Transcription of Hacking con Kali Linux - reydes.com
1 Hacking con Kali LinuxUna Perspectiva Pr cticaAlonso Eduardo Caballero QuezadaCorreo electr nico: web: n - Julio del 2019 KALI Linux is a trademark of Offensive Security. La versi n m s actual de este documento se ubica en: Eduardo Caballero QuezadaAlonso Eduardo Caballero Quezada es EXIN Ethical Hacking FoundationCertificate, LPIC-1 Linux Administrator, LPI Linux Essentials certificate , IT MastersCertificate of Achievement en Network Security Administrator, HackingCountermeasures, Cisco CCNA Security, Information Security Incident Handling,Digital Forensics, Cybersecurity Management, Cyber Warfare and Terrorism,Enterprise Cyber Security Fundamentals, Phishing Countermeasures y Pen sido instructor en el OWASP LATAM Tour Lima.
2 Per del a o 2014 y expositoren el 0x11 OWASP Per Chapter Meeting 2016, adem s de Conferencista enPERUHACK 2014, instructor en PERUHACK2016 NOT, y conferencista en Lucky Per con m s de quince a os de experiencia en el rea y desde hace once a os labora comoconsultor e instructor independiente en las reas de Hacking tico & Forense Digital. Perteneci pormuchos a os al grupo internacional de seguridad RareGaZz y al grupo peruano de seguridadPeruSEC. Ha dictado cursos presenciales y virtuales en Ecuador, Espa a, Bolivia y Per ,present ndose tambi n constantemente en exposiciones enfocadas a Hacking tico, Forense Digital,GNU/ Linux y Software Libre.
3 Su correo electr nico es y su p gina personal est en: Alonso Eduardo Caballero Quezada - Instructor y Consultor en Hacking tico & Forense Digital TemarioMaterial Necesario .. 4 1. Metodolog a de una Prueba de Penetraci n .. 52. M quinas Vulnerables .. 83. Introducci n a Kali Linux .. 104. Capturar Informaci n .. 145. Descubrir el Objetivo .. 266. Enumerar el Objetivo .. 337. Mapear Vulnerabilidades .. 448. Explotar el Objetivo .. 509. Atacar Contrase as .. 7010. Demostraci n de Explotaci n & Post Explotaci n .. 77 Sitio Web: -:- e-mail: -:- Tel fono: +51 949304030 3 Alonso Eduardo Caballero Quezada - Instructor y Consultor en Hacking tico & Forense Digital Material NecesarioPara desarrollar adecuadamente el presente documento, se sugiere al participante instalar yconfigurar las m quinas virtuales de Kali Linux y Metasploitable 2 utilizando VirtualBox VMwarePlayer, Hyper-V, u otro software para virtualizaci n.
4 Kali Linux VirtualBox 64-Bit OVAE nlace: Kali Linux VirtualBox 32-Bit OVAE nlace: Metasploitable : Software para Virtualizaci nVirtualBoxEnlace: Web: -:- e-mail: -:- Tel fono: +51 949304030 4 Alonso Eduardo Caballero Quezada - Instructor y Consultor en Hacking tico & Forense Digital 1. Metodolog a de una Prueba de Penetraci nUna Prueba de Penetraci n (Penetration Testing) es el proceso utilizado para realizar una evaluaci n o auditor a de seguridad de alto nivel. Una metodolog a define un conjunto de reglas, pr cticas, procedimientos y m todos a seguir e implementar durante la realizaci n de cualquier programa para auditor a en seguridad de la informaci n.
5 Una metodolog a para pruebas de penetraci n define una hoja de ruta con ideas tiles y pr cticas comprobadas, las cuales deben ser manejadas cuidadosamente para poder evaluar correctamente los sistemas de y otros temas se incluyen en los siguientes cursos:Curso Hacking tico: Hacking con Kali Linux : Tipos de Pruebas de Penetraci n:Existen diferentes tipos de Pruebas de Penetraci n, las m s comunes y aceptadas son las Pruebas de Penetraci n de Caja Negra (Black-Box), las Pruebas de Penetraci n de Caja Blanca (White-Box) ylas Pruebas de Penetraci n de Caja Gris (Grey-Box). Prueba de Caja Negra.
6 No se tienen ning n tipo de conocimiento anticipado sobre la red de la organizaci n. Un ejemplo de este escenario es cuando se realiza una prueba externa a nivel web, y est es realizada nicamente con el detalle de una URL o direcci n IP proporcionado al equipo de pruebas. Este escenario simula el rol de intentar irrumpir en el sitio web o red de la organizaci n. As mismo simula un ataque externo realizado por un atacante malicioso. Prueba de Caja equipo de pruebas cuenta con acceso para evaluar las redes, y se le ha proporcionado los de diagramas de la red, adem s de detalles sobre el hardware, sistemas operativos, aplicaciones, entre otra informaci n antes de realizar las pruebas.
7 Esto no iguala a una pruebasin conocimiento, pero puede acelerar el proceso en gran magnitud, con el prop sito de obtener resultados m s precisos. La cantidad de conocimiento previo permite realizar las pruebas contra sistemas operativos espec ficos, aplicaciones y dispositivos residiendo en la red, en lugar de invertir tiempo enumerando aquello lo cual podr a posiblemente estar en la red. Este tipo de prueba equipara una situaci n donde el atacante puede tener conocimiento completo sobre la red Web: -:- e-mail: -:- Tel fono: +51 949304030 5 Alonso Eduardo Caballero Quezada - Instructor y Consultor en Hacking tico & Forense Digital Prueba de Caja GrisEl equipo de pruebas simula un ataque realizado por un miembro de la organizaci n inconforme o descontento.
8 El equipo de pruebas debe ser dotado con los privilegios adecuados a nivel de usuario y una cuenta de usuario, adem s de permitirle acceso a la red Evaluaci n de Vulnerabilidades y Prueba de Penetraci evaluaci n de vulnerabilidades es el proceso de evaluar los controles de seguridad interna y externa, con el prop sito de identificar amenazas las cuales impliquen una seria exposici n para los activos de la principal diferencia entre una evaluaci n de vulnerabilidades y una prueba de penetraci n, radica en el hecho de las pruebas de penetraci n van m s all del nivel donde nicamente de identifican las vulnerabilidades, y van hacia el proceso de su explotaci n, escalado de privilegios, y mantener el acceso en el sistema objetivo.
9 Mientras una evaluaci n de vulnerabilidades proporciona una amplia visi n sobre las fallas existentes en los sistemas, pero sin medir el impacto real de estas vulnerabilidades para los sistemas objetivos de la evaluaci Metodolog as de Pruebas de SeguridadExisten diversas metodolog as open source, o libres las cuales tratan de dirigir o guiar los requerimientos de las evaluaciones en seguridad. La idea principal de utilizar una metodolog a durante una evaluaci n, es ejecutar diferentes tipos de pruebas paso a paso, para poder juzgar con una alta precisi n la seguridad de los sistemas.
10 Entre estas metodolog as se enumeran las siguientes: Open Source Security Testing Methodology Manual (OSSTMM) The Penetration Testing Execution Standard (PTES) Penetration Testing OWASP Testing Web: -:- e-mail: -:- Tel fono: +51 949304030 6 Alonso Eduardo Caballero Quezada - Instructor y Consultor en Hacking tico & Forense Digital Technical Guide to Information Security Testing and Assessment (SP 800-115) Information Systems Security Assessment Framework (ISSAF) [No disponible] del Webinar Gratuito: Hacking tico #wgheSitio Web: -:- e-mail: -:- Tel fono: +51 949304030 7 Alonso Eduardo Caballero Quezada - Instructor y Consultor en Hacking tico & Forense Digital 2.