activo
• https://www.hackingarticles.in/penetration-testing-telnet-port-23/
• PUERTO 25: SMTP (SIMPLE MAIL TRANSFER PROTOCOL)
• https://www.dummies.com/programming/networking/smtp-hacks-and-how-to-guard-against-them/
• Protección y pentesting general de servidores de Mail: https://www.apriorit.com/qa-blog/428-mail-server-
security-testing

José Manuel
Redondo López
 V Técnicas contra servicios específicos

• PUERTO 53: DNS (DOMAIN NAME SYSTEM)

• https://securitytrails.com/blog/most-popular-types-dns-attacks
• PUERTO 67, 68, 135 (WINDOWS): DHCP
• http://www.omnisecu.com/ccna-security/dhcp-starvation-attacks-and-dhcp-spoofing-attacks.php
• https://www.cisco.com/c/dam/global/en_ae/assets/exposaudi2009/assets/docs/layer2-attacks-and-
mitigation-t.pdf
• PUERTO 110: POST OFFICE PROTOCOL (POP3)
• http://blog.extremehacking.org/blog/2015/11/13/attacking-pop3-using-dictionary-attack/
• PUERTO 137-139: PROTOCOLO DE RESOLUCIÓN DE NOMBRES NETBIOS
• https://www.darknet.org.uk/2006/09/remote-network-penetration-via-netbios-hackhacking/
• https://www.hackingarticles.in/netbios-and-smb-penetration-testing-on-windows/
• PUERTO 161: SIMPLE NETWORK MANAGEMENT PROTOCOL (SNMP)
• Protocolo de manejo de dispositivos en red tradicionalmente muy inseguro
• https://resources.infosecinstitute.com/snmp-pentesting/
José Manuel
Redondo López
 V Técnicas contra servicios específicos

• PUERTO 445: PROTOCOLO PARA COMPARTIR ARCHIVOS SMB

• https://www.hackingarticles.in/smb-penetration-testing-port-445/
• PUERTO 3389: PROTOCOLO DE ESCRITORIO REMOTO RDP
• https://securityhacklabs.net/articulo/explotando-y-obteniendo-conexion-de-escritorio-remoto-
en-un-servidor-windows
• http://www.elladodelmal.com/2017/04/como-robar-sesiones-rdp-en-windows-sin.html
• https://securityaffairs.co/wordpress/80720/hacking/reverse-rdp-attack.html
• A CONTINUACIÓN VEREMOS ALGUNAS HERRAMIENTAS ESPECÍFICAMENTE DISEÑADAS CONTRA
SERVICIOS CONCRETOS

José Manuel
Redondo López
 V Davtest (WebDAV) https://github.com/cldrn/davtest

• ESTE PROGRAMA INTENTA EXPLOTAR SERVIDORES QUE

TENGAN HABILITADO WEBDAV CON DISTINTAS
TÉCNICAS
• Intentando crear un nuevo directorio (comando MKCOL)
• Intentando crear ficheros de prueba en distintos
lenguajes de programación (comando PUT)
• También ficheros arbitrarios
• Opcionalmente, intentando crear ficheros .txt que
luego se convierten a ejecutables (comando MOVE o
COPY)
• Comprobando si hubo ficheros subidos o ejecutados
• Opcionalmente, subiendo backdoors / shells en
lenguajes admitidos por el servidor

• TUTORIAL
• https://kalilinux.foroactivo.com/t15-tutorial-de-
davtest-para-kali-linux

José Manuel
Redondo López
 V SNMPWalk (incluida en Kali)

• SIMPLE NETWORK MANAGEMENT PROTOCOL

ES UN
PROTOCOLO UTILIZADO POR DISPOSITIVOS DE RED PARA
INTERCAMBIAR INFORMACIÓN ENTRE ÉSTOS

• FACILITA A LOS ADMINISTRADORES DE RED LA SUPERVISIÓN,

FUNCIONAMIENTO Y RESOLUCIÓN DE PROBLEMAS EN LA RED
DE COMUNICACIONES

• LAS VERSIONES DE SNMP MÁS UTILIZADAS SON LA VERSIÓN

1 (SNMPV1) Y LA (SNMPV2)
• LA VERSIÓN 3 DE SNMP (SNMPV3) INCLUYE CAMBIOS Y ES
MUCHO MÁS SEGURA, PERO PRESENTA PROBLEMAS DE
IMPLEMENTACIÓN E INCOMPATIBILIDADES, SIENDO MENOS
USADA

• SNMPWALK EXAMINA EL OBJETIVO PARA VER SI USA ESTE

PROTOCOLO Y PERMITE DESCUBRIR VULNERABILIDADES
DERIVADAS DE ELLO

• TUTORIAL
• https://hacking-etico.com/2014/03/27/leyendo-
José Manuel informacion-snmp-con-snmpwalk/
Redondo López
 V Smbclient (incluido en Kali)

• PARTE DE UN PAQUETE QUE TIENE LAS SIGUIENTES HERRAMIENTAS QUE NOS

PERMITEN EXAMINAR EL USO DEL PROTOCOLO EN UN PENTEST

• findsmb: Lista información de equipos que responden a una consulta

de nombres SMB en una red
• smbclient: Cliente para recursos compartidos en servidores SMB/CIFS
• smbget: Parecido al wget, para descargar archivos en servidores SMB
• smbtar: Script de consola que funciona sobre SmbClienty permite
hacer copias de seguridad de recursos compartidos SMB/CIFS
• rpcclient: Herramienta para ejecutar del lado del cliente las funciones
MS-RPC o Microsoft Remote Procedure Call
• smbspool: Envía un archivo a una impresora SMB
• smbtree: Browser SMB en modo texto que imprime un árbol de los
dominios conocidos, sus servidores y sus recursos compartidos
• smbcacls: Herramienta para manipular las Listas de Control de
Acceso NT en carpetas o archivos compartidos de tipo SMB
• smbcquotas: administra las cuotas en recursos compartidos SMB
• TUTORIALES
• https://blog.desdelinux.net/samba-smbclient/
• https://eltallerdelbit.com/clientes-smb-samba/
José Manuel
Redondo López
 V Enum4Linux https://github.com/portcullislabs/enum4linux

• ENUMERA INFORMACIÓN QUE SE PUEDE OBTENER DE

SERVIDORES QUE SOPORTEN SAMBA/SMB COMO
• RID cycling (enumeración de cuentas de usuario en
sistemas antiguos)
• Listado de usuarios
• Listado de miembros de grupos
• Listado de recursos compartidos
• Detección de si un host pertenece a un dominio o
grupo de trabajo
• Identificación del SO del servidor examinado
• Identificación de la política de passwords usada
• TUTORIALES
• https://noticiasseguridad.com/tutoriales/enum4linux-
extraiga-informacion-de-una-maquina-windows/
• https://highon.coffee/blog/enum4linux-cheat-sheet/
José Manuel
Redondo López
 V Showmount (incluida en Kali)

• NETWORK FILE SYSTEM (NFS) PERMITE A SERVIDORES

MONTAR SISTEMAS DE FICHEROS REMOTOS EN UNA RED

• DE ESTA FORMA UN SERVIDOR PUEDE EXPORTAR DE SU

SISTEMA DE FICHEROS UN DIRECTORIO QUE PUEDE SER
MONTADO POR OTRAS MÁQUINAS REMOTAS
• Así puede compartirse información de forma casi transparente
• Pero si el directorio exportado tiene información privada o
sensible, puede ser un problema

• SHOWMOUNT LOCALIZA DIRECTORIOS MONTABLES PARA

EXAMINARLOS Y DETERMINAR SI TIENEN ALGO INTERESANTE

• NECESITA INSTALAR EL PAQUETE NFS-COMMON

• HAY UN SCRIPT DE NMAP CON LAS MISMA FUNCIONALIDAD:
HTTPS://NMAP.ORG/NSEDOC/SCRIPTS/NFS-SHOWMOUNT.HTML

• TUTORIAL
• https://resources.infosecinstitute.com/exploiting-nfs-
share/#gref
José Manuel
Redondo López
 V Rpcinfo (incluida en Kali)

• HACE LLAMADAS DE REMOTE PROCEDURE CALL CON

DIFERENTES TÉCNICAS A UN SERVIDOR QUE LAS
SOPORTE, INFORMANDO DE LO QUE ENCUENTRA
• LISTATODOS LOS SERVICIOS RPC EXISTENTES CON
USANDO RPCBIND EN EL HOST INDICADO
• POSTERIORMENTE, HACE LO MISMO CON RPCBIND
VERSIÓN 2, MÁS MODERNA
• FINALMENTE, HACE UNA LLAMADA RPC A PROGNUM Y
VERSNUM PARA VER SI SE OBTIENE RESPUESTA Y TENER
ASÍ MÁS INFORMACIÓN, USANDO DIVERSAS TÉCNICAS
PARA ELLO
• TUTORIALES
• https://linux.die.net/man/8/rpcinfo
• http://systemadmin.es/2012/11/escaneo-rpc-
con-nmap-y-rpcinfo
José Manuel
Redondo López
 V SMTPTester https://github.com/xFreed0m/SMTPTester

• SCRIPT DE PYTHON 3 QUE PRUEBA SERVIDORES SMTP

• DETECTA TRES TIPOS DE VULNERABILIDADES
• Spoofing: Si es posible enviar un email en
nombre de un usuario registrado
• Relay: Si es posible usar este servidor para
enviar emails a otras direcciones fuera de la
compañía propietaria del mismo
• Enumeración de usuarios: Mediante el
comando SMTP VRFY, comprueba si existe un
usuario / email concreto en el servidor
• TUTORIAL
• https://www.kitploit.com/2019/10/smtptester-
tool-to-check-common.html

José Manuel
Redondo López
 EXPLOITING

Técnicas de Escalado de Privilegios

Exploiting
 V ¿Escalado de privilegios?

• UNA VEZ QUE CONSIGAMOS UN SHELL O SEAMOS UN USUARIO ESTÁNDAR EN UN

SISTEMA, UNA DE LAS ACCIONES MÁS TÍPICAS EN UN CTF ES INTENTAR HACER UN
ESCALADO DE PRIVILEGIOS
• SE
HACE A USUARIOS CON PERMISOS SOBRE UNA DETERMINADA PARTE DEL SISTEMA
QUE NOS INTERESE, O CUENTAS TIPO ADMINISTRADOR
• EL ESCALADO DE PRIVILEGIOS PUEDE SONAR A CIENCIA FICCIÓN, PERO EN REALIDAD
EXISTEN UNA SERIE DE MÉTODOS DOCUMENTADOS BASTANTE TÍPICOS QUE PODEMOS
SEGUIR PARA HACERLOS
• PORTANTO, DEBEMOS SEGUIR DICHOS MÉTODOS EN UN SISTEMA UNA VEZ ESTEMOS
DENTRO, VER SI SON APLICABLES Y SACARLES PARTIDO
• COMO ES OBVIO, LOS MÉTODOS DE ESCALADO DE PRIVILEGIOS VARÍAN SI EL SO ES
WINDOWS, LINUX O MACOS
José Manuel
Redondo López
 V Técnicas típicas de escalado de privilegios

• HAY MUCHAS TÉCNICAS DE ESCALADO DE PRIVILEGIOS QUE SE PUEDEN PROBAR

• PARA SISTEMAS LINUX PODEMOS ENCONTRAR UNA CLASIFICACIÓN DE ARTÍCULOS QUE HABLAN DE LAS MISMAS AQUÍ:
HTTPS://GITHUB.COM/IGNITETECHNOLOGIES/PRIVILEGE-ESCALATION
• LA CLASIFICACIÓN DIVIDE LAS TÉCNICAS EN LAS SIGUIENTES CATEGORÍAS
• Abuso de los privilegios de sudo
• Bit SUID
• Exploits del Kernel
• Variable Path
• Enumeración
• MySQL
• Crontab
• Inyección de wildcards
• Capabilities
• Fichero etc/passwd con permisos de escritura
• Ficheros o scripts con permisos de escritura para root
• Buffer Overflow
• Docker
José Manuel
Redondo López
 V Técnicas de escalado de privilegios por SO
• TÉCNICAS PARA SSOO TIPO LINUX
• Checklist para un CTF: https://failingsilently.wordpress.com/2017/08/07/privesc/
• Clasificación de las técnicas típicas: https://payatu.com/guide-linux-privilege-escalation/
• Técnicas usando binarios SETUID: https://www.hackingarticles.in/linux-privilege-escalation-using-suid-
binaries/
• Técnicas usando scp (secure copy): https://www.hackingarticles.in/linux-for-pentester-scp-privilege-
escalation/
• Técnicas diversas: https://d00mfist1.gitbooks.io/ctf/privilege_escalation_-_linux.html
• TÉCNICAS PARA SSOO TIPO WINDOWS
• Técnicas básicas: https://www.fuzzysecurity.com/tutorials/16.html
• Enumeración de técnicas: https://sushant747.gitbooks.io/total-oscp-
guide/privilege_escalation_windows.html
• Windows Privilege Escalation Methods for Pentesters: https://pentest.blog/windows-privilege-
escalation-methods-for-pentesters/
• Windows Privilege Abuse: Auditing, Detection, and Defense: https://medium.com/palantir/windows-
privilege-abuse-auditing-detection-and-defense-3078a403d74e
• TÉCNICAS PARA SSOO TIPO MACOS
• Bypassing MacOS Privacy Controls: https://blog.xpnsec.com/bypassing-macos-privacy-controls/
José Manuel
Redondo López
 V Mongoose https://github.com/lawrenceamer/0xsp-Mongoose

• ES UNA HERRAMIENTA QUE EXAMINA UN SISTEMA EN

BUSCA DE FORMAS DE HACER ESCALADO DE
PRIVILEGIOS EN UN SISTEMA OPERATIVO
• OBTIENE INFORMACIÓN DEL SO Y LA ENVÍA A UN
INTERFAZ GRÁFICO PARA PRESENTARLA DE FORMA
ORDENADA Y FÁCIL DE EXAMINAR
• ESTÁ DIVIDIDO EN DOS EJECUTABLES PRINCIPALES
• Servidor: presenta los datos recibidos de las
máquinas que se examinan para su análisis
• Agente: que reside en las máquinas examinadas
y envía la información encontrada a un servidor
• También admite trabajar sin servidor y guardar
toda la información localmente
• Por tanto, puede funcionar solamente en línea de
comandos
José Manuel
Redondo López
 V UAC-A-MOLA https://github.com/ElevenPaths/uac-a-mola

• ESUNA HERRAMIENTA QUE AYUDA A INVESTIGADORES

EN SEGURIDAD A DESCUBRIR NUEVAS FORMAS DE
SALTARSE LOS CONTROLES DE LA UAC (USER ACCOUNT
CONTROL) DE WINDOWS
• PERMITETAMBIÉN DETECTOR Y EXPLOTAR FORMAS
CONOCIDAS DEL SALTARSE EL MISMO
• YCONTIENE MÓDULOS PARA PROTEGER Y MITIGAR LAS
POSIBLES VULNERABILIDADES ENCONTRADAS
• SU ASPECTO ES EL DE UNA VERSIÓN LIGERA DE
METERPRETER
• TUTORIALES
• https://www.kitploit.com/2019/10/uac-mola-
tool-that-allows-security.html
• https://www.elladodelmal.com/2019/10/uac-
mola3-evolucionando-hacia-el.html
José Manuel
Redondo López
 EXPLOITING

Cracking de Contraseñas

Exploiting
 V John the Ripper http://www.openwall.com/john/

• JOHNTHE RIPPER ES UN CRACKEADOR DE

PASSWORDS MULTIPLATAFORMA POPULAR
• SU PROPÓSITO ES DETECTAR PASSWORDS
DÉBILES EN UNIX/LINUX, AUNQUE PUEDE
ROMPER CLAVES EN OTROS SSOO TAMBIÉN
• SUCOMUNIDAD DE DESARROLLADORES HA
MEJORADO LA HERRAMIENTA ENORMEMENTE
CON NUEVAS FUNCIONALIDADES
• TUTORIALES DE USO
• https://www.tunnelsup.com/getting-started-
cracking-password-hashes/
• https://www.openwall.com/john/doc/EXAMPLES.
shtml
José Manuel
Redondo López
 V Hashcat https://hashcat.net/hashcat/

• HASHCAT ES POSIBLEMENTE LA HERRAMIENTA MÁS

EXTENDIDA Y EFICAZ PARA OBTENER CONTRASEÑAS
• TIENE LA VENTAJA DE SOPORTAR UNA ENORME
CANTIDAD DE TIPOS DE HASHES DE CONTRASEÑAS
• Y, SOBRE TODO, HABER INTEGRADO EN EL MISMO
EJECUTABLE LA CAPACIDAD DE USAR LA GPU PARA
ACELERAR EL PROCESO
• ¡No solo depende la CPU!
• Detectará el tipo de GPU instalada y usará sus
capacidades para su trabajo
• POR TANTO, + POTENCIA DE LA GPU ES + CAPACIDAD
PARA TERMINAR SU TRABAJO EN MENOS TIEMPO
• TUTORIAL DE USO
• https://www.securityartwork.es/2017/02/15/cracking-
contrasenas-hashcat/
José Manuel
Redondo López
 V Ophcrack http://ophcrack.sourceforge.net/

• ESOTRA HERRAMIENTA DE CRACKEO DE CONTRASEÑAS

MULTIPLATAFORMA BASADA EN LAS TÉCNICAS DE
RAINBOW TABLES
• https://en.wikipedia.org/wiki/Rainbow_table
• COMO PRINCIPAL VENTAJA TIENE SU GUI Y EL HECHO
DE PODER SER EJECUTADA DESDE UN LIVECD QUE
INCLUYE LAS TABLAS QUE NECESITA PARA FUNCIONAR
• ES
POR TANTO UNA HERRAMIENTA USADA EN SISTEMAS
DONDE SE LOGRA ACCESO FÍSICO
• PODRÁ AVERIGUAR CLAVES SIMPLEMENTE EXPLORANDO
LOS ARCHIVOS PERTINENTES EN EL DISCO DURO DE LA
MÁQUINA
• TUTORIAL
• https://joseconejos.wordpress.com/2018/06/10/como-
recuperar-o-hackear-una-contrasena-con-ophcrack/
José Manuel
Redondo López
 V THC Hydra https://github.com/vanhauser-thc/thc-hydra

• ES OTRA HERRAMIENTA DE CRACKING DE CONTRASEÑAS CON

SOPORTE MULTIHILO Y GUI OPCIONAL

• ES ALTAMENTE MODULAR, POR LO QUE PERMITE MEJORAR SU

FUNCIONALIDAD A QUIEN LO NECESITE

• CARACTERÍSTICAS
• Manejo avanzado de los recursos de memoria consumidos
• Creación de rainbow tables para cracking más eficiente de
cualquier algoritmo de hashing y conjunto de caracteres
• Uso de todos los recursos computacionales disponibles, es
decir, de todos los cores que la CPU tenga
• Multiplataforma: Windows, Linux
• TUTORIALES
• https://www.hempstutorials.co.uk/brute-forcing-
passwords-with-thc-hydra/
• Uso con el proxy TamperData para bruteforcing web:
https://null-byte.wonderhowto.com/how-to/hack-like-
pro-crack-online-passwords-with-tamper-data-thc-hydra-
José Manuel 0155374/
Redondo López
 V Mimikatz https://github.com/gentilkiwi/mimikatz

• MIMIKATZ ES UNA HERRAMIENTA QUE ENTRE OTRAS

CARACTERÍSTICAS PERMITE
• EL VOLCADO DE CONTRASEÑAS EN TEXTO CLARO DE UN
SISTEMA WINDOWS
• LAEXPORTACIÓN DE CERTIFICADOS MARCADOS COMO
NO EXPORTABLES
• LA OBTENCIÓNDE HASHES DE LA SAM DE WINDOWS
(SU ARCHIVO DE CONTRASEÑAS), PARA LUEGO
INTENTAR ROMPERLOS CON JOHN O HASHCAT
• EJEMPLO DE USO Y OTRAS HERRAMIENTAS
PARECIDAS
• https://blog.elhacker.net/2017/11/mimikatz-
herramienta-hacking-de-antano-usada-aun-hoy-en-
dia.html

José Manuel
Redondo López
 V Patator https://github.com/lanjelot/patator

• ESUN SCRIPT DE PYTHON CUYO OBJETIVO ES

AVERIGUAR CONTRASEÑAS POR FUERZA BRUTA
• LA PRINCIPAL VENTAJA ES QUE ES MODULAR
(UN MÓDULO DISTINTO PARA CADA SERVICIO)
• Y ESA ESTRUCTURA MODULAR LE PERMITE SER
ÚTIL CON UNA ENORME CANTIDAD DE
SOFTWARE DE USO FRECUENTE QUE USA
CONTRASEÑAS (VER IMAGEN)
• PORTANTO, ES UNA DE LAS HERRAMIENTAS
MÁS VERSÁTILES EN ESTOS ESCENARIOS
• TUTORIAL
• https://www.ihacklabs.com/es/poc-fuerza-bruta-
con-patator/
José Manuel
Redondo López
 V Hashid https://github.com/psypanda/hashID

• NO ES UN CRACKEADOR DE CONTRASEÑAS, PERO SI QUE

SIRVE DE AYUDA A LOS MISMOS
• ACTUALMENTE ES MUY DIFÍCIL ENCONTRARSE
CONTRASEÑAS EN TEXTO PLANO, CUALQUIER SISTEMA
QUE SE TOME LA SEGURIDAD EN SERIO GUARDA LAS
MISMAS EN FORMA DE HASH NO REVERSIBLE
• ALGORITMOS DE HASHING HAY MUCHOS, Y CON
DIFERENTES FORTALEZAS
• PERO EL PRIMER PASO PARA INTENTAR DESCIFRAR LA
INFORMACIÓN ES SABER QUÉ TIPO DE ALGORITMO SE
HA USADO PARA CREAR UNA HASH
• MUCHAS HERRAMIENTAS LO HACEN
AUTOMÁTICAMENTE, PERO SI FALLAN O NO LO HACEN,
HASHID HACE ESE TRABAJO
• ES DECIR, DADA UNA HASH INTENTA PREDECIR EL
ALGORITMO CON EL QUE SE HA CREADO
José Manuel
Redondo López
 V Cryptovenom https://github.com/lockedbyte/cryptovenom

• HERRAMIENTA QUE CONTIENE UNA GRAN

CANTIDAD DE SISTEMAS DE CRIPTOANÁLISIS
• SU OBJETIVO ES AYUDAR A SUPERAR RETOS DE
CTF BASADOS EN CRIPTOANÁLISIS O BIEN LABORES
DE PENTEST QUE LO REQUIERAN
• INCLUYE
• Algoritmos de cifrado clásicos
• Algoritmos de hashing
• Algoritmos de codificación
• Puestas lógicas
• Funciones matemáticas relacionadas
• Métodos de cifrado simétricos y asimétricos
modernos
• LA PROPIA PÁGINA OFICIAL INCLUYE UN TUTORIAL
DE USO
José Manuel
Redondo López
 V Contraseñas en una red corporativa

• CUANDO UNO SE CONECTA A UNA MÁQUINA EN UN ENTORNO CORPORATIVO, ES MÁS

QUE POSIBLE QUE SU BASE DE DATOS DE USUARIOS (SAM EN WINDOWS O /ETC/PASSWD
EN LINUX) NO ESTÉ EN LOCAL
• SINOQUE SE VALIDE CONTRA UNA MÁQUINA EXTERNA QUE CONTIENE LOS USUARIOS
VÁLIDOS PARA UN ENTORNO CORPORATIVO
• POR
TANTO, SI UNO QUIERE AVERIGUAR LA CONTRASEÑA DE UN USUARIO, MIRAR LA
MÁQUINA LOCAL PUEDE SERVIR DE MUY POCO O DE NADA
• ESNECESARIO ACTUAR CONTRA QUIEN VERDADERAMENTE ES RESPONSABLE DE LA
AUTENTICACIÓN
• ¿Y QUIEN ES? DEPENDE DEL SO QUE ESTEMOS USANDO EN ESE ENTORNO…

José Manuel
Redondo López
 V Contraseñas en una red corporativa

• EN WINDOWS Y LINUX, LA VALIDACIÓN DE USUARIOS PUEDE HACERSE CONTRA UN SISTEMA LDAP

• WINDOWSSUELE HACERLO CONTRA UN TIPO DE MÁQUINA QUE HACE DE LDAP Y MUCHO MÁS: EL
CONTROLADOR DE DOMINIO DE ACTIVE DIRECTORY
• No solo valida usuarios, sino que puede propagar políticas de uso automáticamente a todas las
máquinas (políticas GPO)
• Permisos, restricciones, software permitido y prohibido, limitaciones de todo tipo…
• Dicho de otra forma, quien controle el controlador de dominio controla toda la red
• Y puede liar un caos total en ese caso
• Son por ello (o deberían serlo) máquinas muy protegidas
• LOS
DOMINIOS EN SÍ SON TAMBIÉN OBJETO DE ATAQUE CON HERRAMIENTAS QUE LOS AUTOMATIZAN
COMO BLOODHOUND: HTTPS://GITHUB.COM/BLOODHOUNDAD/BLOODHOUND

José Manuel
Redondo López
 V Contraseñas en una red corporativa

• LOS CONTROLADORES DE DOMINIO SON TAN IMPORTANTES QUE HAY UNA GRAN
BATERÍA DE TÉCNICAS PARA PROBARLOS Y COMPROBAR QUE NO POSEEN
VULNERABILIDADES
• Se pueden consultar aquí: https://adsecurity.org/?page_id=4031
• TAMBIÉN HAY ESTRATEGIAS ESPECÍFICAS PARA PROBAR SU SEGURIDAD
• https://www.sniferl4bs.com/2019/08/pentesting-active-directory-pentesting.html
• POROTRO LADO, LOS LDAP TAMBIÉN TIENEN SU CONJUNTO DE TÉCNICAS ASOCIADO
PARA SACAR LA INFORMACIÓN DE USUARIOS QUE CONTIENEN
• PUEDE CONSULTARSE AQUÍ
• http://www.elladodelmal.com/2008/05/ataques-ldap-i-de-iv.html
• https://www.blackhat.com/presentations/bh-europe-08/Alonso-
Parada/Whitepaper/bh-eu-08-alonso-parada-WP.pdf
José Manuel
Redondo López
 EXPLOITING

Reversing y Desarrollo de Exploits

Exploiting
 V ¿Reversing?

• EL
REVERSING O INGENIERÍA INVERSA DE EJECUTABLES SON UNA SERIE DE TÉCNICAS
QUE PERMITEN VER Y ENTENDER LO QUE HACE UN BINARIO EJECUTABLE COMPILADO
• ESTO SE HACE CON TRES OBJETIVOS PRINCIPALES EN MENTE
• Análisis: especialmente si el ejecutable es malware
• Así se entiende qué hace y se puede desarrollar alguna contramedida
• Localización de bugs: Ver por qué un ejecutable falla sin tener sus fuentes
• Desarrollo de exploits: modificar el comportamiento de un software para conseguir un
comportamiento no deseado del mismo
• En temas de seguridad, normalmente implica el usar el programa para lograr accesos de forma
no autorizada, toma de control de un equipo, conseguir privilegios elevados, DoS…
• REQUIERE UN CONOCIMIENTO DEL FUNCIONAMIENTO DEL SO Y EL COMPUTADOR A
BAJO NIVEL AMPLIO Y ES UN CAMPO BASTANTE DESAFIANTE
• Depende también del SO y del lenguaje utilizado
José Manuel
Redondo López
 V Desarrollo de exploits

• INICIARSE
EN EL MUNDO DEL REVERSING Y EL DESARROLLO DE EXPLOITS ES DIFÍCIL,
PERO CON LOS MATERIALES ADECUADOS SE HACE MÁS LLEVADERO
• ESTOS ENLACES SIRVEN PARA PROGRAMAS COMPILADOS A CÓDIGO NATIVO X86
• Se recomienda este curso como primera aproximación al tema:
https://martin.uy/blog/projects/reverse-engineering/
• Otra fuente de información es la siguiente:
https://www.fuzzysecurity.com/tutorials.html
• En este enlace se describe todo lo necesario para integrar un exploit en Metasploit:
https://github.com/rapid7/metasploit-framework/wiki
• Y, finalmente, estos enlaces contienen más tutoriales que pueden resultar útiles
• https://null-byte.wonderhowto.com/forum/collection-exploit-development-tutorials-
0167587/
• https://0x00sec.org/c/exploit-development

José Manuel
Redondo López
 V Desarrollo de exploits

• CUANDO SE TRATA DE CÓDIGO GENERADO PARA UNA MÁQUINA VIRTUAL, COMO JAVA O .NET, EL TEMA
ES ALGO MÁS SENCILLO
• El código bytecode o IL es más fácilmente entendible que el ensamblador x86
• La decompilación deja resultados más claros, e incluso puede llegar a reconstruir fielmente el
código original del programa
• POR ELLO, ES MÁS SENCILLO ENTENDER QUÉ HACEN Y MODIFICAR EL COMPORTAMIENTO DE ESTA CLASE
DE EJECUTABLES
• Decompiladores para Java: https://javahungry.blogspot.com/2018/12/8-best-java-decompiler-
in-2019.html
• Librerías de visualización y edición de código Java
• Javassist: https://www.javassist.org/
• ASM: https://asm.ow2.io/
• Decompiladores para la plataforma .Net
• dotPeek: https://www.jetbrains.com/decompiler/
• Otros: https://blogs.msdn.microsoft.com/msdnts/2015/07/16/best-net-decompiler-tools-in-the-
market/
José Manuel
Redondo López
 V ROP o Return-Oriented Programming

• ES UNA TÉCNICA MUY POPULAR DE DESARROLLO DE EXPLOITS QUE PERMITE LA EJECUCIÓN ARBITRARIA
DE CÓDIGO SALTÁNDOSE DETERMINADAS PROTECCIONES
• EL ATACANTE CONTROLA LA PILA DE LLAMADAS DEL PROGRAMA DE MANERA QUE ÉSTE LLEGA A
EJECUTAR UNA SERIE DE INSTRUCCIONES QUE ÉL HA PUESTO EN MEMORIA LLAMADAS GADGETS
• Normalmente debido a un bug en el programa, como un buffer overrun
• En este tipo de bugs un programa no comprueba correctamente el tamaño de los datos que el
usuario le proporciona
• Si estos datos se escriben en la pila, al tener un tamaño excesivo pueden sobrescribir el valor de
ciertas variables de la función y su dirección de retorno
• Al controlar la dirección de retorno, se puede modificar a donde vuelve el programa una vez
termine la función en marcha
• CADA GADGET TERMINA EN UNA INSTRUCCIÓN RETURN Y SE CREA EN UNA SUBRUTINA DEL PROGRAMA O
EN EL CÓDIGO DE UNA LIBRERÍA COMPARTIDA
• ENCADENANDO GADGETS, PUEDE LOGRARSE LA EJECUCIÓN ARBITRARIA DE CÓDIGO EN UNA MÁQUINA
SIN SER DETECTADO POR DETERMINADOS MECANISMOS DE PROTECCIÓN
• TUTORIAL: HTTPS://TRUSTFOUNDRY.NET/BASIC-ROP-TECHNIQUES-AND-TRICKS/
José Manuel
Redondo López
 V Ghidra https://ghidra-sre.org/

• HERRAMIENTA DE INGENIERÍA INVERSA DE LA NSA

PARA ANALIZAR MALWARE Y ENTENDER SUS ACCIONES
• Y con ello, localizar vulnerabilidades en redes y
sistemas
• ES UNA ALTERNATIVA GRATUITA A OTRA HERRAMIENTA
DE INGENIERÍA INVERSA, IDA PRO (VISTA DESPUÉS)
• FUNCIONALIDADES PRINCIPALES
• Análisis de código compilado en Windows, Mac
OS y Linux
• Capacidad de desensamblar, ensamblar,
descompilar y representar código
• Hacer/deshacer acciones
• Soporta una amplia variedad de instrucciones de
procesador y formatos ejecutables
• Posibilidad de desarrollar plugins o scripts
José Manuel
Redondo López
mediante su API
 V Ghidra

• GHIDRA SE HA CONVERTIDO EN UNA HERRAMIENTA DE REVERSING MUY POPULAR

• POR ELLO, HAY UN NÚMERO MUY ELEVADO DE TUTORIALES QUE ENSEÑAN A
MANEJARLA Y DE PASO PERMITEN INTRODUCIRSE EN EL MUNDO DEL REVERSING
• (Canal con una serie de tutoriales) https://www.youtube.com/playlist?
list=PLRAe18TJ_NTE9cr18OPphn82WS8gVv-te
• https://threatvector.cylance.com/en_us/home/an-introduction-to-code-analysis-with-
ghidra.html
• https://insights.sei.cmu.edu/sei_blog/2019/07/using-ooanalyzer-to-reverse-engineer-object-
oriented-code-with-ghidra.html
• https://maxkersten.nl/binary-analysis-course/assembly-basics/practical-case-crack-me-0x01/
• https://medium.com/digital-privacy-always-matters-in-infosec/exploiting-of-windows-in-the-
wild-part-2-reversing-part-1-7f35f2882372
• https://medium.com/digital-privacy-always-matters-in-infosec/exploiting-of-windows-in-the-
wild-part-2-reversing-part-2-3a834b197d70
José Manuel
Redondo López
 V Radare https://rada.re/r/

• ES UN FRAMEWORK DE REVERSING PORTABLE CON LAS

SIGUIENTES CAPACIDADES
• Ensamblado y desensamblado de ejecutables para una
gran cantidad de arquitecturas
• Depuración con debuggers locales y remotos: gdb, rap,
webui, r2pipe, winedbg, windbg
• Multiplataforma: Linux, *BSD, Windows, OSX, Android,
iOS, Solaris y Haiku
• Hace labores forenses en sistemas de ficheros
• Admite scripting en Python, Javascript y Go, entre otros
• Análisis colaborativo gracias a su servidor web integrado
• Permite ver la estructura de varios tipos de ficheros
• Permite el parcheado de programas para introducir
nuevas funcionalidades o solucionar vulnerabilidades
• DOCUMENTACIÓN, EJEMPLOS Y LIBROS
• https://www.radare.org/r/docs.html
José Manuel
Redondo López
 V OllyDbg http://www.ollydbg.de/

• ES UN DEBUGGER Y ANALIZADOR DE CÓDIGO BINARIO PARA

EJECUTABLES DE 32 BITS BAJO WINDOWS CON LAS
SIGUIENTES CARACTERÍSTICAS
• Análisis de código mediante la traza de registros,
identificación d funciones, bucles, llamadas a APIs, switches,
tablas, constantes y strings
• Carga directamente y permite hacer debugging de DLLs
• Identifica las funciones declaradas localmente en ficheros
binarios y librerías
• Permite al usuario introducir etiquetas, descripciones de
funciones y comentarios
• Permite introducir parches al código que persisten entre
sesiones de debugging, incluyendo escribirlos al ejecutable
• Tiene un sistema de plugins incorporado
• No requiere instalación de ninguna clase

• TUTORIALES
• https://erichokanson.me/tag/ollydbg-tutorial/
• https://www.dragonjar.org/cracking-con-ollydbg.xhtml
José Manuel
Redondo López
 V IDA https://www.hex-rays.com/products/ida/

• ES UN DESENSAMBLADOR / DEPURADOR PARA UNA GRAN CANTIDAD DE

ARQUITECTURAS Y MUY POPULAR

• COMO DESENSAMBLADOR…
• Interfaz interactivo y extensible, con un sistema de plugins
• El sistema de plugins es muy flexible y permite incluso ejecutar
nuevos desensambladores
• Permite manipular el código ensamblador de la forma más
próxima posible a código de alto nivel
• Reconoce e identifica la tecnología usada por las librerías
cargadas
• Sistema de tipos e identificación y seguimiento de parámetros
• COMO DEBUGGER…
• Añade información dinámica a la obtenida por el desensamblador
• Debugging remoto y traza de código: admite debuggers de
Windows, Linux, Mac OS X y otras plataformas en remoto
• TUTORIAL
• http://www.ricardonarvaja.info/WEB/INTRODUCCION%20AL%20REVERSING%
20CON%20IDA%20PRO%20DESDE%20CERO/
José Manuel
Redondo López
 V Pinjectra https://github.com/SafeBreach-Labs/pinjectra

• ES UNA LIBRERÍA QUE IMPLEMENTA TÉCNICAS PARA INYECTAR CÓDIGO EN PROCESOS DE

UNA FORMA CERCANA A LA PROGRAMACIÓN ORIENTADA A OBJETOS
• SON TÉCNICAS USADAS POR MALWARE PARA PODER EJECUTARSE SIN SER DETECTADOS
POR HERRAMIENTAS DE SEGURIDAD: HTTPS://SAFEBREACH.COM/POST/COMPREHENSIVE-GUIDE-
TO-PROCESS-INJECTION-TECHNIQUES-DETECTION-TOOL

• ESTA LIBRERÍA ESTÁ ESCRITA EN C/C++ Y ESPECIALIZADA EN WINDOWS 10 DE 64 BITS

• ES LA ÚNICA IMPLEMENTACIÓN DE A TÉCNICA DE INYECCIÓN "STACK BOMBER"
• ESTA TÉCNICA ES NUEVA (2019) Y FUNCIONA EN WINDOWS 10 INCLUSO CON
PROTECCIONES ACTIVADAS
• FUE PRESENTADA EN BLACKHAT USA 2019

José Manuel
Redondo López
 V Pazuzu https://github.com/BorjaMerino/Pazuzu

• ESUN SCRIPT DE PYTHON QUE PERMITE EJECUTAR UN

BINARIO A NUESTRA ELECCIÓN DIRECTAMENTE DESDE
MEMORIA
• PARAELLO INYECTA DICHO BINARIO EN UNA DLL
PRECOMPILADA
• ES
ÚTIL CUANDO SE QUIERE EJECUTAR UN EXPLOIT DE
UNA VULNERABILIDAD CON UN EJECUTABLE PROPIO
• ESUNA TÉCNICA MUY AVANZADA PARA LA EJECUCIÓN
DE EXPLOITS QUE PERMITE LA EJECUCIÓN DE UN
BINARIO ARBITRARIO DENTRO DEL ESPACIO DE
DIRECCIONES DE UN PROCESO VULNERABLE SIEMPRE
QUE CUMPLA CON UNOS REQUISITOS
• ESTO HACE QUE NO FUNCIONE CON TODOS LOS
EJECUTABLES: POR EJEMPLO, POR EL MOMENTO NO
FUNCIONA CON BINARIOS QUE USEN EL CLR DEL .NET
José Manuel
Redondo López
 EXPLOITING

Técnicas LOLBins / GTFOBins

Exploiting
 V Técnicas “Living Off the Land” (LOL)

• ES
UNA TÉCNICA DE ATAQUE MUY POPULAR EN LA ACTUALIDAD, Y CUYO USO VA EN
AUMENTO
• CONSISTEEN USAR HERRAMIENTAS YA INSTALADAS EN LOS ORDENADORES OBJETIVO
CON USOS LEGÍTIMOS PARA INICIAR ATAQUES
• O BIEN PEQUEÑOS SCRIPTS QUE SE EJECUTAN DIRECTAMENTE EN MEMORIA
• ASÍ SE CONSIGUEN CREAR MUCHOS MENOS FICHEROS EN EL DISCO (¡O NINGUNO!)
• Y POR TANTO DISMINUIR LA POSIBILIDAD DE SER DETECTADOS Y BLOQUEADOS POR
HERRAMIENTAS DE SEGURIDAD COMUNES
• POR TANTO, SE HACE UN USO DOBLE DE UNA HERRAMIENTA EXISTENTE PARA
ESCONDER EL ATAQUE
• EN ESTE ENLACE SE EXPLICA LA FILOSOFÍA DE ESTA CLASE DE TÉCNICAS:
HTTPS://WWW.TOMSHARDWARE.COM/NEWS/MICROSOFT-CISCO-TALOS-NODERSOK-DIVERGENT-
MALWARE,40505.HTML
José Manuel
Redondo López
 V Técnicas “Living Off the Land” (LOL)

• ESTE TIPO DE TÉCNICAS SON PARA SISTEMAS WINDOWS

• HAY 4 CATEGORÍAS DE EJECUTABLES QUE SE USAN PARA ESTOS FINES
1. Herramientas a las que el atacante les da otro uso que es el legitimo,
como PsExec
2. Software que solo reside en memoria como el gusano Code Red
3. Formas de persistencia que no requieren un fichero, como scripts
Visual Basic que residen en el registro de Windows
4. Ficheros no ejecutables capaces de ejecutar ataques, como
documentos de Office que tienen macros o scripts

José Manuel
Redondo López
 V Ejemplo

• UN EJECUTABLE QUE SE USE PARA ESTOS FINES NO TIENE POR QUÉ ESTAR FIRMADO
• SOLO TIENE QUE RESIDIR EN EL SISTEMA Y ESTAR PROGRAMADO DE FORMA QUE PUEDA
EJECUTAR OTROS PROGRAMAS
• PERO…¿CÓMO?
• Depende del programa, pero se trata de “engañarlo” para que, como parte de su trabajo,
ejecute otro a nuestra voluntad en momentos en los que no debería hacerlo
• O bien está preparado para ejecutar un programa externo…que nosotros le cambiamos
• IMAGINEMOS UN PROGRAMA SETUP.EXE QUE TIENE UN FICHERO .INI DE INSTALACIÓN
• En ese fichero .ini está escrito el path de instalación por defecto, relativo al directorio
desde el que se ejecuta
• ¿Qué ocurre si en lugar del path ponemos un ejecutable cualquiera?

[SETUP]
InstallPath=..\..\windows\system32\notepad.exe

• ¡EN ESTE CASO LO EJECUTA!

José Manuel
Redondo López
 V Técnicas “Living Off the Land” (LOL)

• BUENO, PERO…¿ENCONTRAR PROGRAMAS ASÍ NO ES DIFÍCIL? PARECEN

BASTANTE PARTICULARES…
• REALMENTE HAY DOCUMENTADOS MÁS DE 100 HERRAMIENTAS DEL
SISTEMA DE WINDOWS QUE PUEDEN USARSE DE ESTA FORMA PARA
DESENCADENAR ATAQUES
• ESTÁN TODAS LISTADAS Y CLASIFICADAS AQUÍ
• https://github.com/LOLBAS-Project/LOLBAS
• https://lolbas-project.github.io/
• POR TANTO, LOCALIZAR UNA QUE NOS SIRVA PARA DESENCADENAR UN
ATAQUE POSTERIOR ES FÁCIL…
José Manuel
Redondo López
 V Técnicas “Living Off the Land” (LOL)

• LOS ATAQUES DE ESTE TIPO SIGUEN UNA SERIE DE PASOS MUY SIMILARES ENTRE ELLOS QUE SE VEN EN LA
IMAGEN ( HTTPS://WWW.SYMANTEC.COM/CONNECT/BLOGS/ATTACKERS-ARE-INCREASINGLY-LIVING-LAND)
• MÁS INFORMACIÓN
• https://medium.com/threat-intel/what-is-living-off-the-land-ca0c2e932931
• https://liberty-shell.com/sec/2018/10/20/living-off-the-land/
• http://www.irongeek.com/i.php?page=videos/derbycon8/track-1-01-lolbins-nothing-to-lol-
about-oddvar-moe

José Manuel
Redondo López
 V Técnicas GTFOBins

• SI LOS LOLBINS SON EXCLUSIVOS DE WINDOWS, LOS GTFOBINS SON EL MISMO TIPO
DE TÉCNICA, PERO PARA SISTEMAS TIPO UNIX
• EXISTE UN PROYECTO QUE LISTA Y AGRUPA FUNCIONES DE LOS BINARIOS DE UNIX QUE
PUEDEN USARSE PARA ESCALAR PRIVILEGIOS, MANTENER DICHOS PRIVILEGIOS
AUMENTADOS, TRANSFERIR FICHEROS, EJECUTAR BIND Y REVERSE SHELLS Y OTRAS
TÉCNICAS DE POST-EXPLOTACIÓN
• ES DECIR, PARA SALTARSE LAS RESTRICCIONES DE SEGURIDAD DE UNA MÁQUINA
• PODEMOS ENCONTRAR ESTE LISTADO AQUÍ
• https://gtfobins.github.io/
• https://github.com/GTFOBins/GTFOBins.github.io

José Manuel
Redondo López
 V SUID3NUM https://github.com/Anon-Exploiter/SUID3NUM

• SCRIPT DE PYTHON QUE PERMITE ENUMERAR LOS BINARIOS

QUE TIENEN INTERÉS DE CARA A UN CTF O BIEN GTFO BINS
CONOCIDOS QUE SE ENCUENTREN EN EL SISTEMA
• Lista todos los binarios con el bit SUID activo, cuáles se
distribuyen con Linux y cuales no son explotables
• Lista todos los binarios que no son parte de un paquete
o de una instalación base de Linux
• Lista todos los binarios que se encuentran en la lista de
GTFO Bins conocidos
• Prueba e intenta explotar binarios con el bit SUID activo
que no afecten a los ficheros de la máquina
• MEJORA A OTROS SCRIPTS COMO LINENUM
(HTTPS://GITHUB.COM/REBOOTUSER/LINENUM), TAMBIÉN CAPACES
DE LOCALIZAR BINARIOS SUID Y GTFO) SEPARANDO LOS QUE
SON INSTALADOS POR DEFECTO DE LOS QUE NO
• Con esto se facilita el escalado de privilegios usándolos
José Manuel
Redondo López
 EXPLOITING

Herramientas para Servidores Web

Exploiting
 V Burp Suite http://portswigger.net/burp/

• BURP ES MUCHAS COSAS EN UNA…:

• Proxy interceptador, permite inspeccionar y
modificar el tráfico entre browser y aplicación
• Spider automático y manual
• Un spider manual recoge información de una web
a medida que vamos navegando por ella, por lo
que no tiene las limitaciones de los automáticos
• Scanner avanzado de aplicaciones web,
detectando diversos tipos de vulnerabilidades
• Un modulo de intrusión para encontrar y explotar
vulnerabilidades
• Un modulo de repetición de peticiones
• Análisis de la fortaleza de tokens de sesión
• Algunas de estas funcionalidades son solo de la
versión de pago
José Manuel
Redondo López
 V Burp Suite
• USOS DE LA VERSIÓN GRATUITA
• Observar parámetros GET, POST de cualquier petición web y sus respuestas
• Congelar la petición antes de que salga al servidor y permitir modificar CUALQUIER PARTE DE LA MISMA
• Cabeceras, parámetros, valores de parámetros, las cookies…
• Una vez que ha pasado toda la validación del cliente
• Por tanto con herramientas como esta la validación del cliente no es efectiva
• Permite ver si un submit realmente se hace a otra URL distinta a la que parece
• En definitiva, permite transformar totalmente la información que se envía de un cliente a un servidor
• Y provocar errores que de otra manera no serían posibles…
• ADMITE EXTENSIONES QUE MEJORAN SU FUNCIONALIDAD ENORMEMENTE
• Lista de extensiones más útiles: https://github.com/snoopysecurity/awesome-burp-extensions
• Extensión para rotar la IP en cada petición: https://www.kitploit.com/2019/08/iprotate-extension-for-burp-
suite-which.html
• Extensión para encontrar vulnerabilidades XSS: https://github.com/wish-i-was/femida
• HAY OTRAS APLICACIONES SIMILARES:
• ZAP (vista después)
• WebScarab: https://www.owasp.org/index.php/Category:OWASP_WebScarab_Project
• Más: https://www.owasp.org/index.php/Category:Vulnerability_Scanning_Tools
José Manuel
Redondo López
Manda al Esto para y nos enseña cada petición que
servidor la hagamos desde el browser
petición
modificada ¡Esta petición no llegará al servidor!

Modifica el cuerpo de la petición y a ver

qué pasa ☺. Ejemplos:
• Nuevo método HTTP: JET en lugar
de GET
• Versiones de HTTP inexistentes o
erróneas
• Host o Referer puestos a otras
páginas
• Cambios en la Cookie: Otro ID de
sesión…
• Hay muchas opciones: La petición
queda a nuestra merced, y con esta
herramienta nos saltamos cualquier
tipo de validación que haga la
página
• ¡El código de la página es 100%
vuestro!

Modifica los parámetros de la

URL y a ver qué pasa
 ¿Y si la usamos para provocar
errores?

¡Tecnología usada para hacer la

página!

¡Tipo y versión del servidor!

¡Tipo y versiones de software y el

sistema operativo!
 V Skipfish https://code.google.com/archive/p/skipfish/

• ES UN ESCANEADOR DE APLICACIONES WEB

• CREA UN MAPA INTERACTIVO DEL SITIO WEB
ESCANEADO MEDIANTE CRAWLING RECURSIVO
AUTOMÁTICO
• COMPRUEBA CADA ELEMENTO CON UNA SERIE
DE CHEQUEOS DE SEGURIDAD NO INTRUSIVOS
(EN TEORÍA)
• REPORTA POR TANTO UN MAPA DE UNA WEB
Y LAS POSIBLES VULNERABILIDADES
DETECTADAS EN CADA UNA DE SUS PÁGINAS
• TUTORIAL DE USO BÁSICO
• https://hacking-etico.com/2016/04/28/skipfish-
escaner/
José Manuel
Redondo López
 V XSSer https://www.owasp.org/index.php/OWASP_XSSER

• ES UN FRAMEWORK AUTOMÁTICO PARA DETECTAR, EXPLOTAR

Y HACER INFORMES DE VULNERABILIDADES DE XSS
ENCONTRADAS EN APLICACIONES WEB

• CONTIENE UNA SERIE DE OPCIONES PARA INTENTAR SALTARSE

LOS FILTRADOS DE LOS DATOS INTRODUCIDOS POR EL CLIENTE

• EJECUTA MÚLTIPLES TÉCNICAS DE INYECCIÓN DE CÓDIGO DE

SCRIPTS EN WEBS
• https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_S
heet

• SU MAYOR UTILIDAD ES QUE YA NO ES NECESARIO EJECUTAR

MUCHAS DE ESTAS TÉCNICAS “MANUALMENTE”,
AHORRÁNDONOS MUCHO TRABAJO

• TUTORIALES
• http://securityxploded.com/detecting-exploiting-xss-using-
xsser-tool.php
• https://gbhackers.com/xsser-automated-framework-
detectexploit-report-xss-vulnerabilities/amp/
José Manuel
Redondo López
 V SQLMap http://sqlmap.org/

• ES UNA HERRAMIENTA OPEN SOURCE QUE AUTOMATIZA EL

PROCESO DE DETECTAR Y EXPLOTAR VULNERABILIDADES DE
SQL INJECTION EN PÁGINAS WEB
• TIENE UN MOTOR DE DETECCIÓN DE VULNERABILIDADES,
CARACTERÍSTICAS Y CONFIGURACIONES QUE PERMITEN:

• Identificar la estructura de la base de datos

• Extraer y modificar datos de la misma
• Acceder al sistema de ficheros del sistema
• Ejecutar comandos sobre el sistema a través del
SGBD
• TUTORIALES
• http://www.binarytides.com/hacking-with-sqlmap-a-tutorial-
for-beginners/
• https://hackertarget.com/sqlmap-tutorial
• https://www.trustwave.com/en-us/resources/blogs/spiderlabs-
blog/sqlmap-tricks-for-advanced-sql-injection/
José Manuel
Redondo López
 V SQLNinja https://tools.kali.org/vulnerability-analysis/sqlninja

• ES OTRA HERRAMIENTA DE PENTESTING ENFOCADA A SACAR

PARTIDO A VULNERABILIDADES DE SQL INJECTION DE UNA
APLICACIÓN WEB

• CARACTERÍSTICAS
• Usa SQL Server como backend
• Fingerprinting del servidor SQL atacado
• Extracción de datos temporizada o usando un túnel
DNS
• Integración con Metasploit
• Subida de ejecutables usando peticiones HTTP para la
ejecución de comandos en remoto
• Ejecución de bind y reverse shells bajo TCP o UDP
• TUTORIALES
• https://tools.kali.org/vulnerability-analysis/sqlninja
• https://www.jedge.com/wordpress/sqlninja-sql-
injection/
José Manuel
Redondo López
 V Wfuzz http://www.edge-security.com/wfuzz.php

• ES UNA HERRAMIENTA DISEÑADA PARA LANZAR ATAQUES DE

FUERZA BRUTA CONTRA APLICACIONES WEB Y SE USA PARA
• Encontrar recursos no enlazados (directorios, servlets,
scripts…)
• Hacer ataques de fuerza bruta sobre parámetros GET y
POST para comprobar si la web es vulnerable a
determinados ataques (SQL Injection, XSS, LDAP, …)
• Hacer ataques de fuerza bruta sobre combinaciones de
usuario/clave que se pasen como parámetros
• Fuzzing en general: técnicas automatizadas para
generar y enviar datos secuenciales o aleatorios a una
o varias áreas o puntos de una aplicación, con el
objeto de detectar defectos o vulnerabilidades
• TIENE UN GUI PARA WINDOWS LLAMADO WEBSLAYER:
• http://www.edge-security.com/webslayer.php
• TUTORIAL BÁSICO DE USO:
• http://resources.infosecinstitute.com/wfuzz-and-webslayer/
José Manuel
Redondo López
 V Zed Attack Proxy (ZAP)

• ES UN ESCÁNER DE SEGURIDAD WEB DE CÓDIGO ABIERTO QUE SE PUEDE USAR COMO

HERRAMIENTA PROFESIONAL PARA PRUEBAS DE PENETRACIÓN
• ES UNA DE LAS HERRAMIENTAS MÁS FAMOSAS Y USADAS PARA ESTOS FINES
• USADA COMO SERVIDOR PROXY PERMITE MANIPULAR TODO EL TRÁFICO QUE PASA A
TRAVÉS DE ÉSTE, INCLUYENDO EL TRÁFICO DEL PROTOCOLO SEGURO HTTPS
• TAMBIÉN INCLUYE UNA SERIE DE ESCANEOS DE SEGURIDAD PASIVOS Y/O ACTIVOS QUE
PERMITEN ENCONTRAR VULNERABILIDADES EN LAS WEB ESCANEADAS
• Incluye técnicas de fuzzing y fuerza bruta
• Tiene una serie de plugins que mejoran su funcionalidad
• WEB OFICIAL
• https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
• TUTORIAL
• https://blog.segu-info.com.ar/2015/09/tutorial-de-uso-owasp-zaproxy.html
José Manuel
Redondo López
 V

José Manuel
Redondo López
 V W3af http://w3af.org/

• ESUN FRAMEWORK DE AUDITORIA Y ATAQUE

DE APLICACIONES WEB
• PERMITE ENCONTRAR Y EXPLOTAR LAS
VULNERABILIDADES DE UNA DETERMINADA
APLICACIÓN EXPLORANDO LA MISMA
• CONTIENE UN GRAN Nº DE VULNERABILIDADES
WEB CONOCIDAS, INCLUYENDO LAS DEL
OWASP TOP 10
• https://www.owasp.org/index.php/Category:OW
ASP_Top_Ten_Project
• TUTORIAL
• http://docs.w3af.org/en/latest/basic-ui.html
José Manuel
Redondo López
 V Golismero http://www.golismero.com/

• ESUNA HERRAMIENTA PARA AUTOMATIZAR LAS TAREAS

DE PENTESTING EN SITIOS WEB O SERVIDORES
• FUNCIONA COMO FRAMEWORK QUE INTEGRA, UNIFICA
Y RECOPILA LOS RESULTADOS DE OTRAS HERRAMIENTAS
QUE YA HEMOS VISTO (ENTRE OTRAS) SOBRE EL
OBJETIVO ESPECIFICADO: SQLMAP, XSSER, OPENVAS,
THEHARVESTER...
• POR TANTO, PERMITE HACER UN ESTUDIO EN
PROFUNDIDAD DEL OBJETIVO DE FORMA MÁS SENCILLA
• TAMBIÉN SE INTEGRA CON ESTÁNDARES PARA MOSTRAR
LAS VULNERABILIDADES ENCONTRADAS: CWE, CVE Y
OWASP
• TUTORIAL
• https://hacking-etico.com/2015/09/14/golismero-
pentesting/
José Manuel
Redondo López
 V Liffy https://github.com/mzfr/liffy

• ES UN SCRIPT DE PYTHON EXPLOTAR LA VULNERABILIDAD DE LOCAL

FILE INCLUSION
• ESTO OCURRE CUANDO UNA WEB RECIBE UN PATH DE UN FICHERO
EXISTENTE LOCALMENTE, PERO QUE NO SE VALIDA ADECUADAMENTE
• ESTO PERMITE EL USO E INTERPRETACIÓN DE CARACTERES QUE
PERMITEN NAVEGAR POR DIRECTORIOS, Y POR TANTO ACCEDER A
ESTOS FICHEROS
• NO ES LA TÉCNICA DE SUBIR FICHEROS A UN SERVIDOR REMOTO,
PERO PUEDE SER MUY PELIGROSA DEBIDO A QUE LOS FICHEROS
LOCALES ACCEDIDOS PUEDEN TENER INFORMACIÓN PRIVILEGIADA
• CARACTERÍSTICAS
• Ejecución de código en enlaces data://, expect:// e
input://
• Lectura arbitraria de ficheros con enlaces filter://
• Ejecución de código en modo CGI con /proc/self/environ
• Envenenamiento de logs de Apache (access.log) y SSH
(auth.log)
• Soporte de paths relativos y absolutos
• Soporte de cookies para autenticación
José Manuel
Redondo López
 V Pixload https://github.com/chinarulezzz/pixload

• SON UN CONJUNTO DE HERRAMIENTAS PARA

INSERTAR PAYLOADS EN IMÁGENES
• Estos payloads se usan principalmente para
saltarse filtros web de seguridad y ejecutar
ataques comunes
• LOS SIGUIENTES CASOS DE USO DESCRIBEN
SUS POSIBLES UTILIDADES
• Bypassing CSP using polyglot JPEGs
• Hacking group using Polyglot images to hide
malvertising attacks
• Encoding Web Shells in PNG IDAT chunks
• An XSS on Facebook via PNGs & Wonky Content Types
• Revisiting XSS payloads in PNG IDAT chunks

José Manuel
Redondo López
 V DotDotPwn https://github.com/wireghoul/dotdotpwn

• ES UN FUZZER MULTIPLATAFORMA PARA COMPROBAR SI

EXISTEN VULNERABILIDADES DE DIRECTORY TRAVERSAL
• FUNCIONA EN SERVIDORES HTTP / FTP / TFTP, CMSS,
ERPS, BLOGS, ETC.
• TAMBIÉN TIENE UN MODULO INDEPENDIENTE DEL PROTOCOLO
PARA MANDAR PAYLOADS AL HOST Y PUERTO ESPECIFICADO
• ES MODULAR, SOPORTANDO LOS SIGUIENTES MÓDULOS /
PROTOCOLOS
• HTTP
• HTTP URL
• FTP
• TFTP
• Payload (independente del protocolo)
• STDOUT
• TUTORIAL
• https://www.hackingloops.com/how-to-use-
dotdotpwn/
José Manuel
Redondo López
EXPLOITING

Servicios Web

Exploiting
 V APIs

• LA OFERTA DE SERVICIOS VÍA APIS CADA VEZ ES MÁS COMÚN GRACIAS A

LA INTERNET DE LAS COSAS (IOT)
• TAMBIÉN ES CADA VEZ MÁS COMÚN LA OFERTA DE FUNCIONALIDADES
MEDIANTE MICROSERVICIOS Y CONTENEDORES EN NUBE
• EN DEFINITIVA, SON EL MEDIO PREFERIDO PARA INTEGRAR E
INTERCONECTAR APLICACIONES DE DISTINTO TIPO, PLATAFORMA O
PROPÓSITO PARA CREAR SERVICIOS MÁS GRANDES
• Y COMO TODO SERVICIO QUE SE OFRECE AL EXTERIOR, LAS LLAMADAS A
ESTAS APIS TAMBIÉN SON VULNERABLES

José Manuel
Redondo López
 V Seguridad en APIs

• SE UTILIZAN LAS API PARA CONECTAR LOS SERVICIOS Y TRANSFERIR DATOS

• LAS API DAÑADAS, EXPUESTAS O PIRATEADAS SON LA CAUSA DE LAS PRINCIPALES
VULNERACIONES DE LA SEGURIDAD DE LOS DATOS
• EXPONENDATOS MÉDICOS, FINANCIEROS Y PERSONALES ENTRE OTROS, QUE PUEDEN
QUEDAR DISPONIBLES AL PÚBLICO
• LAFORMA DE ABORDAR LA SEGURIDAD DE LAS API DEPENDERÁ DEL TIPO DE DATOS
QUE MANEJEN
• OAUTH (OPEN AUTHORIZATION) ES EL ESTÁNDAR ABIERTO PARA DELEGACIÓN DE
ACCESO A APIS
• Permite que los usuarios otorguen acceso a los recursos web a terceros, sin necesidad
de compartir contraseñas

José Manuel
Redondo López
 V REST vs SOAP

• SON LAS DOS TECNOLOGÍAS DE IMPLEMENTACIÓN DE APIS WEB

• LAS API REST:
• Utilizan HTTP y admiten el cifrado de seguridad de la capa de transporte (TLS)
• Utilizan notación de objetos JavaScript (JSON)
• Debido a su forma de funcionamiento, suelen ser mucho más rápidas que las API de SOAP
• LAS API SOAP:
• Utilizan protocolos integrados conocidos como Seguridad en Servicios Web (WS Security)
• Definen un conjunto de reglas que se basa en la confidencialidad y la autenticación
• Compatibles con los estándares establecidos por dos organismos internacionales: la
Organización para el avance de estándares de información estructurada (OASIS) y el Consorcio
World Wide Web (W3C)
• Utilizan una combinación de cifrado XML, firmas XML y tokens SAML para verificar la
autenticación y la autorización
• Tienen mejores medidas de seguridad, pero necesitan una mayor gestión
• Se recomiendan para las empresas que manejan datos confidenciales
José Manuel
Redondo López
 V Medidas de seguridad típicas

• TOKENS. SECONFIGURAN IDENTIDADES CONFIABLES Y SE CONTROLA EL ACCESO A LOS SERVICIOS Y A

LOS RECURSOS UTILIZANDO LOS TOKENS ASIGNADOS A ESAS IDENTIDADES
• CIFRADOY FIRMAS. CIFRAR LOS DATOS MEDIANTE TLS. SOLICITAR FIRMAS PARA ASEGURAR QUE
SOLAMENTE LOS USUARIOS ADECUADOS DESCIFREN Y MODIFIQUEN LOS DATOS
• IDENTIFICACIÓN DE VULNERABILIDADES. MANTENER ACTUALIZADOS LOS ELEMENTOS DEL API, SUS
CONTROLADORES, REDES Y SO. IDENTIFICAR DEBILIDADES QUE SE PODRÍAN UTILIZAR PARA ENTRAR EN
LAS API Y USAR ANALIZADORES DE PROTOCOLOS PARA DETECTAR LOS PROBLEMAS DE SEGURIDAD Y
RASTREAR LAS PÉRDIDAS DE DATOS
• CUPOS Y LÍMITES. ESTABLECER UN CUPO EN LA FRECUENCIA CON LA QUE SE PUEDE RECURRIR AL API Y
HACER UN HISTORIAL DE USO. ESTABLECER REGLAS DE LIMITACIÓN PARA PROTEGER SUS API DE ATAQUES
DE DENEGACIÓN DE SERVICIO Y PICOS DE USO
• PUERTAS DE ENLACE DE API. FUNCIONAN COMO EL PRINCIPAL PUNTO DE CONTROL PARA EL TRÁFICO
DE LAS API. UNA PUERTA DE ENLACE PERMITE AUTENTICAR EL TRÁFICO, ASÍ COMO CONTROLAR Y
ANALIZAR CÓMO SE UTILIZAN
• MÁS INFORMACIÓN: HTTPS://WWW.REDHAT.COM/ES/TOPICS/SECURITY/API-SECURITY
José Manuel
Redondo López
 V WS-Attacks

• WS-ATTACKS ES UN ESTÁNDAR QUE RECOPILA LAS VULNERABILIDADES DE LOS SERVICIOS WEB

CONOCIDAS MODERNAS Y LAS DOCUMENTA
• Además, cataloga los ataques en función de varios criterios
• UNA DE LAS CLASIFICACIONES ES ESTA (Y LOS ENLACES DE ACCESO A CADA CATEGORÍA)
• Attack Categorization by violated security objective
• Attack Categorization by number of involved parties
• Attack Categorization by attacked web service component
• Attack Categorization by attack spreading
• EN LAS SIGUIENTES TRANSPARENCIAS SE PROPORCIONAN ENLACES A CADA UNO DE LOS ATAQUES
CONOCIDOS ACTUALMENTE (SEPTIEMBRE 2019) ORGANIZADOS POR LA CARACTERÍSTICA DEL SERVICIO
QUE PRETENDEN ATACAR
• MÁS INFORMACIÓN
• Clasificación más actualizada: https://www.ws-attacks.org/Main_Page
• Técnicas concretas contra APIs de WebSockets: https://es.slideshare.net/0ang3el/whats-wrong-with-
websocket-apis-unveiling-vulnerabilities-in-websocket-apis
José Manuel
Redondo López
 V Ataques contra la disponibilidad

• BPEL INSTANTIATION FLOODING

• BPEL INDIRECT FLOODING
• RECURSIVE CRYPTOGRAPHY (TAMBIÉN LLAMADO
• BPEL STATE DEVIATION OVERSIZED CRYPTOGRAPHY, CRYPTOGRAPHY DOS O
• BPEL Correlation Invalidation XML COMPLEXITY ATTACK IN SOAP HEADER)
• BPEL State Invalidation • Chained Cryptographic Keys (también
llamado Public Key DOS)
• COERCIVE PARSING
• Nested Encrypted Blocks
• OVERSIZED XML DOS (TAMBIÉN LLAMADO OVERSIZED XML
ATTACK) • SOAP ARRAY ATTACK
• XML Extra Long Names (también llamado XML • SOAP PARAMETER DOS (TAMBIÉN LLAMADO
MegaTags o XML Jumbo Tag Names) PARAMETER TAMPERING)
• XML Namespace Prefix Attack • WS-ADDRESSING SPOOFING
• XML Oversized Attribute Content • WS-Addressing spoofing - Generic
• XML Oversized Attribute Count • WS-Addressing spoofing - BPEL Rollback
• REFERENCE REDIRECT • WS-Addressing spoofing - Middleware
Hijacking
• Signature Redirect
• Encryption Redirect
José Manuel
Redondo López
 V Ataques contra la disponibilidad

• XML DOCUMENT SIZE ATTACK (TAMBIÉN LLAMADO

OVERSIZE PAYLOAD ATTACK O JUMBO PAYLOAD ATTACK)
• Oversized SOAP Header
• XML ENTITY REFERENCE ATTACK
• Oversized SOAP Body
• XML FLOODING
• Oversized SOAP Envelope
• Distributed XML Flooding
• XML ENCRYPTION - TRANSFORMATION DOS
• Single XML Flooding
• XML Encryption - XSLT DOS
• XML SIGNATURE - KEY RETRIEVAL DOS
• XML Encryption - Xpath DOS
• XML SIGNATURE – TRANSFORMATION DOS
• XML EXTERNAL ENTITY DOS
• XML Signature - C14N DOS
• XML ENTITY EXPANSION
• XML Signature - XSLT DOS
• XML Generic Entity Expansion
• XML Signature - Xpath DOS
• XML Recursive Entity Expansion
• XML Remote Entity Expansion
• XML C14N Entity Expansion
José Manuel
Redondo López
 V Ataques contra la integridad

• ACTIVE WS-MITM
• Malicious Morphing (también llamado Message Tampering, Content Tampering, Message
Alternation, Data Tampering o Falsified Message)
• Routing Detour
• METADATA SPOOFING (TAMBIÉN LLAMADO SCHEMA POISONING)
• WSDL Spoofing (también llamado WSDL Parameter Tampering)
• WS Security Policy Spoofing
• XML SIGNATURE WRAPPING (TAMBIÉN LLAMADO XML REWRITING)
• XML Signature Wrapping - Simple Context
• XML Signature Wrapping - Optional Element
• XML Signature Wrapping - Optional Element in Security Header
• XML Signature Wrapping - with Namespace Injection
• XML SIGNATURE EXCLUSION
José Manuel
Redondo López
 V Ataques contra la confidencialidad

• PASSIVE WS-MITM (TAMBIÉN LLAMADO MESSAGE SNIFFING O MESSAGE

SNOPPING)
• WSDL DISCLOSURE
• WSDL Enumeration aka WSDL Scanning
• WSDL Google Hacking
• ADAPTIVE CHOSEN-CIPHERTEXT ATTACKS

José Manuel
Redondo López
 V Ataques contra el control de acceso

• REPLAY ATTACK
• SOAPACTION SPOOFING
• SOAPAction Spoofing - MITM Attack
• SOAPAction Spoofing - Bypass Attack

José Manuel
Redondo López
 V Otros ataques

• ATTACK OBFUSCATION
• XML INJECTION
• XML SIGNATURE - KEY RETRIEVAL XSA (CROSS SITE ATTACK)
• XML SIGNATURE – XSLT CODE EXECUTION
• XPATH INJECTION

José Manuel
Redondo López
 RECOLECCIÓN DE
INFORMACIÓN Y PHISING
HACKING
THROUGH
ABILITY
ABILITY
THROUGH
HACKING

Volver al Índice
Herramientas para la Web
 V SET https://github.com/trustedsec/social-engineer-toolkit

• ESUN FRAMEWORK ESPECÍFICAMENTE DISEÑADO PARA

CREAR FICHEROS MALICIOSOS CON PAYLOADS TÍPICOS,
COMO ABRIR UN SHELL
• PEROEN ESTE CASO SE PROPORCIONA SOPORTE PARA
LA DISTRIBUCIÓN DE LOS MISMOS VÍA INGENIERÍA
SOCIAL
• SETTIENE UNA SERIE DE VECTORES DE ATAQUE Y
GENERA ATAQUES CREÍBLES PARA LOS USUARIOS
• SESUELE USAR DE FORMA LEGÍTIMA PARA PONER A
PRUEBA LA “SECURITY AWARENESS” DE LOS EMPLEADOS
DE UNA EMPRESA EN UN PENTESTING
• TUTORIAL
• https://www.tutorialspoint.com/kali_linux/kali_linux_soc
ial_engineering

José Manuel
Redondo López
 V HiddenEye https://github.com/DarkSecDevelopers/HiddenEye

• SE HA INCLUIDO PARA QUE VEÁIS COMO SE PUEDE

ORGANIZAR UNA CAMPANA DE PHISING FÁCILMENTE
• De ahí que sea un problema tan peligroso 
• EN AUDITORIAS A EMPRESAS, PUEDE USARSE PARA VER QUIEN
NO TIENE UNA ADECUADA CULTURA DE SEGURIDAD
• ES UNA HERRAMIENTA MUY POTENTE
• Los ataques muestran información en vivo del objetivo:
IP, geolocalización, ISP…
• Las páginas que muestra son compatibles con
dispositivos móviles
• Incorpora opcionalmente un Keylogger
• Soporte de Android
• Selección del tipo de URL (personalizada o aleatoria)
*Genera una copia de la web de login de alguno de
• Gran colección de páginas que simulan ser logins de
sitios conocidos estos servicios, que se puede enviar y “capturar” lo
• Facebook, Twitter, Instagram, Google… que el usuario introduce en ella
• Sacadas de otras herramientas similares como
ShellPhish, Blackeye o SocialFish
José Manuel
Redondo López
 V SLURP https://github.com/0xbharath/slurp

• HOY EN DÍA, CON EL AUGE DE LA NUBE, ES COMÚN OFRECER

SERVICIOS PARA QUE LAS APLICACIONES ALMACENEN
INFORMACIÓN TAMBIÉN ALLÍ

• UNO DE LOS SISTEMAS DE ALMACENAMIENTO MÁS

POPULARES ES AMAZON S3

• PERO NO ES RARO ENCONTRARSE SISTEMAS S3 MAL

CONFIGURADOS QUE PERMITAN VER SU CONTENIDO
PÚBLICAMENTE
• Mostrando por tanto datos privados / internos /
comprometedores de las aplicaciones y empresas

• SLURP PERMITE LOCALIZAR ESTE TIPO DE SISTEMAS S3

PÚBLICOS PERTENECIENTES A UN DOMINIO
• Dentro de estos, puede hacer mucha información que luego
se use para posteriores fases

• TUTORIAL
• https://www.darknet.org.uk/2019/07/slurp-amazon-aws-s3-
bucket-enumerator/
José Manuel
Redondo López
RECOLECCIÓN DE INFORMACIÓN Y
PHISING

Herramientas para Servidores Web

Recabar Información / Phising

 V Firefox Web Developer Tools
https://addons.mozilla.org/es/firefox/addon/web-developer/

• SON HERRAMIENTAS MUY ÚTILES PARA DESARROLLADORES….Y PARA PENTESTERS

• PERMITE HACER UNA MANIPULACIÓN AVANZADA DE LA WEB QUE SE ESTÁ
VISUALIZANDO:
• Ver cookies, código fuente, diversas partes de la página…
• Desactivar Javascript (y por tanto validación del lado del cliente)
• Modificar el HTML y la CSS “en caliente” para probar modificaciones en los mismos
• ES UNA BUENA FORMA DE “DISECCIONAR” UNA PÁGINA PARA VER QUE TIENE Y COMO
ESTÁ CONSTRUIDA
• ACCESIBLES MEDIANTE EL MENÚ HERRAMIENTAS – DESARROLLADOR WEB

José Manuel
Redondo López
 V HTTrack http://www.httrack.com/

• SI UNA EQUIPO TIENE UNA WEB, MUCHAS

VECES ES CONVENIENTE DESCARGÁRSELA PARA
EXAMINARLA MÁS A FONDO
• HTTRACK ES UN SPIDER AUTOMÁTICO QUE
PUEDE DESCARGAR GRAN PARTE DE LAS WEBS
EN EL HD LOCAL, REPRODUCIENDO SU
ESTRUCTURA
• PUEDE FALLAR AL DESCARGAR ALGUNAS
PARTES DE DETERMINADAS WEB (LOGINS,
MECANISMOS DE NAVEGACIÓN COMPLEJOS)
• PARA LOS SITIOS DONDE NO SE DESCARGUE
NADA, ES NECESARIO UN SPIDER MANUAL

José Manuel
Redondo López
 V HTTrack

• ¿Y PARA QUE QUIERO DESCARGARME UNA WEB?

• Como veremos enseguida, para buscar entre su contenido sin
necesidad de estar constantemente conectándose el servidor
• Comentarios con datos interesantes / información / claves y otra
información sensible hardcodeada
• Estructura de las páginas ¿siguen una secuencia o formato? ¿Qué pasa
si se sigue dicha secuencia? ¿aparecen páginas no enlazadas?
• Ver todos los recursos navegables y la estructura de los mismos
• Permite pues un análisis tranquilo y concienzudo de una web en la
máquina del cliente

José Manuel
Redondo López
 V Análisis del código fuente

• MÁS VECES DE LAS QUE UNO CREE NOS PODEMOS ENCONTRAR CON PROBLEMAS DE
SEGURIDAD MEDIANTE EL SIMPLE ANÁLISIS DEL CÓDIGO FUENTE DE UNA WEB
• LAS WEBS PUEDEN CONTENER COMENTARIOS CON INFORMACIÓN CRÍTICA: PARTES
PRIVADAS, CLAVES, CADENAS DE CONEXIÓN, NOMBRES DE PRODUCTOS / USUARIOS…
• UNA GRAN CANTIDAD DE INFORMACIÓN COMPROMETEDORA QUE SE PUEDE HACER
DEJADO AHÍ POR DESCUIDO O DESCONOCIMIENTO
• PARA ELLO SE RECOMIENDA
• Inspección manual de las webs con un buen editor HTML que destaque comentarios
• Scripts que extraigan comentarios de las webs
• MÁS INFORMACIÓN
• https://www.owasp.org/index.php/Review_webpage_comments_and_metadata_for_information_leakage_(O
TG-INFO-005)

José Manuel
Redondo López
 V Visor de código de Firefox

Send comments:

¡Código no HTML!
Esto duele a la vista

<!--Database pwd for admin: testMeNow!

Raymond please delete this when going to production--> Esto ya, sin embargo, te deja ciego 

José Manuel
Redondo López
 V Análisis de metadatos

• ADEMÁS DEL CÓDIGO FUENTE LOS DOCUMENTOS DE UNA WEB

PUEDEN TENER METADATOS COMPROMETEDORES
• .doc, .pdf, .jpg…
• POR ELLO, MUCHAS VECES SE DESCARGA UNA COPIA OFFLINE
Y SE PROCESA CON PROGRAMAS QUE EXTRAIGAN LOS
METADATOS DE TODOS ELLOS

• SE PUEDE USAR METASHIELD ANALYZER PARA EXTRAER LOS

METADATOS UN SOLO FICHERO
• https://www.elevenpaths.com/es/labstools/metashield-
analyzer/index.html
• SI SON MUCHOS, SE RECOMIENDA UNA HERRAMIENTA COMO
FOCA OPEN SOURCE
• https://www.elevenpaths.com/es/labstools/foca-
2/index.html
• TUTORIAL
• http://www.elladodelmal.com/2009/04/foca-manual-
José Manuel
de-usuario-i-de-iv.html
Redondo López
 V Dirb y contenido oculto https://tools.kali.org/web-applications/dirb

• BUSCA CONTENIDO WEB OCULTO DENTRO DE UN SERVIDOR WEB

• Directorios no enlazados, webs ocultas, partes de una web
secretas comunes (/admin, /login, /debug, /auth…)
• DETECTA PARTES DE UNA WEB QUE SE HAN OCULTADO
SIMPLEMENTE NO ENLAZÁNDOLAS

• MANUALMENTE ES POSIBLE ENCONTRAR FICHEROS OCULTOS

AÑADIENDO EXTENSIONES

• PUEDE LLEVAR A QUE CUALQUIERA SE DESCARGUE EL CÓDIGO

FUENTE DE UNA APLICACIÓN U OTROS FICHEROS IMPORTANTES
• Si tenemos un .php podemos probar a obtener
.php.bak, .php.2, .php.old, …
• También se puede probar con .conf, .db, .txt, …
• Una URL que finalice en un nombre de directorio (sin
página) puede generar un listado de su contenido
• Todos sus ficheros estarían visibles y listos para descargarlos

• UNA HERRAMIENTA POPULAR SIMILAR ES DIRBUSTER

HTTPS://WWW.OWASP.ORG/INDEX.PHP/CATEGORY:OWASP_DIR
José Manuel
BUSTER_PROJECT/ES
Redondo López
 V Robots.txt

• NO ES UNA HERRAMIENTA, PERO PUEDE SER UN PROBLEMA ☺

• PARTE DEL ROBOT EXCLUSION STANDARD
• SE USA PARA QUE LOS BUSCADORES QUE LO SIGAN NO INDEXEN
LAS ENTRADAS DEL FICHERO BAJO LA PALABRA CLAVE DISALLOW
• Es accesible vía URL aunque no esté enlazado:
www.miweb.com/robots.txt
• ALGUNOS PROGRAMADORES LO USAN PARA QUE GOOGLE Y
SIMILARES NO INDEXEN CONTENIDO “SENSIBLE”…
• ¡PERO CON ESO DECLARAMOS QUE EXISTE A QUIEN LO VEA!
• Cualquiera puede acceder a este fichero
• ¿Ocultar algo declarando que existe? No es buena idea…
• SI ALGO NO QUEREMOS QUE SE VEA…
• NO LO SUBAIS AL SERVIDOR
• Un contenido no enlazado por nadie no se indexa. Un
buscador no hace magia
• Protegedlo con login y password
• SOLO DEBERÍA USARSE PARA CONTENIDO ENLAZADO Y ACCESIBLE
QUE REALMENTE NO QUEREMOS QUE SE INDEXE
José Manuel
Redondo López
 ¿Qué motivo hay para ¿Qué hace esto en una
ocultar estos .pdf web en producción?
concretos de los
resultados de un
buscador?

¡Mapa de la aplicación web gratis!

Si alguna de estas subsecciones
no quiere dejarse abierta al
público, ahora estamos
“cantando” su existencia

• Más información: https://www.synopsys.com/blogs/software-security/robots-txt/

 V BlindElephant, Whatweb…web fingerprinting

• EL WEB FINGERPRINTING ES UN CONJUNTO DE TÉCNICAS POR LAS CUALES SE IDENTIFICAN LOS

ELEMENTOS CON LOS QUE SE HA DESARROLLADO UNA WEB
• PUEDEN SER FRAMEWORKS, O HERRAMIENTAS CON UN NIVEL DE ABSTRACCIÓN MAYOR: WORDPRESS,
DJANGO, PHPBB U OTRO TIPO DE CMSS Y PRODUCTOS SIMILARES
• LA INFORMACIÓN OBTENIDA SE CONTRASTA COMO LA OBTENIDA MEDIANTE NMAP
• YENDO A PÁGINAS DE VULNERABILIDADES DE PRODUCTOS Y ANALIZANDO LAS PRESENTES EN LA WEB EN
FUNCIÓN DE LAS VERSIONES ENCONTRADAS)
• HAY VARIAS HERRAMIENTAS QUE SIRVEN PARA ESTE FIN. EJEMPLOS:
• BlindElephant: https://tools.kali.org/web-applications/blindelephant
• Whatweb: https://tools.kali.org/web-applications/whatweb
• MÁS INFORMACIÓN
• https://www.owasp.org/index.php/Fingerprint_Web_Application_(OTG-INFO-009)

José Manuel
Redondo López
 WhatWeb

BlindElephant
 V Osmedeus
• ESUNA HERRAMIENTA QUE CENTRALIZA LA RECOLECCIÓN DE INFORMACIÓN Y EL ESCANEO DE
VULNERABILIDADES DE UN OBJETIVO
• ENTRE SUS CAPACIDADES ESTÁN
• Escaneo de subdominios y de subdominios que han sido victimas de Subdomain Takeover
para hacerse con el control del dominio (https://0xpatrik.com/subdomain-takeover-basics/)
• Información de Whois y Dig
• Detección de tecnologías web
• Políticas CORS usadas (a qué dominios además del propio se tiene acceso,
https://developer.mozilla.org/es/docs/Web/HTTP/Access_control_CORS)
• Escaneo SSL
• Búsqueda en la Wayback Machine de versiones viejas de la web: https://archive.org/web/
• Descubrimiento de URLs
• Escaneo de cabeceras, puertos y vulnerabilidades
• UI web y API REST
• TUTORIAL
• https://www.kitploit.com/2019/08/osmedeus-v15-fully-automated-offensive.html?m=1
José Manuel
Redondo López
HIJACKING

HACKING
THROUGH
ABILITY
ABILITY
THROUGH
HACKING

Volver al Índice
 V TCP Session Hijacking

• ELOBJETIVO DEL SECUESTRO DE UNA SESIÓN TCP ES CREAR UN ESTADO EN EL QUE EL

CLIENTE Y EL SERVIDOR NO PUEDAN INTERCAMBIAR INFORMACIÓN
• ENESE MOMENTO EL ATACANTE PODRÁ FALSIFICAR PAQUETES DIRIGIDOS A UNO U
OTRO, IMITANDO LOS PAQUETES REALES
• PORTANTO, EL ATACANTE TOMARÁ CONTROL DE LA SESIÓN DE COMUNICACIÓN Y
PODRÁ HACER CUALQUIER CLASE DE OPERACIÓN CON LA INFORMACIÓN TRANSMITIDA
• EL CONCEPTO DE SESIÓN EXISTE A VARIOS NIVELES DE LA COMUNICACIÓN ENTRE DOS
CLIENTES Y EN TODO CASO HAY UN RIESGO DE SECUESTRO DE LA MISMA
• https://www.greycampus.com/opencampus/ethical-hacking/session-hijacking-levels
• TUTORIAL
• https://www.greycampus.com/opencampus/ethical-hacking/network-or-tcp-session-hijacking

José Manuel
Redondo López
RECONOCIMIENTO DE
SERVICIOS Y DOS
HACKING
THROUGH
ABILITY
ABILITY
THROUGH
HACKING

Volver al Índice Stress testing

Herramientas para la web
 V Nmap - Mapea las funciones de una red http://nmap.org/

• ¿PARA QUÉ SIRVE? PARA DESCUBRIR…

• Qué hosts están activos en una red
• Qué servicios (nombre y versión) ofrecen dichos
hosts
• Qué sistema operativo (y su versión) se ejecuta
en cada host
• Qué tipo de firewall o filtros de paquetes están
en uso
• Y muchas, muchas cosas más… ☺
• VENTAJAS
• Escanea redes completas o host individuales
• Es rápido, potente y no requiere grandes
recursos
• DESVENTAJAS
• Un firewall bien configurado disminuye su
utilidad enormemente
José Manuel
Redondo López
 V Nmap - Ejemplos prácticos

• TUTORIAL DE USO BÁSICO: HTTP://NMAP.ORG/MAN/ES/

• LA INFORMACIÓN DESCUBIERTA POR NMAP TIENE UN USO BASTANTE DIRECTO
• Se descubre un programa/servicio en uso y su versión
• Se consulta una base de datos de vulnerabilidades, buscando dicho programa y sus
bugs por versión https://www.cvedetails.com/
• Se documentan los posibles exploits que un equipo puede tener por tener en
funcionamiento dicho programa y versión
• Especialmente los no resueltos o los resueltos parcialmente
• Podemos buscarlos aquí: https://www.exploit-db.com/
• O usar Metasploit (o un producto similar): ver más adelante
• Repetir el proceso por cada programa encontrado

José Manuel
Redondo López
 V Nmap - Ejemplos prácticos

• ESCANEAMOS UN SERVIDOR WEB (WWW.DUMMYSERVER.COM) Y DESCUBRIMOS:

• Dos Apache, uno en un puerto no estándar (8345)
• Accedemos a www.dummyserver.com:8345
• Descubrimos la web de administración de la web principal que está en el puerto 80
• El creador ha pensado que por ocultarla en un puerto no estándar nadie la vería….y por eso
apenas tiene medidas de seguridad ¿tendrá una password absurda? ¿tendrá alguna
password?
• Un Mysql Admin en el puerto 3306
• Accedemos a dicho puerto y nos encontramos el interfaz de administración de MySQL
• Buscamos la password por defecto de dicho servicio y la probamos….¿funcionará?
• ¡En este caso si que funcionó!
• ¡El administrador ni siquiera había cambiado la clave por defecto!
• Ambos son casos reales 

José Manuel
Redondo López
 V Nmap - Ejemplos prácticos

• EXISTEN OTRAS BASES DE DATOS DE CVES EN LAS QUE PODEMOS BUSCAR

• https://nvd.nist.gov/vuln/search
• https://cve.mitre.org/cve/search_cve_list.html
• O INCLUSO TRABAJAR CON UNA LOCAL: HTTPS://GITHUB.COM/CVE-SEARCH/CVE-SEARCH
• APARTE DE BUSCAR EN BBDDS DE CVES, QUÉ PROBAR DEPENDE DE LOS SERVICIOS DESCUBIERTOS
• Servidores de Mail:
• Ataques frecuentes: http://www.iss.net/security_center/advice/Exploits/Services/SMTP/default.htm
• MX Injection: http://www.webappsec.org/projects/articles/121106.shtml
• FTP:
• Ataques frecuentes http://www.iss.net/security_center/advice/Exploits/Services/FTP/default.htm
• SSH:
• Ataques frecuentes http://www.cvedetails.com/vulnerability-list/vendor_id-120/SSH.html
• Telnet, Finger: ¡¡¡¡¡DESHABILITADLOS YA!!!!!
• … (cada posible servicio tiene su técnica)
José Manuel
Redondo López
 V Acerca de NMap

• LA POTENCIA DE NMAP NO SOLO ESTÁ EN LA HERRAMIENTA EN SÍ, SINO EN SU ENORME BASE DE DATOS
DE SCRIPTS NSE
• 600+ SCRIPTS CADA UNO CON UN PROPÓSITO DIFERENTE, QUE PERMITEN A LA HERRAMIENTA SER
EFECTIVA EN UNA CANTIDAD DE ESCENARIOS Y ANTE UNA CANTIDAD DE PRODUCTOS MUY GRANDE
• https://nmap.org/book/nse.html
• USO BÁSICO: HTTPS://HACKERTARGET.COM/NMAP-TUTORIAL/
• USO DE SCRIPTS: HTTPS://WWW.TECMINT.COM/USE-NMAP-SCRIPT-ENGINE-NSE-SCRIPTS-IN-LINUX/
• TUTORIAL BÁSICO Y AVANZADO, INCLUYENDO TÉCNICAS AVANZADAS DE ESCANEO Y EVASIÓN:
HTTPS://RESOURCES.INFOSECINSTITUTE.COM/NMAP/
• GUI MÁS AVANZADO QUE EL OFICIAL (¡Y HECHO EN LA EII! ☺):
HTTPS://GITHUB.COM/DANICUESTASUAREZ/NMAPGUI

José Manuel
Redondo López
 V

José Manuel
Redondo López
 V

¡La presencia de servicios en ciertos puertos puede

indicar que un servidor tiene malware!

José Manuel
Redondo López
 V Ncat https://nmap.org/ncat/

• HERRAMIENTA DE RED QUE PUEDE LEER, ESCRIBIR, REDIRIGIR Y ENCRIPTAR

DATOS EN LA RED E IMPLEMENTA MUCHAS FUNCIONALIDADES

• ES UNA PARTE DE LA IMPLEMENTACIÓN DE NMAP, PERO PUEDE

DESCARGARSE INDEPENDIENTEMENTE Y PERMITE

• Hacer de cliente TCP/UDP/SCTP/SSL para interactuar con servidores

web, telnet, de email y otros servicio TCP/IP
• Controla cada byte enviado y ver la respuestas sin filtrar
• Hacer de servidor TCP/UDP/SCTP/SSL para ofrecer servicios,
capturar cada byte que le llega y poder analizarlo
• Redirigir o hacer de proxy de tráfico TCP/UDP/SCTP a otros puertos
o hosts, bien de forma automática o bien permitiendo que el cliente
indique a donde quiere enviar el tráfico (proxy SOCKS o HTTP)
• Cifrar la comunicación con SSL y enviarla por redes IPv4 o IPv6
• Hacer de gateway de red para la ejecución de comandos del
sistema cuya salida o entrada sea la red
• Funciona como la utilidad cat, pero para la red
• Hacer de broker de conexiones, de manera que dos máquinas
puedan conectarse entre ellas a través de una tercera
• Esto permite comunicarse bajo NAT, o hacer de MitM

José Manuel • TUTORIAL: HTTPS://NMAP.ORG/NCAT/GUIDE/

Redondo López
 V Netcat http://netcat.sourceforge.net/

• TAMBIÉN LLAMADO NC, ES UNA HERRAMIENTA CLÁSICA E ANÁLISIS

DE LA RED QUE PERMITE HACER VARIAS TAREAS
• Port scanning: Escanea un objetivo para ver qué puertos
tiene abiertos y permitir luego explorarlos en profundidad
• Banner grabbing: Permite obtener cadenas de
información proporcionadas por los servicios de un
objetivo que permitan obtener más datos sobre el mismo
• Con ello podemos obtener datos típicos como tipo y versión
del SO o del servicio que está corriendo en un Puerto
• Transferencia de ficheros: Configurando netcat en
modo connect y en modo listen en dos máquinas, se
permite la transferencia de archivos entre ellas
• Esto es una técnica muy usada en labores de exploiting
• TUTORIAL:
• https://www.crackware.me/networking/hacking-with-
netcat-part-1-the-basics-2/
• https://www.crackware.me/networking/hacking-with-
netcat-part-2-bind-and-reverse-shells/
• https://www.crackware.me/networking/hacking-with-
netcat-part-3-advanced-techniques-2/
José Manuel
Redondo López
 V Netdiscover https://github.com/alexxy/netdiscover

• NETDISCOVER ES UNA HERRAMIENTA DE RECONOCIMIENTO DE

DIRECCIONES IP ACTIVA/PASIVA

• PUEDE DETECTAR HOSTS EN FUNCIONAMIENTO, O BUSCARLOS,

ENVIANDO SOLICITUDES ARP
• En caso del escaneo activo, utiliza solicitudes ARP para
generar respuestas ARP
• En caso de escaneo pasivo, vigila el tráfico de la red sin
enviar ningún tipo de paquete a la red
• LA LIMITACIÓN DE ESTA HERRAMIENTA ES DEBIDO A QUE LAS
SOLICITUDES ARP NO ATRAVIESAN LOS ROUTERS, Y SOLO
DETECTA SISTEMAS EN LA MISMA SUBRED

• DESARROLLADA PRINCIPALMENTE PARA REDES INALÁMBRICAS

SIN SERVIDOR DHCP, TAMBIÉN PUEDE SER UTILIZADA EN
REDES CON HUB O SWITCH

• TUTORIAL
• http://www.reydes.com/d/?q=Sondeo_de_la_Red_con_Netdiscover
José Manuel
Redondo López
 V Hping https://github.com/antirez/hping

• ES UN ANALIZADOR DE PAQUETES TCP/IP QUE TAMBIÉN TIENE

FUNCIONES DE PENTESTING
• CARACTERÍSTICAS
• Soporta los protocolos TCP, ICMP, UDP y RAW-IP
• Permite hacer pruebas sobre firewalls
• Permite escaneo avanzado de puertos, similar a Nmap
• Hace pruebas de red usando diferentes protocolos y
configuración de los paquetes
• Herramientas avanzadas para el descubrimiento de rutas
al host (traceroute)
• Fingerprinting del sistema operativo y el tiempo que lleva
en marcha (uptime)
• Auditoría de la pila TCP/IP del sistema objetivo
• TUTORIALES
• https://www.pedrocarrasco.org/manual-practico-de-
hping/
• https://www.redeszone.net/gnu-linux/hping3-manual-de-
utilizacion-de-esta-herramienta-para-manipular-
José Manuel
paquetes-tcp-ip/
Redondo López
 V Nessus http://www.tenable.com/products/nessus

• ES UNA HERRAMIENTA QUE PERMITE EL ANÁLISIS EN

PROFUNDIDAD DE UN EQUIPO, REALIZAR UNA AUDITORÍA DE
SUS SERVICIOS DETALLADA Y CUBRIR TODOS LOS PUNTOS
DONDE PUEDE HABER PROBLEMAS DE SEGURIDAD

• ES UNO DE LOS ESCANEADORES MÁS USADOS EN EL MUNDO

• ANALIZA CONFIGURACIONES, PARCHES INSTALADOS,
APLICACIONES WEB, REDES, SISTEMAS, DATOS Y
APLICACIONES…

• REQUIERE MUCHOS RECURSOS (4GB DE RAM)

• DETECTA MÁS DE 100,000 VULNERABILIDADES POTENCIALES,
ACTUALIZÁNDOSE FRECUENTEMENTE
• La versión gratuita (Nessus Home Feed) no detecta
tantas vulnerabilidades como la de pago
• TUTORIAL
• http://www.reydes.com/d/?q=Instalacion_de_Nessus_en_Kali_Li
nux
José Manuel
Redondo López
 V OpenVAS http://www.openvas.org/

• ES UN FORK DE NESSUS OPEN SOURCE

• ES UN FRAMEWORK QUE INCLUYE DIVERSOS SERVICIOS Y
HERRAMIENTAS QUE PERMITEN UN ESCANEO DETALLADO Y
MUY POTENTE DE VULNERABILIDADES EN UN SERVIDOR

• PUEDE CHEQUEAR MÁS DE 53.000 VULNERABILIDADES

DIFERENTES, ACTUALIZÁNDOSE DIARIAMENTE

• REQUIERE MUCHOS RECURSOS (4+ GB DE RAM)

• LA ACTUALIZACIÓN DE LAS VULNERABILIDADES QUE
DETECTA DEBE HACERSE PERIÓDICAMENTE CON
GREENBONE-NVT-SYNC

• TUTORIALES
• https://blog.ehcgroup.io/index.php/2018/06/21/escaneo-de-
vulnerabilidades-con-openvas-9-parte-1-instalacion-y-
configuracion/
• https://blog.ehcgroup.io/index.php/2018/06/21/escaneo-de-
vulnerabilidades-con-openvas-9-parte-2-escaneo-de-
vulnerabilidades/
José Manuel
Redondo López
 V Nexpose https://www.rapid7.com/products/nexpose/

• ES UNA HERRAMIENTA DE DESCUBRIMIENTO

AUTOMÁTICO DE VULNERABILIDADES MUY POTENTE
• CONSIDERADA PROBABLEMENTE COMO LA MÁS
POTENTE DE LA ACTUALIDAD
• DESCUBRE VULNERABILIDADES Y MUESTRA SUS POSIBLES
EXPLOITS
• PERO A DIFERENTE DE METASPLOIT, MUESTRA TODO
TIPO DE EXPLOITS EXISTENTES, NO SOLO LOS
UTILIZABLES MEDIANTE METASPLOIT
• MUESTRA MÁS VULNERABILIDADES Y TRABAJA A MAYOR
ESCALA QUE OTRAS HERRAMIENTAS SIMILARES
• TUTORIAL DE INSTALACIÓN
• https://www.javatpoint.com/ethical-hacking-installing-
nexpose
José Manuel
Redondo López
 V Vuls https://vuls.io/

• ESTA HERRAMIENTA USA VARIAS BASES DE DATOS DE

VULNERABILIDADES (NVD, JVN, OVAL, RHSA / ALAS / ELSA /
FREEBSD-SA…) PARA DETECTARLAS
• ESTO LE PERMITE INCLUSO DETECTOR VULNERABILIDADES QUE NO
TIENEN PARCHE PUBLICADO POR PARTE DEL FABRICANTE
• PERMITE ESCANEOS LOCALES Y REMOTOS (VÍA SSH)
• IMPLEMENTA DOS MODOS DE ESCANEO
• Fast scan: escanea sin privilegios de root, sin acceso a
internet y con un bajo consume de recursos
• Deep scan
• PERMITE TAMBIÉN DETECTAR VULNERABILIDADES CONOCIDAS EN
PAQUETES QUE NO SEAN DEL SO, COMO EJECUTABLES
COMPILADOS POR NOSOTROS MISMOS, LIBRERÍAS DE
COMPILADORES, FRAMEWORKS…
• INSTALACIÓN
• https://www.howtoforge.com/tutorial/how-to-install-and-use-vuls-
vulnerability-scanner-on-ubuntu/

• TUTORIAL
• https://vuls.io/docs/en/tutorial.html
José Manuel
Redondo López
 V Otras herramientas de descubrimiento automatizado de
vulnerabilidades similares

• PODEMOS ENCONTRAR OTRAS HERRAMIENTAS ADICIONALES QUE NOS PERMITEN LA EXPLORACIÓN DEL
OBJETIVO TENIENDO EN CUENTA DISTINTOS CRITERIOS O VULNERABILIDADES A ENCONTRAR
• ALGUNAS QUE NO VAMOS A VER A LO LARGO DE LA PRESENTACIÓN SON
• Netsparker
• Acunetix
• Core Impact
• Probely
• Indusface WAS Free Website Security Check
• Cain & Abel
• Retina
• Dradis
• MÁS INFORMACIÓN: HTTPS://WWW.SOFTWARETESTINGHELP.COM/PENETRATION-TESTING-TOOLS/

José Manuel
Redondo López
 V Utilidad e importancia de estas herramientas

• SON PROGRAMAS PROFESIONALES Y MUY POTENTES QUE DESCUBREN

VULNERABILIDADES AUTOMÁTICAMENTE EN CUALQUIER MÁQUINA
• Windows, Linux, Mac, sean servidor web o no, …
• NOS AHORRAN MUCHO TIEMPO Y HACEN MEJOR TRABAJO DEL QUE NOSOTROS
PODRÍAMOS HACER MANUALMENTE EN MUCHOS CASOS
• SI SE COMBINAN PARA ESTUDIAR UN MISMO OBJETIVO, LOS RESULTADOS SERÁN
MUCHO MÁS FIABLES
• SISE ARREGLAN TODOS LOS PROBLEMAS DETECTADOS, ES MÁS DIFÍCIL QUE LA
MÁQUINA ESTUDIADA SEA VULNERABLE
• POR TANTO, SON HERRAMIENTAS NECESARIAS PARA TODO INGENIERO DE SEGURIDAD…
• …PERO NO DEBEMOS RECURRIR SOLO A ELLAS PARA UN ANÁLISIS COMPLETO
José Manuel
Redondo López
 V La importancia de los log

• HEMOS VISTO HERRAMIENTAS DE EXPLORACIÓN EXTERNA PERO…

• ¿Y si somos usuarios legítimos de la plataforma explorada?
• ¿Y si hemos entrado en ella?
• UNA DE LAS FUENTES DE INFORMACIÓN MÁS JUGOSAS PUEDEN SER LOS LOGS DEL SISTEMA
• No ya por saber lo que se hace y cuando se hace, sino porque a veces los logs contienen
información muy jugosa
• No es la primera vez que una empresa conocida reporta que sus logs contenían información
privada sin cifrar
• O que una herramienta guarda un log con datos sensibles no cifrados aunque luego los guarde
cifrados en su BBDD: https://github.com/owncloud/core/issues/26104
• HABITUALMENTE ESTO PASA POR MALAS CONFIGURACIONES DEL LOG O DE LA APLICACIÓN:
• https://github.com/OWASP/CheatSheetSeries/blob/master/cheatsheets/Logging_Cheat_Sheet.md
• https://www.owasp.org/index.php/OWASP_Cheat_Sheet_Series
• ¿QUÉ PASA SI MI USUARIO ACTUAL PUEDE LEER LOS LOG DEL SISTEMA? (DEBIDO A UNA MALA
CONFIGURACIÓN O LEGÍTIMAMENTE)
José Manuel
Redondo López
 V La importancia de los log

• ENESE CASO, LO MEJOR ES USAR UNA HERRAMIENTA DE ANÁLISIS DE LOG EXISTENTES EN EL MERCADO
PARA BUSCAR INFORMACIÓN SENSIBLE
• Nombres de usuario y contraseñas
• Direcciones de otros equipos / servicios
• API Keys de servicios externos
• Equipos clave que pueden ser víctimas de otros ataques: LDAPs, controladores de dominio
Active Directory, servidores de email, DNS…
• Cadenas de conexión
• …
• RECURSOS
• Herramientas de análisis de log: https://medium.com/tensult/tools-for-log-analysis-
461eb07c2d6b
• Petit, herramienta de análisis: https://www.tecmint.com/petiti-log-analysis-tool-for-linux-
sysadmins/
• Ejemplo: Análisis de log para servidores web: https://resources.infosecinstitute.com/log-
analysis-web-attacks-beginners-guide/
José Manuel
Redondo López
 V Linux Smart Enumeration https://github.com/diego-treitos/linux-
smart-enumeration

• ES UN SCRIPT QUE SE USA PARA MOSTRAR INFORMACIÓN

RELEVANTE DE UN SISTEMA LINUX LOCAL

• HAY TRES NIVELES DE “VERBOSIDAD” PARA CONTROLAR

CUANTA INFORMACIÓN SE MUESTRA
• El nivel por defecto muestra fallos de seguridad muy
graves
• El nivel 1 (./lse.sh -l1) añade información que puede
server para hacer escalado de privilegios
• Finalmente, el nivel 2 (./lse.sh -l2) muestra toda la
información disponible
• NECESITA LA CLAVE DEL USUARIO QUE LO EJECUTA PARA
PODER HACER UN Nº MAYOR DE TESTS DE SEGURIDAD

• TUTORIAL
• https://kalilinuxtutorials.com/linux-smart-enumeration/

José Manuel
Redondo López
 V Powershell

• POWERSHELL ES LA CONSOLA DE COMANDOS AVANZADA DE WINDOWS, EQUIVALENTE A LA

TRADICIONAL DE LINUX EN CUANTO A FUNCIONALIDAD Y VERSATILIDAD
• SI BIEN TRADICIONALMENTE SE HAN USADO PARA ESTOS FINES HERRAMIENTAS BASADAS EN LINUX,
POWERSHELL ESTÁ TOMANDO MUCHA IMPORTANCIA ÚLTIMAMENTE COMO PLATAFORMA PARA
DESPLEGAR PRUEBAS Y ATAQUES DE TODO TIPO DESDE MÁQUINAS WINDOWS
• ELPROBLEMA ES QUE PARA ELLO TENEMOS QUE APRENDER SU FUNCIONAMIENTO, SUS COMANDOS Y
QUE SE PUEDE HACER CON EL MISMO
• POR SUERTE, PODEMOS ENCONTRAR UNA REFERENCIA COMPLETA AQUÍ:
HTTPS://RESOURCES.INFOSECINSTITUTE.COM/POWERSHELL-FOR-PENTESTERS-PART-1-INTRODUCTION-TO-
POWERSHELL-AND-CMDLETS/

José Manuel
Redondo López
RECONOCIMIENTO DE SERVICIOS Y
DOS

Denegaciones de Servicio / Stress

testing

Reconocimiento de servicios / DoS

 V ApacheBench (ab) https://httpd.apache.org/docs/2.4/programs/ab.html

• APACHEBENCH (COMANDO AB) ES UNA HERRAMIENTA PARA HACER BENCHMARKING HTTP DE

SERVIDORES WEB
• PERMITE SABER EL RENDIMIENTO APROXIMADO DE UNA INSTALACIÓN, ESPECIALMENTE CUANTAS
PETICIONES POR SEGUNDO ES CAPAZ DE SERVIR
• ES ESPECIALMENTE ÚTIL PARA VER LA CAPACIDAD DE RESISTIR ATAQUES DO S Y DDOS DE CUALQUIER
SERVIDOR WEB
• SOBRE TODO CUANDO SE HAN TOMADO MEDIDAS CONTRA ELLOS, CON CAMBIOS EN LA
CONFIGURACIÓN O MEDIANTE PROGRAMAS TIPO PORTSENTRY O FAIL2BAN
• SISE COMBINA CON TOP, ADEMÁS SE PUEDE TENER UNA IDEA DEL CONSUME DE CPU DEL SERVIDOR
CUANDO SE LE SOMETE A “STRESS”
• TUTORIAL
• https://www.devside.net/wamp-server/load-testing-apache-with-ab-apache-bench

José Manuel
Redondo López
 V LOIC https://github.com/NewEraCracker/LOIC

• LOW ORBIT ION CANNON (LOIC) ES UNA DE LAS HERRAMIENTAS

MÁS CLÁSICAS PARA LA REALIZACIÓN DE STRESS TESTING / DDOS

• LA VERSIÓN PRESENTADA ESTÁ HECHA EN C#, Y ESTÁ BASADA EN EL

PROYECTO LOIC ORIGINAL: HTTPS://SOURCEFORGE.NET/PROJECTS/LOIC/
• Hay otra versión Javascript (JSLOIC) capaz de ser ejecutada vía
un simple browser
• LO QUE LA HACE ESPECIAL ES SU MODO HIVEMIND
• Permite conectar el cliente LOIC a un servidor IRC
• Este servidor IRC puede controlar remotamente todos los
LOICs conectados al mismo
• Es como una botnet, pero sus miembros son voluntarios
• Se usa para que el responsable del servidor ordene a todos los
LOICs suscritos actuar contra un mismo objetivo al mismo
tiempo, mediante un mensaje especial
• Y ASÍ SE HACEN TÍPICAMENTE ATAQUES DISTRIBUIDOS DESDE
MÚLTIPLES DISPOSITIVOS CON LOIC
• ¿Qué pasa si estos dispositivos son cámaras, bombillas y otras
plataformas IoT capaces de ejecutarlo?
José Manuel • ¿Y si han sido troyanizadas con él? (ya no es voluntario )
Redondo López
RECONOCIMIENTO DE SERVICIOS Y
DOS

Herramientas para Servidores Web

Reconocimiento de servicios / DoS

 V Nikto2 / Wikto http://www.cirt.net/nikto2/
http://research.sensepost.com/tools/web/wikto

• ES UN ESCANEADOR DE SERVIDORES WEB GPL

• EJECUTA UN CONJUNTO DE TEST EXHAUSTIVO A
CUALQUIER SERVIDOR WEB EN BUSCA DE:
• 6500+ archivos o CGIs peligrosos
• Versiones viejas de servidores
• Problemas graves conocidos de versiones
específicas de un servidor
• Problemas de configuración de servidores web
conocidos
• Versión instalada del servidor y los programas que
ejecuta
• Se actualiza frecuentemente
• WIKTO (NIKTO PARA WINDOWS) AÑADE ALGUNAS
FUNCIONES EXTRA, HACIÉNDOLO AÚN MÁS POTENTE
• CONSUME MUY POCOS RECURSOS, ESPECIALMENTE SI SE LE
COMPARA CON OPENVAS O NESSUS
• TUTORIAL
• https://www.securityartwork.es/2014/02/27/intro-al-escaner-
de-web-nikto-ii/
José Manuel
Redondo López
 V Wapiti https://sourceforge.net/projects/wapiti/files/

• ES OTRA HERRAMIENTA DE PENTESTING MUY POPULAR QUE PERMITE

AUDITAR LA SEGURIDAD DE APLICACIONES WEB

• PUEDE DESCUBRIR UNA GRAN CANTIDAD DE VULNERABILIDADES USANDO

LOS MÉTODOS HTTP GET Y POST

• CARACTERÍSTICAS
• Genera informes de vulnerabilidades detectadas en varios formatos
• Pausa / reanudación de ataques
• Módulos que implementan distintas variantes de ataques,
activables y desactivables a voluntad
• Soporte para proxies HTTP y HTTPs
• Restricción del ámbito de escaneo
• Eliminación automática de parámetros de la URL e importación de
cookies
• Activación o desactivación de certificados SSL
• Extracción de URLs de ficheros Flash (.swf)
• TUTORIALES
• https://jonathansblog.co.uk/wapiti-tutorial
• https://www.securitynewspaper.com/2018/11/15/scan-websites-
José Manuel with-wapiti/
Redondo López
 V Wpscan https://github.com/wpscanteam/wpscan

• WORDPRESS ES UNO DE LOS FRAMEWORKS MÁS POPULARES

PARA CREAR SITIOS WEB ACTUALMENTE

• DEBIDO A ELLO, ES UNO DE LOS PRODUCTOS MÁS ATACADOS

Y CON MAYOR Nº DE VULNERABILIDADES CONOCIDAS

• SE DEBE TENER UNA VIGILANCIA PERIÓDICA FRECUENTE PARA

ESTAR AL TANTO DE LOS BUGS QUE APARECEN EN
WORDPRESS Y SUS PLUGINS Y ACTUALIZAR EL SISTEMA
• WPSCAN COMPRUEBA SI UN SITIO HECHO CON WORDPRESS
CONTIENE VULNERABILIDADES CONOCIDAS EN LOS ARCHIVOS
CORE O LOS PLUGINS Y TEMAS INSTALADOS
• También puede descubrir contraseñas débiles y
problemas de configuración de seguridad
• Usa la base de datos de wpvulndb.com para
comprobar vulnerabilidades de software
• TUTORIAL
• https://blog.sucuri.net/espanol/2015/12/usando-wpscan-
encontrando-vulnerabilidades-de-wordpress.html
José Manuel
Redondo López
 V Joomscan https://github.com/rezasp/joomscan

• PROYECTO OPEN SOURCE PARA AUTOMATIZAR LA

DETECCIÓN DE VULNERABILIDADES EN WEBS QUE USEN
EL CMS JOOMLA
• ES EQUIVALENTE A WPSCAN, PERO CON OTRO
FRAMEWORK
• ESCANEA INSTALACIONES JOOMLA PARA DETECTAR
VULNERABILIDADES INTENTANDO TENER UN IMPACTO
MÍNIMO EN SU RENDIMIENTO
• DETECTA ADEMÁS PROBLEMAS DE CONFIGURACIÓN Y
POSIBLES PUNTOS EXPLOTABLES EN LA APLICACIÓN
• DEVUELVE UN INFORME HTML
• TUTORIAL
• https://tools.kali.org/web-applications/joomscan

José Manuel
Redondo López
 V Droopescan https://github.com/droope/droopescan

• ES UN ESCÁNER DE SEGURIDAD PARA CMS CON UN

SISTEMA DE PLUGINS INCORPORADO QUE LE PERMITE
TRABAJAR SOBRE VARIOS
• SOPORTA ESTOS CMS DE FORMA COMPLETA
• SilverStripe
• Wordpress
• ADEMÁS,LOS SIGUIENTES CMS SON SOPORTADOS DE
FORMA PARCIAL
• Joomla (versión y enumeración de URLs
interesantes solamente)
• Moodle (soporte muy limitado para plugins y
temas)
• Drupal (descubrimiento de plugins parcial)
• TUTORIAL
• https://latesthackingnews.com/2018/09/02/droo
pescan-cms-based-web-applications-scanner/
José Manuel
Redondo López
MAN-IN-THE-MIDDLE

HACKING
THROUGH
ABILITY
ABILITY
THROUGH
HACKING

Volver al Índice
 V hostapd-wpe https://tools.kali.org/wireless-attacks/hostapd-wpe

• ESTA ES UNA HERRAMIENTA USADA PARA HACERSE PASAR POR UN PUNTO WIFI LEGÍTIMO
• Se usa en pentesting de empresas para ver la “security awareness” de sus empleados
• Pero es frecuente también usarlos haciéndose pasar por Wifis gratuitas de supermercados y similares
• PARA ELLO SE CREA UN PUNTO WIFI CUYO SSID SEA IDÉNTICO / MUY SIMILAR A UNO EXISTENTE / COHERENTE EN EL
ENTORNO CONCRETO (EJ.: WIFI EMPRESA PLUS, WIFI EMPRESA2…)
• El usuario al conectarse podrá ver indicios como certificados en los que tiene que confiar o avisos del SO
• Si decide ignorarlos y proceder (algo realmente habitual), se podrá observar todo su tráfico
• EL OBJETIVO ES OBTENER HASHES DE PASSWORDS DE CLIENTES QUE SE PUEDAN ROMPER CON LAS HERRAMIENTAS DE
CRACKING DE CONTRASEÑAS
• O bien establecer conexión con el cliente conectado y lanzarle diversos ataques
• O directamente capturar cualquier clase de información enviada
• CUENTA LA LEYENDA QUE POR LA ZONA DE LLAMAQUIQUE HABÍA UNOS CUANTOS SUPUESTOS PUNTOS WIFI
SIMULANDO SER DE UN USUARIO NEGLIGENTE, QUE EN REALIDAD SON “TRAMPAS” DE ESTA CLASE
• MORALEJA: HUID DE LAS WIFIS GRATUITAS
• TUTORIAL
• https://www.c0d3xpl0it.com/2017/03/enterprise-wifi-hacking-with-hostapd-wpe.html
José Manuel
Redondo López
 V Ataques Evil Twin

• ESTE TIPO DE ATAQUE ES SIMILAR A LOS DESCRITOS ANTERIORMENTE, Y CONSTA DE LOS

SIGUIENTES PASOS
• El atacante escanea los puntos de acceso inalámbricos en un entorno determinado,
quedándose con el nombre SSID, nº de canal y dirección MAC
• Con esta información crea un punto de acceso con las mismas características
• Se fuerza a los clientes del punto de acceso legítimo a desconectarse, de manera que
luego se conectan al punto de acceso fraudulento
• Una vez conectado al punto fraudulento, el atacante tiene control sobre lo que el
cliente acceder y puede ver o bien engañarle para obtener información privilegiada
• TUTORIALES
• https://rootsh3ll.com/evil-twin-attack/
• https://elbinario.net/2019/06/20/evil-twin-attack-wpa2-enterprise/

José Manuel
Redondo López
 V Ataques a WPS

• WPS ES UN MECANISMO QUE PERMITE A CLIENTES INALÁMBRICOS CONECTARSE AL

PUNTO DE ACCESO DE UN ROUTER DE UNA FORMA SENCILLA
• SE BASA EN UN PROTOCOLO DE HANDSHAKING MUY BÁSICO BASADO EN INTERCAMBIO
DE UN PIN
• EL CLIENTE ENVÍA AL ROUTER UN CÓDIGO NUMÉRICO Y ESTE A CAMBIO LE OFRECE AL
DISPOSITIVO LOS DATOS PARA CONECTAR A LA RED INALÁMBRICA (CONTRASEÑA)
• NO OBSTANTE, AUNQUE SENCILLA, ESTA FUNCIONALIDAD ES TAN INSEGURA QUE
HABITUALMENTE SE RECOMIENDA DESACTIVARLA:
HTTPS://WWW.REDESZONE.NET/2017/03/26/LA-FUNCION-WPS-ROUTER-DEBO-DESACTIVARLA/

• Y, POR TANTO, ES ATACADA FRECUENTEMENTE

• TUTORIAL
• https://www.redeszone.net/2015/04/09/pixiescript-crack-wps-routers-pixie-dust-attack/

José Manuel
Redondo López
 V Responder https://github.com/SpiderLabs/Responder

• ES UNA HERRAMIENTA QUE ACTÚA CUANDO UN CLIENTE NO PUEDE RESOLVER UN NOMBRE VÍA DNS
• EN ESOS CASOS, EL SISTEMA PASA A INTENTAR RESOLVER EL NOMBRE USANDO LOS PROTOCOLOS
LLMNR O NBT-NS (NETBIOS) BUSCANDO EL DESTINO SOLICITADO EN SU RED LOCAL
• Y AHÍ ES DONDE ENTRA EN JUEGO RESPONDER U OTRA HERRAMIENTA QUE HAGA FUNCIONES SIMILARES:
HTTPS://ATTACK.MITRE.ORG/TECHNIQUES/T1171/
• Básicamente contestan “si, ese equipo que buscas soy yo”
• Y al hacerlo, recibirán todas las peticiones de los clientes conectados, podrán observar su tráfico
y los datos que se envían (hashes de passwords, etc.)
• ADEMÁS, PUEDE ACTUAR ANTE UNA GRAN CANTIDAD DE POSIBLES CLIENTES
• Soporta los protocolos LLMNR, NBT-NS y MDNS, e integra un servidor de autenticación falso HTTP, SMB,
MSSQL, FTP y LDAP
• Implementa mecanismos de autenticación NTLMv1, NTLMv2, LMv2, Extended Security NTLMSSP y
autenticación HTTP Básica
• TUTORIAL
• https://www.notsosecure.com/pwning-with-responder-a-pentesters-guide/
José Manuel
Redondo López
 V Otras forma de ataque Man-In-The-Middle

• PARA APRENDER MÁS SOBRE OTRAS FORMAS DE ATAQUE TIPO MAN-IN-THE-MIDDLE

SE RECOMIENDA LA LECTURA DE ESTE ARTÍCULO: HTTPS://0X00SEC.ORG/T/THE-ART-OF-MAN-
IN-THE-MIDDLE-ATTACK/15140

• OTRA FORMA DE HACER ATAQUES MAN-IN-THE-MIDDLE ES ROMPER LA CRIPTOGRAFÍA

DE COMUNICACIONES CIFRADAS PARA INTERVENIRLAS
• Existen una serie de técnicas para ello que se describen aquí:
https://research.checkpoint.com/cryptographic-attacks-a-guide-for-the-perplexed/
• TODAS ESTAS FORMAS DE INTERCEPCIÓN DE COMUNICACIONES SE PUEDEN DAR EN
DISTINTAS REDES Y SERVICIOS
• Es muy importante conocer las vulnerabilidades que tienen y como detectarlas /
defenderse contra ellas
• Para ello, se recomienda la lectura de la presentación “Quien defiende a quien nos
defiende” del famoso SecDevOps Jorge “SoyDelBierzo” dada en la C1b3rWall 2019:
https://www.dropbox.com/sh/7a9wiyvrez5w967/AABz2GhL7XW8KjONIbPGwsIYa?dl=0
José Manuel
Redondo López
SPOOFING

HACKING
THROUGH
ABILITY
ABILITY
THROUGH
HACKING

Volver al Índice
 V ARP Poisoning

• ADDRESS RESOLUTION PROTOCOL POISONING (ARP POISONING) ES UNA FORMA DE

ATAQUE EN EL QUE EL ATACANTE CAMBIAR SU MAC (MEDIA ACCESS CONTROL)
• HECHO ESTO, MODIFICA LA CACHE ARP DEL OBJETIVO PARA QUE DICHO OBJETIVO
PIENSE QUE LA MÁQUINA DEL ATACANTE ES EL DESTINO AL QUE DEBE DIRIGIR SU
COMUNICACIÓN
• ESDECIR, SE HACE PASAR POR UN DESTINO LEGÍTIMO MODIFICANDO LA TABLA DE
RUTAS QUE INDICA DONDE ESTÁ CADA MAC
• UNA VEZ INTERCEPTADA LA COMUNICACIÓN HACIÉNDOSE PASAR POR OTRO EQUIPO,
PUEDE OBSERVAR EL TRÁFICO O CONTROLARLO COMO DESEE
• ES UN ATAQUE POSIBLE EN REDES DE ÁREA LOCAL (LAN) CONMUTADAS
• LA HERRAMIENTA POR EXCELENCIA PARA ESTE TIPO DE ATAQUES ES ETTERCAP
• OTRA HERRAMIENTA POPULAR ES ARPSPOOF
José Manuel
Redondo López
 V DNS Cache Poisoning

• CONSISTE EN INTRODUCIR INFORMACIÓN FALSA EN LA CACHE DE UN SERVIDOR DNS

• CON ELLA LOGRAREMOS QUE LAS PETICIONES DNS A UNA MÁQUINA CONCRETA SEAN
DIRIGIDAS A OTRA DIFERENTE A NUESTRA ELECCIÓN
• Así nuestra máquina falsa suplantará a la real
• Si la falsa imita el contenido de la real, el ataque podrá capturar toda clase de
información de los clientes
• SE EVITA IMPLEMENTANDO SERVIDORES DNS QUE USEN EL PROTOCOLO DNSSEC
• MÁS INFORMACIÓN:
• https://www.cloudflare.com/learning/dns/dns-cache-poisoning/
• EJEMPLOS CON ARPSPOOF:
• https://www.imperva.com/learn/application-security/dns-spoofing/
• https://medium.com/@marvin.soto/qu%C3%A9-es-el-envenenamiento-arp-o-ataque-arp-
spoofing-y-c%C3%B3mo-funciona-7f1e174850f2
José Manuel
Redondo López
 V Ettercap https://ettercap.github.io/ettercap/downloads.html

• ES UNA HERRAMIENTA DE PENTESTING QUE SOPORTA LA

DISECCIÓN ACTIVA O PASIVA DE PAQUETES DE RED
• PERMITE EL ANÁLISIS DEL TRÁFICO DE LA RED Y DE LOS HOST
• COMO HEMOS DICHO, IMPLEMENTA LA POSIBILIDAD DE HACER
ARP POISONING
• DE ESTA MANERA SE PUEDE INYECTAR INFORMACIÓN EN UNA
COMUNICACIÓN MIENTRAS SE MANTIENE ACTIVA
• PERMITE HACER SNIFFING DE UNA CONEXIÓN SSH Y HTTP
SSL
• TIENE UN SISTEMA DE PLUGINS Y UNA API DE
PROGRAMACIÓN
• TUTORIALES
• http://www.reydes.com/d/?q=Ataque_de_Envenenamie
nto_ARP_utilizando_Ettercap
• https://www.redeszone.net/2016/11/12/ataque-arp-
poisoning-con-kali-linux/
• https://www.hackers-arise.com/single-
post/2017/08/28/MiTM-Attack-with-Ettercap
José Manuel
Redondo López
 V Scapy https://scapy.net/

• SCRIPT DE PYTHON QUE SIRVE PARA, ENTRE OTROS

• Crear y manipular paquetes de red
• Escanear redes
• Sniffer
• Creación de gráficas 2D / 3D / Pdf
• Passive OS fingerprinting
• Tracers gráficos
• Permite además integrarse con programas mediante su
API
• INCORPORA FUNCIONALIDADES DE OTROS PROGRAMAS CON
FINES RELACIONADOS COMO: TTLSCAN, NMAP, HPING, QUESO, P0F,
XPROBE, ARPING, ARP-SK, ARPSPOOF O FIREWALK

• TUTORIALES
• https://seguridadyredes.wordpress.com/2009/12/03/scapy-
manipulacion-avanzada-e-interactiva-de-paquetes-parte-1/
• https://seguridadyredes.wordpress.com/2009/12/10/scapy-
manipulacion-avanzada-e-interactiva-de-paquetes-parte-2/
José Manuel
Redondo López
 V Impacket https://github.com/SecureAuthCorp/impacket

• ES UN CONJUNTO DE SCRIPTS DE PYTHON QUE PERMITEN LA

MANIPULACIÓN DE PROTOCOLOS DE RED

• PERMITE EL ACCESO PROGRAMÁTICO A BAJO NIVEL DE LOS

PAQUETES QUE SE ENVÍAN POR LA RED Y DE LA
IMPLEMENTACIÓN DE LOS PROTOCOLOS EN SÍ

• PERMITE LA CONSTRUCCIÓN DE PAQUETES DESDE CERO, EL

PARSEO DE LOS MISMOS Y UN API QUE FACILITA TRABAJAR
CON DICHOS PROTOCOLOS

• POSEE ADEMÁS UNA COLECCIÓN DE SCRIPTS YA CREADOS

CON DIVERSAS UTILIDADES

• LISTA DE SCRIPTS
• https://www.secureauth.com/labs/open-source-tools/impacket
• Por ejemplo, el script secretsdump es como Mimikatz, pero más potente:
https://github.com/SecureAuthCorp/impacket/blob/master/examples/sec
retsdump.py

• TUTORIAL
• https://www.hackingarticles.in/beginners-guide-to-impacket-tool-kit-
part-1/
José Manuel
Redondo López
SNIFFING

HACKING
THROUGH
ABILITY
ABILITY
THROUGH
HACKING

Volver al Índice
 V Aircrack-ng http://www.aircrack-ng.org/

• ESUN CRACKEADOR DE CLAVES POR COMUNICACIONES

INALÁMBRICAS (ESPECIFICACIÓN 802.11) QUE PUEDE
AVERIGUAR CLAVES UNA VEZ HA CAPTURADO UNA
DETERMINADA CANTIDAD DE TRÁFICO
• IMPLEMENTAUNA SERIE DE ATAQUES CONOCIDOS QUE
PERMITEN AVERIGUAR CLAVES EN REDES INALÁMBRICAS
CON ENCRIPTACIÓN WEP Y WPA/WPA2-PSK
• Moraleja: NO LAS USÉIS ☺
• TUTORIALES DE USO
• http://aircrack-ng.org/doku.php?id=cracking_wpa
• https://maslinux.es/utiliza-aircrack-ng-para-probar-tu-
contrasena-wifi/
• https://www.aircrack-
ng.org/~~V:/doku.php?id=tutorial

José Manuel
Redondo López
 V Wireshark http://www.wireshark.org/

• EL ANALIZADORDE PROTOCOLOS DE RED (AKA SNIFFER)

MÁS FAMOSO Y UN REFERENTE
• PERMITE CAPTURAR TRÁFICO Y NAVEGAR A TRAVÉS DEL
MISMO INTERACTIVAMENTE, VIENDO TODOS SUS
DETALLES E INFORMACIÓN QUE CONTIENE
• CARACTERÍSTICAS:
• Es multiplataforma
• Permite analizar cientos de protocolos,
soportando más con cada versión
• Permite captura en vivo y análisis de lo
capturado offline
• Permite análisis VoIP
• TUTORIAL DE MANEJO
• https://www.lifewire.com/wireshark-tutorial-4143298
José Manuel
Redondo López
 V Kismet http://www.kismetwireless.net/

• ES UN DETECTOR DE REDES, SNIFFER E IDS (INTRUSION

DETECTION SYSTEM) DE REDES 802.11
• ES UN DETECTOR PASIVO (MUCHO MÁS DIFÍCIL DE
DETECTAR)
• PUEDE DETECTAR REDES CON NOMBRE Y OCULTAS
• TUTORIAL DE USO
• https://null-byte.wonderhowto.com/how-to/use-
kismet-watch-wi-fi-user-activity-through-walls-
0182214/

José Manuel
Redondo López
 V WifiBroot https://github.com/hash3liZer/WiFiBroot

• ES UNA HERRAMIENTA DE INTERCEPCIÓN DE REDES

WIFI (WPA / WPA2)
• DEPENDE SCAPY (TAMBIÉN VISTA EN ESTA
PRESENTACIÓN)
• TIENE VARIOS MODOS DE TRABAJO INDEPENDIENTES
• Dos de ellos son métodos de craqueo en línea
• Otros se ejecutan en modo fuera de línea: se usa
para romper hashes guardados mediante los dos
primeros modos
• TUTORIALES:
• https://www.kitploit.com/2019/08/wifibroot-wifi-
pentest-cracking-tool.html
• https://www.securitynewspaper.com/2019/08/12
/crack-any-wifi-password-with-wifibroot/
• https://noticiasseguridad.com/tutoriales/como-
descifrar-la-contrasena-de-cualquier-conexion-
José Manuel
wifi-con-wifibroot/
Redondo López
 V Airgeddon https://github.com/v1s1t0r1sh3r3/airgeddon

• ES UN SCRIPT DE BASH QUE PERMITE HACER AUDITORIAS DE

REDES INALÁMBRICAS
• ENTRE OTRAS CAPACIDADES PERMITE
• Ataques DoS a redes inalámbricas usando distintos
métodos
• Soporte completo de redes de 2.4Ghz y 5Ghz
• Captura de paquetes en redes protegidas por
WPA/WPA2
• Descifrado de claves offline en tráfico WPA/WPA2
capturado, basado en fuerza bruta o reglas
• Usa herramientas ya vistas para estos fines (hashcat…)
• Ataques Evil Twin (Rogue AP)
• Sniffing
• MAC spoofing
• Ataques a WPS, incluyendo fuerza bruta
• MÁS INFORMACIÓN
• https://www.kitploit.com/2019/08/airgeddon-v921-multi-use-bash-
script.html
José Manuel
Redondo López
REPORTING

HACKING
THROUGH
ABILITY
ABILITY
THROUGH
HACKING

Volver al Índice
 V ¿Y cual es el fin último de todo esto? Reporting

• LA LABOR DE UN PENTESTER NO ES APUNTARSE UNA MEDALLA O ENTRAR EN UN HALL

OF FAME
• SELE CONTRATA CON EL OBJETIVO DE HACER UN INFORME DE LO QUE HA
AVERIGUADO, POR QUÉ HA PASADO Y CÓMO SE PUEDE SOLUCIONAR
• DICHOINFORME CONTIENE UN RESUMEN DE SU ESTUDIO DEL SISTEMA, Y SERÁ MÁS
COMPLETO A MEDIDA QUE LA EXPERIENCIA Y CONOCIMIENTOS DE DICHO PENTESTER
AUMENTEN
• ELCONTRATO NO SOLO SE HACE PARA INVESTIGAR INCIDENTES DE SEGURIDAD O
POSIBLES VULNERABILIDADES, SINO TAMBIÉN PARA APORTAR SOLUCIONES
• POR TANTO, AL FINAL DEL ESTUDIO HAY QUE DOCUMENTAR TODO EL PROCESO
• VEAMOS A CONTINUACIÓN LAS POTENCIALES SECCIONES DE UN INFORME DE ESTA
CLASE
José Manuel
Redondo López
 V ¿Y cual es el fin último de todo esto? Reporting

• UN INFORME TÍPICO LLEVARÍA LAS SIGUIENTES SECCIONES

• Resumen ejecutivo: Qué ha pasado. Claro y conciso, sin terminología técnica
• Timeline del incidente
• Datos del entorno (hardware / software)
• Gestión del incidente: Qué acciones se han tomado para responder al incidente
• Análisis forense: Si se han realizado análisis forenses, resultados de los mismos
• Análisis de malware: Si se han realizado análisis de malware, resultados de los mismos
• Impacto del incidente: Determinamos (o estimamos) el impacto del incidente (datos perdidos, equipos
afectados, daños causados, etc.
• Atribución: Indicamos (en la medida de lo posible, ojo) quién ha podido ser el causante del incidente
• Recomendaciones de seguridad: Qué medidas debemos tomar para que el incidente no se repita
• Lecciones aprendidas: Qué se ha hecho bien, qué se ha hecho mal y qué acciones se deben tomar para
hacerlo mejor en el próximo incidente
• MÁS INFORMACIÓN
• https://www.securityartwork.es/2019/03/18/como-escribir-informes-de-incidentes-de-seguridad/
• https://www.incibe.es/extfrontinteco/img/File/intecocert/ManualesGuias/int_cnpic_identificacion_reporte_in
cidentes.pdf
José Manuel
Redondo López
 ANEXOS
Otro tipo de objetivos / para saber más…

V
HACKING
THROUGH
ABILITY
ABILITY
THROUGH
HACKING

Volver al Índice
 V Índice de Contenido

• COMO MONTARSE UN LABORATORIO DE PRUEBAS

• OTRAS VÍAS DE ATAQUE
• SITIOS DONDE ENTRENAR
• LIBROS / TUTORIALES PARA SABER MÁS

José Manuel
Redondo López
MONTARSE UN LABORATORIO
PROPIO DE PRUEBAS

HACKING
THROUGH
ABILITY
ABILITY
THROUGH
HACKING

Anexos
 V Montaje de un laboratorio de pruebas

• MONTARSE UN LABORATORIO DE PRUEBAS PROPIO ES UN MEDIO EXCELENTE DE PONER EN PRÁCTICA LOS

CONOCIMIENTOS ADQUIRIDOS Y APRENDER EN UN ENTORNO CONTROLADO Y SIN DAÑAR NADA NI A
NADIE
• PUEDE ESTAR COMPUESTO DE MÁQUINAS HECHAS POR UNO MISMO O PREFABRICADAS CON
VULNERABILIDADES INTRODUCIDAS A PROPÓSITO
• EN TODO LABORATORIO HABRÁ:
• Atacante: Normalmente un Kali Linux actualizado con todas las herramientas necesarias
• Victima(s): Una o varias máquinas a vulnerar que cumplan con determinados roles, aisladas o
como parte de una infraestructura simulada (aplicación en tres capas, etc.)
• Conexión(es) de red: La forma en la que el atacante puede contactar con las victimas, con
sistemas quizá distribuidos en varias redes

José Manuel
Redondo López
 V Redes para sistemas de un laboratorio de pentest
Red Interna
• PARA CONECTAR MÁQUINAS ENTRE ELLAS PODEMOS
OPTAR POR ESTE TIPO DE REDES
• Internas: Todas estarán conectadas por una red
que solo existirá en el propio equipo
• No serán visibles desde fuera, y por tanto solo
nosotros podemos atacarlas
• IPs fijas o por DHCP (depende de lo que usemos
para crear las máquinas) Red Bridge
• Bridge: Esto hace que las máquinas obtengan
una IP por los mismo medios que el host

172.0.17.1
172.0.17.2

172.0.17.4
172.0.17.3
• Habitualmente se tiene un router que sirve
direcciones DHCP internas y sale al exterior por
una IP dada por el ISP
• Esto hará que obtengan una IP por DHCP y
parezcan una mas en la red
• Permite pues tener diferentes máquinas en
distintos host de la red
• Pero hace visibles máquinas vulnerables a
José Manuel
propósito (lo que puede ser peligroso)
Redondo López
 V Contenedores

• SIMULAR LABORATORIOS PUEDE HACERSE CON SOFTWARE DE VIRTUALIZACIÓN

ESTÁNDAR: VIRTUALBOX, VMWARE PLAYER, HYPER-V…
• ¡PERO TAMBIÉN PUEDE HACERSE CON CONTENEDORES!
• Ofrecen una experiencia de usuario muy similar a una MV, pero a un coste muy
inferior
• Permite por tanto desplegar laboratorios más grandes con un coste mucho más
pequeño
• El software de gestión de contenedores más popular es Docker
• Aprender a manejarlo no es difícil, pero es una inversión bastante grande si
pretendemos solo usarlo para pentesting
• Por suerte, aquí podéis encontrar las bases de uso necesarias para usarlo para estos
fines sin emplear demasiado tiempo:
https://www.researchgate.net/publication/335023411_Admin-
zines_Understand_Infrastructure_Administration_concepts_the_easy_way
José Manuel
Redondo López
 V Enlaces relacionados

• CREANDO UN LABORATORIO DE PENTESTING CON GNS3 Y DOCKER:

HTTPS://WWW.DRAGONJAR.ORG/CREANDO-UN-LABORATORIO-DE-PENTESTING-GNS3.XHTML
• HOW TO BUILD YOUR OWN PENTEST LAB: TIPS FOR BEGINNERS:
HTTPS://HACKWARENEWS.COM/HOW-TO-BUILD-YOUR-OWN-PENTEST-LAB-TIPS-FOR-BEGINNERS/
• BUILDING A HOME LAB FOR OFFENSIVE SECURITY & SECURITY RESEARCH:
HTTPS://SYSTEMOVERLORD.COM/2017/10/24/BUILDING-A-HOME-LAB-FOR-OFFENSIVE-SECURITY-
BASICS.HTML
• HOW TO MAKE YOUR OWN PENETRATION TESTING LAB:
HTTPS://RESOURCES.INFOSECINSTITUTE.COM/HOW-TO-MAKE-YOUR-OWN-PENETRATION-TESTING-LAB/
• DOCKER FOR HACKERS? A PEN TESTER’S GUIDE: HTTPS://WWW.PENTESTPARTNERS.COM/SECURITY-
BLOG/DOCKER-FOR-HACKERS-A-PEN-TESTERS-GUIDE/
• USING DOCKER TO CREATE MULTI-CONTAINER ENVIRONMENTS FOR RESEARCH AND SHARING
LATERAL MOVEMENT: HTTPS://WWW.SANS.ORG/READING-ROOM/WHITEPAPERS/TESTING/PAPER/37855

José Manuel
Redondo López
 V Enlaces relacionados: Sobre usar Docker

• EN ESTOS ENLACES PODEMOS ENCONTRAR CONTENEDORES DOCKER DE SISTEMAS

INTENCIONADAMENTE VULNERABLES O DE ATAQUE
• https://github.com/enaqx/awesome-pentest#docker-containers-of-intentionally-
vulnerable-systems
• https://github.com/enaqx/awesome-pentest#docker-containers-of-penetration-
testing-distributions-and-tools
• ADEMÁS, SI QUEREMOS HACER UNA LABORATORIO YA MÁS EN SERIO, LA HERRAMIENTA
DOCKER SECURITY PLAYGROUND FACILITA MUCHO SU DISEÑO Y COMPARTIRLO
POSTERIORMENTE
• https://www.kitploit.com/2019/08/dockersecurityplayground-microservices.html

José Manuel
Redondo López
OTRAS VÍAS DE ATAQUE

HACKING
THROUGH
ABILITY
ABILITY
THROUGH
HACKING

Anexos
 V ¿Qué pasa con la seguridad en la IoT?

• ESTO ES UN MUNDO APARTE, PERO CADA VEZ MÁS PRESENTE DEBIDO AL GRAN Nº DE DISPOSITIVOS CONECTADOS HOY EN
DÍA
• Shodan es un buen medio para hacerse una idea de cuantos
• TÍPICAMENTE PODEMOS TRATAR ESTOS DISPOSITIVOS COMO SERVIDORES LINUX CON UN NIVEL DE SEGURIDAD EN MEDIA
MÁS BAJO: LOS FABRICANTES ACTUALIZAN MENOS SUS PRODUCTOS
• Por tanto, podremos aplicarles las mismas herramientas (frecuentemente tienen GUI web)
• No obstante, algunos dispositivos IoT usan protocolos diferentes, y requieren herramientas especializadas como Cotopaxi
• https://github.com/Samsung/cotopaxi
• https://www.kitploit.com/2019/10/cotopaxi-set-of-tools-for-security.html?m=1

• LOS DISPOSITIVOS IOT TIENEN UNA METODOLOGÍA PROPIA DE PENTESTING CON ESTOS PUNTOS
• Red
• Web (Servicios Front & Backend)
• Aplicaciones móviles (Android & iOS)
• Conectividad Wireless
• Pentesting del Firmware (Hardware o SO del dispositivo)
• Seguridad a nivel de hardware
• Seguridad en el almacenamiento
• DOCUMENTACIÓN: HTTPS://GITHUB.COM/V33RU/IOTSECURITY101
José Manuel
Redondo López
 V Android

• ANALIZAR UNA PLATAFORMA MÓVIL ANDROID ES PLANTEARSE LAS ACTIVIDADES VISTAS DESDE UN
NUEVO PUNTO DE VISTA
• AUNQUE ANDROID ESTÁ BASADO EN LINUX, EL SISTEMA OPERATIVO HA SIDO MODIFICADO LO
SUFICIENTE COMO PARA QUE HAYA DIFERENCIAS MUY SUSTANCIALES
• Y, DADO QUE NO TENEMOS PERMISOS DE ADMINISTRADOR NORMALMENTE, CIERTAS LABORES DE
PENTESTING PUEDEN COMPLICARSE
• NO OBSTANTE EXISTEN FRAMEWORKS Y METODOLOGÍAS ADAPTADAS A ESTA PLATAFORMA
• OWASP Mobile Security Testing Guide:
https://www.owasp.org/index.php/OWASP_Mobile_Security_Testing_Guide
• ANDRAX Mobile Pentest: https://github.com/The-Cracker-Technology/ANDRAX-Mobile-
Pentest
• Mobile Security Framework (MobSF): Es una aplicación móvil (Android/iOS/Windows) que
automatiza los procesos de pentesting y análisis estático y dinámico de malware:
https://github.com/MobSF/Mobile-Security-Framework-MobSF

José Manuel
Redondo López
 V Códigos QR

• LOSCÓDIGOS QR SE USAN HABITUALMENTE JUNTO

CON CARTELERÍA DE DIFERENTE TIPO
• SUPROPÓSITO PRINCIPAL ES ACCEDER A UN SITIO WEB
RELACIONADO CON LO QUE SE ANUNCIA EN EL CARTEL
CON UN SIMPLE ESCANEO QUE HOY DÍA HACE
CUALQUIER CÁMARA DE MÓVILES
• PERO ESTO HACE QUE EL MÓVIL ACCEDA A LA
DIRECCIÓN INDICADA
• ¿Qué pasa si la dirección es maliciosa y se descarga un
malware al acceder?
• ¿Y si alguien ha reemplazado el cartel o el código que
contiene?
• ¿Y si alguien ha atacado la web de destino?
• SET puede generar QRCodes de esta clase
• Moraleja: no se deberían escanear código QR
• MÁS INFORMACIÓN
• https://resources.infosecinstitute.com/security-attacks-via-
José Manuel
malicious-qr-codes/
Redondo López
 V VoIP

• LA TELEFONÍA IP ES HOY EN DÍA MUY POPULAR EN ENTORNOS

EMPRESARIALES
• BÁSICAMENTE SON TELÉFONOS CONECTADOS A LA RED Y QUE SE
COMUNICAN CON PROTOCOLOS PROPIOS PARA LA TRANSMISIÓN DE LA
VOZ SOBRE UNA RED IP
• PODEMOS ENCHUFAR UN DISPOSITIVO A UNA DE ESAS REDES QUE
ESCUCHE ESAS COMUNICACIONES Y HAGA PENTESTING A LOS TELÉFONOS
CONECTADOS
• PROBABLEMENTE LLEVEN UN SO QUE SEA UNA VARIANTE DE LINUX Y CUYA
POLÍTICA DE ACTUALIZACIONES SEA POBRE
• PARA ELLO NECESITAMOS HERRAMIENTAS ESPECÍFICAS PARA ESTE TIPO DE
REDES: HTTPS://GITHUB.COM/PEPELUX/SIPPTS
José Manuel
Redondo López
 V Hacking en Industrial Control Systems (ICSs)

• LOS SISTEMAS DE CONTROL INDUSTRIALES SON UN CONJUNTO DE DISPOSITIVOS HACKEABLES PORQUE

CADA VEZ MÁS FRECUENTEMENTE ESTÁN CONECTADOS A REDES ACCESIBLES POR PARTE DE USUARIOS NO
AUTORIZADOS
• SINEMBARGO, ES UNA RAMA SEPARADA DEL TIPO DE SISTEMAS QUE VEMOS EN ESTA PRESENTACIÓN Y
REQUIEREN UN ESTUDIO ESPECIFICO DE LOS MISMOS
• IMPLEMENTAN EL PROTOCOLO SCADA (SUPERVISORY CONTROL AND DATA ACQUISITION) PARA
PERMITIR EL CONTROL Y SUPERVISIÓN DE DISPOSITIVOS INDUSTRIALES A DISTANCIA
• LA CONFIGURACIÓN INCORRECTA DE ESTOS DISPOSITIVOS O LAS VULNERABILIDADES ENCONTRADAS EN
LOS MISMOS PERMITE POR TANTO SU TOMA DE CONTROL Y LA DE LOS PROCESOS QUE REALIZAN
• EL DAÑO PUEDE SER ENTONCES ENORME
• LAS PRESENTACIONES SIGUIENTES SON UNA BUENA INTRODUCCIÓN AL TEMA:
HTTPS://DRIVE.GOOGLE.COM/DRIVE/MOBILE/FOLDERS/1OEH3BRBSTWRSP5GIQJLJJWALXGJL8NVM

José Manuel
Redondo López
 V Pentesting en la nube

• HOY DÍA GRAN CANTIDAD DE INFRAESTRUCTURAS SE ESTÁN MOVIENDO A LA NUBE PARA

AHORRAR LOS COSTES DE MANTENER UNA INFRAESTRUCTURA DE MÁQUINAS / SERVICIOS FÍSICA
• ESO QUIERE DECIR QUE CADA VEZ MÁS VECES TENDREMOS QUE PROBAR SISTEMAS
HOSPEDADOS EN LAS REDES Y CENTROS DE DATOS DE PROVEEDORES DE NUBE: AMAZON,
MICROSOFT, GOOGLE…
• SE CONTRATAN BÁSICAMENTE TRES TIPOS DE SERVICIOS:
• IaaS (Infrastructure as a Service): Se contratan máquinas físicas que luego el cliente
configura a su gusto
• PaaS (Platform as a Service): Sistemas donde se pueden desarrollar, ejecutar y administrar
aplicaciones sin preocuparse de la infraestructura que haya por debajo
• SaaS (Software as a Service): Se contrata directamente una aplicación, a la que se accede
mediante un cliente web o propio del proveedor
• SEGÚN EL TIPO DE SERVICIO CONTRATADO, LAS POSIBLES VULNERABILIDADES SE ENFOCARÁN
MÁS A DEFECTOS DEL CÓDIGO DESPLEGADO QUE A EN LA INFRAESTRUCTURA EN SÍ
José Manuel
Redondo López
 V Pentesting en la nube

• TENER UN SISTEMA EN LA NUBE HACE QUE LA FORMA DE HACERLE PENTEST CAMBIE

• ¿QUIERE DECIR ESO QUE TODAS LAS HERRAMIENTAS / TÉCNICAS VISTAS NO
FUNCIONAN? NO, EN ABSOLUTO
• PERO CONTRATAR UN PROVEEDOR DE NUBE INTRODUCE NUEVAS VARIABLES AL
PROBLEMA
• Puede tener desplegados sistemas de seguridad solo por el hecho de estar
hospedados con ellos
• Puede ofrecer (previo pago) más sistemas de seguridad adicionales
• Puede exigir unos límites a la hora de hacerles pruebas de seguridad a nuestros
propios sistemas hospedados
• El proveedor no quiere que nuestras actividades para comprobar la seguridad de nuestro
sistema afecten a sus redes y máquinas: estas ofrecen servicios a muchos clientes, no solo
nosotros
• El proveedor tampoco quiere estar inundado de alertas por actividades planificadas y
autorizadas que no sean un peligro real
• Si no lo cumplimos, pueden sancionarnos o negarnos el hosting (¡perdemos el servicio!)
José Manuel
Redondo López
 V Sistemas de seguridad en la nube

• EJEMPLOSDE SISTEMAS DE SEGURIDAD GRATUITOS O DE PAGO QUE PODEMOS ENCONTRAR EN UN

PROVEEDOR DE NUBE SON:
• Firewalls: Controlando el acceso a nuestras máquinas desde lugares o usando protocolos
autorizados
• Intrusion Detection Systems (IDS) o Intrusion Prevention Systems (IPS): Sistemas que
examinan el tráfico de red y determinan cuando se está produciendo alguna clase de ataque,
alertando o bloqueando el mismo
• Productos como Snort, OSSIM…
• Web Application Firewalls (WAFs): Sistemas automatizados que detectan ataques típicos a
una aplicación web y los bloquean, alertando de los mismos
• mod_security es uno de los más populares
• Sistemas anti DDoS (como Cloudflare): Detectando y bloqueando este tipo de ataques
• Sistemas heurísticos / de reputación / bloqueo por listas: Bloqueando conexiones desde
lugares no fiables, con actividades sospechosas o bien identificados como potencialmente
peligrosos (redes ToR, Google Safe Browsing…)
• Actualización de SO / software de terceros / frameworks: Según el servicio contratado, el
proveedor puede encargarse automáticamente de desplegar actualizaciones de seguridad para
eliminar vulnerabilidades nuevas que aparezcan
José Manuel
Redondo López
 V Restricciones al pentest en nube

• CON TODOS ESTOS SISTEMAS DESPLEGADOS, ES LÓGICO PENSAR QUE UN PROVEEDOR NO VA A QUERER
QUE SALTEN LAS ALERTAS POR ESTAR HACIENDO UN PENTEST LEGITIMO A NUESTRO SISTEMA
• PORTANTO, SI NUESTROS SISTEMAS ESTÁN EN NUBE DEBEMOS BUSCAR Y LEER CON CUIDADO LA
DOCUMENTACIÓN AL RESPECTO QUE TIENE EL PROVEEDOR PARA TENER CLARO:
• Si hay que avisar previamente de que se va a hacer un pentest a nuestros sistemas y/o la franja
horaria o fechas en los que se va a hacer
• Los límites acerca de lo que se puede y no se puede hacer (por ejemplo, HackTheBox está en
nube y prohíbe los DoS)
• Si hay que especificar las máquinas/redes que se van a probar con antelación
• Otras consideraciones que el proveedor estime oportunas
• ADEMÁS DE LAS MENCIONADAS, TAMBIÉN HAY UN ARSENAL DE HERRAMIENTAS DE PENTESTING
DEFENSIVAS Y OFENSIVAS PENSADAS PARA ESCENARIOS DE NUBE:
HTTPS://GITHUB.COM/TONIBLYX/MY-ARSENAL-OF-AWS-SECURITY-TOOLS

José Manuel
Redondo López
 V Enlaces relacionados

• PEN TESTING CLOUD-BASED APPS: A STEP-BY-STEP GUIDE: HTTPS://TECHBEACON.COM/ENTERPRISE-

IT/PEN-TESTING-CLOUD-BASED-APPS-STEP-STEP-GUIDE
• PRUEBAS DE INTRUSIÓN Y VULNERABILIDAD: HTTPS://AWS.AMAZON.COM/ES/SECURITY/PENETRATION-
TESTING/
• ALL IN ONE WIKI FOR CLOUD PENETRATION TESTING: HTTPS://WWW.PEERLYST.COM/POSTS/ALL-IN-
ONE-WIKI-FOR-CLOUD-PENETRATION-TESTING-NITESH-MALVIYA
• PENETRATION TESTING IN THE AWS CLOUD: WHAT YOU NEED TO KNOW:
HTTPS://RHINOSECURITYLABS.COM/PENETRATION-TESTING/PENETRATION-TESTING-AWS-CLOUD-NEED-
KNOW/
• PENTESTING AZURE — THOUGHTS ON SECURITY IN CLOUD COMPUTING:
HTTPS://MEDIUM.COM/MICROSOFTAZURE/PENTESTING-AZURE-THOUGHTS-BEFORE-READING-MATTS-
BOOK-4609D14FB61D
• CLOUD COMPUTING PENETRATION TESTING CHECKLIST & IMPORTANT CONSIDERATIONS:
HTTPS://GBHACKERS.COM/CLOUD-COMPUTING-PENETRATION-TESTING-CHECKLIST-IMPORTANT-
CONSIDERATIONS/
José Manuel
Redondo López
 V Técnicas forenses

• TANTO EN LA VIDA REAL COMO EN CTFS ES POSIBLE QUE NECESITEMOS HACER UN

ANÁLISIS DEL VOLCADO DE MEMORIA DE UN SISTEMA / PROCESO
• ESTE TRABAJO REQUIERE
PACIENCIA Y LAS HERRAMIENTAS ADECUADAS PARA LOCALIZAR
EJECUTABLES SOSPECHOSOS EN EJECUCIÓN U OTROS DATOS DE INTERÉS
• SE HACEN CON VOLCADOS DE MEMORIA DEL SISTEMA OBJETIVO QUE CONTIENEN UN
“SNAPSHOT” DE LO QUE ESTABA OCURRIENDO EN UN MOMENTO DADO
• UNO DE LOS FORMATOS EN LOS QUE ESTOS VOLCADOS SE CREA SON LOS FICHEROS
.MEM
• EL SIGUIENTE ENLACE EXPLICA LAS BASES PARA SU ANÁLISIS Y EXTRACCIÓN DE
INFORMACIÓN: HTTPS://MEDIUM.COM/@ZEMELUSA/FIRST-STEPS-TO-VOLATILE-
MEMORY-ANALYSIS-DCBD4D2D56A1

José Manuel
Redondo López
¡QUIERO SITIOS DONDE
ENTRENAR!

HACKING
THROUGH
ABILITY
ABILITY
THROUGH
HACKING

Anexos
 V Mutillidae https://github.com/webpwnized/mutillidae

• EXISTEN UNA GRAN CANTIDAD DE SITIOS WEB DONDE

UNO PUEDE PRACTICAR (LEGALMENTE) SUS HABILIDADES
Y APRENDER
• https://www.checkmarx.com/2015/04/16/15-
vulnerable-sites-to-legally-practice-your-
hacking-skills
• https://www.checkmarx.com/2015/11/06/13-
more-hacking-sites-to-legally-practice-your-
infosec-skills
• VEREMOS UNA CLASIFICACIÓN DE LOS MISMOS EN LAS
SIGUIENTES TRANSPARENCIAS
• UNA DE LAS MÁS FAMOSAS, COMPLETAS Y UTILIZADAS
ES MUTILLIDAE, CON MÁS DE 40 VULNERABILIDADES Y
RETOS Y HERRAMIENTAS DE EXPLOTACIÓN YA
INSTALADAS PARA FACILITAR EL TRABAJO
José Manuel
Redondo López
 V Wargames https://overthewire.org/wargames/

• SON “JUEGOS DE GUERRA” OFRECIDOS POR LA

COMUNIDAD OVERTHEWIRE
• AYUDAN A PRACTICAR Y APRENDER
CONCEPTOS DE SEGURIDAD CON VIDEOJUEGOS
• CADA VIDEOJUEGO ES INDEPENDIENTE DEL
RESTO Y TIENE UNAS INSTRUCCIONES
DISTINTAS QUE DEBEN CONSULTARSE
ENTRANDO EN CADA UNO DE ELLOS
• OTRAVIDEOJUEGO QUE SE PUEDE USAR PARA
APRENDER TÉCNICAS DE SEGURIDAD ES HACK
.NET
• https://blog.segu-info.com.ar/2019/07/hacknet-
juego-para-aprender-de-hacking.html
José Manuel
Redondo López
 V Herramientas de aprendizaje vía web o juegos
• DEDICAN CADA SECCIÓN AL ESTUDIO DE UN TIPO DE VULNERABILIDAD CONCRETA
• Sección de XSS, sección de SQL Injection…
• ES UNA COLECCIÓN DE SECCIONES QUE NORMALMENTE NO ESTÁN RELACIONADAS Y FUNCIONAN
INDEPENDIENTEMENTE
• Sus propios datos, usuarios, diseño de funcionalidades
• NO TIENEN CARÁCTER REALISTA Y PERMITEN AL USUARIO FAMILIARIZARSE CON LOS DISTINTOS TIPOS DE
VULNERABILIDADES
• EJEMPLOS
• Damn Vulnerable Web App (DVWA): http://www.dvwa.co.uk
• bWapp: http://www.itsecgames.com
• OWASP Bricks: https://www.owasp.org/index.php/OWASP_Bricks
• WebGoat: https://www.owasp.org/index.php/Category:OWASP_WebGoat_Project
• OWASP Hackademic:
https://www.owasp.org/index.php/OWASP_Hackademic_Challenges_Project
• Game of Hacks: http://www.gameofhacks.com/

José Manuel
• Reversing Hero (retos sólo de reversing): https://www.reversinghero.com/
Redondo López
 V Sitios web simulados

• ESTOS SITIOS INTENTA SIMULAR UN SITIO WEB COMPLETO CON UN PROPÓSITO

DEFINIDO A LO LARGO DE TODAS SUS SUBSECCIONES
• NO OBSTANTE, CARECEN DE CIERTAS CARACTERÍSTICAS QUE NO LAS HACEN REALISTAS
• Baja complejidad
• No persistencia de los datos entre ejecuciones (cada ejecución regenera los datos y no se
guardan entre sesiones)
• Parte de las funcionalidades sin implementar
• Explicaciones embebidas de los errores que modelan
• EJEMPLOS
• BodgeIt Store (tienda): https://github.com/psiinon/bodgeit
• Wacko Picko (galería de imágenes): https://github.com/adamdoupe/WackoPicko
• Hacme Casino (casino online): https://www.mcafee.com/es/downloads/free-
tools/hacme-casino.aspx
• Peruggia (galería de imágenes): https://sourceforge.net/projects/peruggia
José Manuel
Redondo López
 V Sitios web realistas

• WEBS DE COMPLEJIDAD SIGNIFICATIVA, QUE EMULAN A WEBS REALES EN TODOS SUS APARTADOS, IMPLEMENTANDO
UNA FUNCIONALIDAD COMPLETE Y PERSISTENTE ENTRE EJECUCIONES

• TRABAJAR CON ELLAS ES MUY SIMILAR O IDÉNTICO A TRABAJAR CON WEBS EN PRODUCCIÓN
• EL POSIBLE MATERIAL EDUCATIVO DE AYUDA ESTÁ EN UN DOCUMENTO O SITIO SEPARADO, SI EXISTE
• EJEMPLOS
• Hackazon (tienda): https://github.com/rapid7/hackazon
• Hacme Bank (banca online): https://www.mcafee.com/es/downloads/free-tools/hacme-bank.aspx
• Hacme Books (tienda de libros) https://www.mcafee.com/es/downloads/free-tools/hacmebooks.aspx
• El problema de Hacme Bank y Books es que usan tecnologías muy viejas, no usadas en desarrollos actuales
• Filesync (web de almacenamiento de archivos) y EraLiteraria (tienda de libros)
• https://www.researchgate.net/publication/327659653_Filesync_and_Era_Literaria_Realistic_OpenSourceWebs_To_Deve
lopWeb_Security_Skills
• https://github.com/jose-r-lopez/SecureWebs

• HAY REPOSITORIOS QUE LAS ENUMERAN, COMO EL OWASP BROKEN WEB APPLICATIONS PROJECT:
HTTPS://WWW.OWASP.ORG/INDEX.PHP/OWASP_BROKEN_WEB_APPLICATIONS_PROJECT

José Manuel
Redondo López
 V ¡Pero yo quiero máquinas vulnerables, no webs!

• NO HAY QUE ENTRAR A HACK THE BOX PARA ENCONTRAR MÁQUINAS VULNERABLES, HAY MÁQUINAS VIRTUALES
CREADAS CON ESTE FIN DISPONIBLES

• CON ELLAS PODEMOS PRACTICAR DESDE NUESTRA CASA LAS MISMAS TÉCNICAS QUE USARÍAMOS EN HACK THE BOX
Y ENTRENAR DE FORMA COMPLETAMENTE LEGAL

• NO TIENE LA DINAMICIDAD DE HACK THE BOX (UNA MÁQUINA NUEVA CADA SEMANA) PERO TIENE EL MISMO FIN
• UNA DE LAS MÁS CONOCIDAS ES METASPLOITABLE3: HTTPS://BLOG.RAPID7.COM/2016/11/15/TEST-YOUR-MIGHT-
WITH-THE-SHINY-NEW-METASPLOITABLE3/

• VULNHUB ES UN REPOSITORIO MUY GRANDE DE MÁQUINAS VULNERABLES PARA DESCARGAR Y PROBAR:

HTTPS://WWW.VULNHUB.COM/
• ¡Lo más parecido a Hack the Box que podemos encontrar para trabajar en local!
• Este tutorial enseña a crear un laboratorio de pruebas con una máquina de VulnHub:
https://medium.com/@gavinloughridge/a-beginners-guide-to-vulnhub-part-1-52b06466635d
• Son máquinas vulnerables por diseño, ¡nunca las expongas al exterior!

• FINALMENTE, EN EL SIGUIENTE ENLACE HAY MÁS FUENTES DE MÁQUINAS DE PRUEBA:

HTTPS://PDRCYBERSECURITY.COM/10-SITES-FIND-VULNERABLE-VMS-TESTING/

José Manuel
Redondo López
 ¡QUIERO
LIBROS/TUTORIALES DONDE
SABER MÁS!
HACKING
THROUGH
ABILITY
ABILITY
THROUGH
HACKING

Anexos
 V Máquina de Hack the Box Netmon

• NETMON FUE LA MÁQUINA QUE SE HA USADO EN LA

PRESENTACIÓN Y YA HA SIDO RETIRADA EN EL CICLO DE
MÁQUINAS GRATUITAS DE HACK THE BOX
• LA GENTE DE FWHIBBIT (WEB ALTÍSIMAMENTE
RECOMENDABLE PARA TEMAS DE SEGURIDAD) EXPLICA
TÉCNICAS QUE SE PODRÍAN HABER USADO CONTRA
ELLA. HTTPS://WWW.FWHIBBIT.ES/HTB-WRITEUP-
NETMON
• AUNQUE LA MÁQUINA YA HA SIDO RETIRADA, ES UNA
LECTURA MUY INTERESANTE PARA APRENDER MÁS DE
COMO ACTUAR EN UN PENTESTING
• NADIE NOS DICE QUE EN UNA FUTURA MÁQUINA NO SE
PUEDAN APLICAR TÉCNICAS PARECIDAS ☺

José Manuel
Redondo López
 V Writeups / Canales de Youtube

• SI TE GUSTA LEER HISTORIAS DE COMO SE HAN VULNERADO CIERTOS SISTEMAS O ES

UNA FORMA DE APRENDER QUE TE RESULTA ATRACTIVA, ESTOS ENLACES PUEDEN
AYUDARTE
• Como se han hecho CTFs (Capture the Flag): https://ctftime.org/writeups
• Como se han hecho pentests: https://pentestwriteups.wordpress.com/
• Como se han identificado bugs por los cuales se ha recibido una recompensa (bug
bountys): https://pentester.land/list-of-bug-bounty-writeups.html
• LOS SIGUIENTES CANALES DE YOUTUBE SON TAMBIÉN INTERESANTES
• LiveOverflow (Hacking general): https://www.youtube.com/channel/UClcE-
kVhqyiHCcjYwcpfj9w
• Ippsec (Descripción de como se vulneran máquinas de HackTheBox ya expiradas):
https://www.youtube.com/channel/UCa6eh7gCkpPo5XXUDfygQQA

José Manuel
Redondo López
 V MITRE Caldera https://github.com/mitre/caldera

• ESTA APLICACIÓN ES UN SISTEMA DE EMULACIÓN DE

ADVERSARIOS: SIMULA UN ATAQUE Y PERMITE EJECUTAR
ACCIONES SOBRE UNA VÍCTIMA
• LO HACE GRACIAS A DESPLEGAR UNA RAT (REMOTE
ADMINISTRATION TOOL) SOBRE LOS SISTEMAS
OBJETIVO
• TIENE UN INTERFAZ WEB QUE PERMITE PASAR
COMANDOS A LA RAT PARA HACER DISTINTAS
OPERACIONES DE ATAQUE
• LA IDEA ES USARLO PARA PRACTICAR O PARA
COMPROBAR SI LOS SISTEMAS DE MONITORIZACIÓN DE
UNA INFRAESTRUCTURA SON CAPACES DE DETECTAR /
AVISAR / LAS ACTIVIDADES QUE ESTAMOS HACIENDO
• MÁS INFORMACIÓN
• http://kinomakino.blogspot.com/2019/09/caldera-simulacion-
de-adversarios-golpe.html
José Manuel
Redondo López
 V Retos CTF / CTF resueltos

• LA MEJOR FORMA DE SABER Y APRENDER QUE ES UN RETO CTF ES VER EJEMPLOS DE ALGUNOS DE ELLOS,
O BIEN PRACTICAR EN SITIOS ADECUADOS
• SITIOS PARA PRACTICAR CTFS
• Google CTF: https://capturetheflag.withgoogle.com/#home
• Plataforma ATENEA del CERT-CNC: https://atenea.ccn-cert.cni.es/home
• Pico CTF: https://picoctf.com/
• Root Me: https://www.root-me.org/?lang=es
• Zombieland CTF (solo de Reverse Engineering): https://mcb101.blog/2019/10/11/zombieland-
ctf-reverse-engineering-for-beginners/
• ESTOS ENLACES PROPORCIONAN EJEMPLOS DE CTFS RESUELTOS
• https://ironhackers.es/writeups/resolviendo-retos-de-ctf-parte-1/
• https://ironhackers.es/writeups/resolviendo-retos-de-ctf-parte-2/
• ESTE ENLACE CONTIENE GRAN CANTIDAD DE HERRAMIENTAS ÚTILES PARA CTFS:
• https://github.com/zardus/ctf-tools
José Manuel
Redondo López
 V Cursos / Conferencias /Blogs de Seguridad Online

• INTRODUCTION TO WEB SECURITY (STANFORD SCHOOL OF ENGINEERING):

HTTPS://ONLINE.STANFORD.EDU/COURSES/XCS100-INTRODUCTION-WEB-SECURITY
• PENTESTING IN 15 HOURS: HTTPS://WWW.YOUTUBE.COM/WATCH?V=3KQ1MIFTWCE&LIST=WL&INDEX=12&T=240S
• MATERIAL DE LA CONFERENCIA BLACK HAT USA 2019
• https://www.blackploit.com/2019/08/material-de-black-hat-usa-2019.html
• Arsenal de herramientas presentadas: https://www.blackhat.com/eu-
19/arsenal/schedule/index.html
• INSEGUROS EL BLOG DE SEGURIDAD DE KINOMAKINO: HTTP://KINOMAKINO.BLOGSPOT.COM/

José Manuel
Redondo López
 V Moar!
Hackers Arise! Pentesting con Kali
https://0xword.com/es/libros/40-libro-pentesting-kali.html
https://www.hackers-arise.com
1º edición disponible en biblioteca de Ciencias
Una buena forma de empezar a aprender ☺

Ethical Hacking: Teoría y práctica para la

Metodología OWASP V4 realización de un pentesting
https://www.owasp.org/index.php/OWASP_Testing_G
https://0xword.com/es/libros/65-ethical-hacking-teoria-y-
uide_v4_Table_of_Contents
practica-para-la-realizacion-de-un-pentesting.html

Hacking Web Technologies

https://0xword.com/es/libros/81-hacking-web-
Metodología OSSTMM V3 technologies.html
http://www.isecom.org/mirror/OSSTMM.3.pdf

Hacking Windows: Ataques a sistemas y

Penetration Testing Framework v0.59 redes Microsoft
http://www.vulnerabilityassessment.co.uk/Penetration%20 https://0xword.com/es/libros/99-hacking-windows-
Test.html ataques-a-sistemas-y-redes-microsoft.html

Pentest Standard Metasploit para Pentesters

http://www.pentest-standard.org/index.php/Main_Page
https://0xword.com/es/libros/30-libro-metasploit-
Tech Guides: http://www.pentest- pentester.html
José Manuel
Redondo López standard.org/index.php/PTES_Technical_Guidelines
 V Moar!

Si os interesa la criptografía… Web en la que ocasionalmente se publican

https://github.com/nakov/practical- packs de libros de ciberseguridad a precios
cryptography-for-developers-book muy bajos
https://www.humblebundle.com/
Un repositorio de GitHub con una colección
gigantesca de enlaces de muchos temas de Kali Linux Revealed (libro gratuito)
ciberseguridad https://www.kali.org/download-kali-linux-
https://github.com/blaCCkHatHacEEkr/PENTESTING-
revealed-book/
BIBLE

Cursos gratuitos de Hacking Otro repositorio de GitHub con otra colección

https://www.cybrary.it/freehackingtraining/ gigantesca de enlaces de muchos temas de
ciberseguridad, incluidos libros
https://github.com/enaqx/awesome-pentest
Editorial de libros de informática en general
con un catálogo enorme, con 1 gratuito al día y A Top 10 Reading List if You’re Getting Started
descuentos frecuentes in Cyber Threat Intelligence
https://www.packtpub.com/ https://medium.com/katies-five-cents/a-top-10-
reading-list-if-youre-getting-started-in-cyber-threat-
PagedOut! magazine intelligence-c11a18fc9798
https://pagedout.institute/?page=issues.php
José Manuel
Redondo López
 V Cuentas de Twitter a seguir para estar al día

• ESTASCUENTAS DE TWITTER AYUDAN A ESTAR AL DÍA EN TEMAS DE CIBERSEGURIDAD, ASÍ QUE ¡PODÉIS
SEGUIRLAS PARA AVERIGUAR INFORMACIÓN INTERESANTE!

• @binitamshah
• @OWASP_MSTG • @IHackLabs
• @fwhibbit_blog
• @kalilinux
• @TheHackersNews
• @0xWORD • @Seguridadjabali
• @elhackernet • @hackandbeers
• @HackHispano • @owasp
• @hackplayers • @INCIBE
• @0ciberpatrulla
• @secbydefault
• @three_cube
• @Securityartwork • @offsectraining
• @Hacking_Ético • @forenseTIC
• @SecurityTube • @soydelbierzo

• @kinomakino
José Manuel
Redondo López
 V Bibliografía: Trabajos propios relacionados con seguridad

1. LLANEZA, I., REDONDO, J. M., & VINUESA, L. (8 DE 2019). TOWARDS LIGHTWEIGHT MOBILE PENTESTING TOOLS TO
QUICKLY ASSESS MACHINE SECURITY LEVELS. IEEE LATIN AMERICA TRANSACTIONS, PP. DE
HTTPS://WWW.RESEARCHGATE.NET/PUBLICATION/335201859_TOWARDS_LIGHTWEIGHT_MOBILE_PENTESTING_TOOLS_TO_QUICKLY_ASS
ESS_MACHINE_SECURITY_LEVELS

2. REDONDO, J. M., & CUESTA, D. (09 DE 2019). TOWARDS IMPROVING PRODUCTIVITY IN NMAP SECURITY AUDITS. JOURNAL
OF WEB ENGINEERING (JWE), 18(7):1-38 DOI: 10.13052/JWE1540-9589.1871. DE:
HTTPS://WWW.RESEARCHGATE.NET/PUBLICATION/335909141_TOWARDS_IMPROVING_PRODUCTIVITY_IN_NMAP_SECURITY_AUDITS

3. REDONDO, J. M., & VALLE, L. D. (8 DE 2018). FILESYNC AND ERA LITERARIA: REALISTIC OPEN-SOURCE WEBS TO DEVELOP
WEB SECURITY SKILLS. JOURNAL OF WEB ENGINEERING, 17(5), 1-22. DOI:10.13052/JWE1540-9589.1751. DE:
HTTPS://WWW.RESEARCHGATE.NET/PUBLICATION/327659653_FILESYNC_AND_ERA_LITERARIA_REALISTIC_OPENSOURCEWEBS_TO_DEVE
LOPWEB_SECURITY_SKILLS

José Manuel
Redondo López
V IVIENDO LA
CYBER
SEGURIDAD
CON
HACKTHEBOX
HACKING
THROUGH
ABILITY
ABILITY
THROUGH
HACKING

José Manuel Redondo López