Your SlideShare is downloading. ×
0
Slide Palestra "Metasploit Framework"
Slide Palestra "Metasploit Framework"
Slide Palestra "Metasploit Framework"
Slide Palestra "Metasploit Framework"
Slide Palestra "Metasploit Framework"
Slide Palestra "Metasploit Framework"
Slide Palestra "Metasploit Framework"
Slide Palestra "Metasploit Framework"
Slide Palestra "Metasploit Framework"
Slide Palestra "Metasploit Framework"
Slide Palestra "Metasploit Framework"
Slide Palestra "Metasploit Framework"
Slide Palestra "Metasploit Framework"
Slide Palestra "Metasploit Framework"
Slide Palestra "Metasploit Framework"
Slide Palestra "Metasploit Framework"
Slide Palestra "Metasploit Framework"
Slide Palestra "Metasploit Framework"
Slide Palestra "Metasploit Framework"
Slide Palestra "Metasploit Framework"
Slide Palestra "Metasploit Framework"
Slide Palestra "Metasploit Framework"
Slide Palestra "Metasploit Framework"
Slide Palestra "Metasploit Framework"
Slide Palestra "Metasploit Framework"
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Slide Palestra "Metasploit Framework"

1,252

Published on

Palestra realizada dia 27/10/2011 na 4ª SEINFO na UNIESP de Presidente Prudente/SP, falando sobre o framework Metasploit e suas features.

Palestra realizada dia 27/10/2011 na 4ª SEINFO na UNIESP de Presidente Prudente/SP, falando sobre o framework Metasploit e suas features.

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
1,252
On Slideshare
0
From Embeds
0
Number of Embeds
8
Actions
Shares
0
Downloads
74
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Plataforma de desenvolvimento usada para criar ferramentas de teste de segurança e explorarmódulos. Também utilizado comoum sofisticado e avançado sistema de testes de penetração.
  • 2. • HD Moore criou o Projeto Metasploit em 2003.• Inicialmente desenvolvido na linguagem Perl.• 2005 a 2007 reescrito na linguagem Ruby.• Em outubro de 2009, a Rapid7 adquiri o Metasploit.• Com a aquisição, em Maio de 2010 surge o Metasploit Express.• Outubro de 2010, lançado a versão Comercial Metasploit Pro.• Outubro de 2011, lançado a versão básica MetasploitCommunity Edition.• Com mais de 1 milhão de downloads nos últimos 12 meses.• E o futuro?
  • 3. • Versão atual: 4.1.0-release [core:4.1 api:1.0]• +750 exploits;• 389 auxiliaries;• 103 post;• 228 payloads;• 27 encoders;• 8 nops;• SVN r14048 (24.10.2011)• Ufaa...
  • 4. • Vulnerabilidade?• Security Research?• Exploit?• Payload?• Encoder?
  • 5. • Recon;• Scanning;• Exploit;• Full Control with Meterpreter;• Client-Side;• Metasploit Pro;• Bônus;
  • 6. Consiste em reunir o máximo deinformações relevantes possíveis do alvo, ex:• DNS Enumeration (dns_enum)• Email Address Collection (search_email_collector)
  • 7. Consiste em descobrir quais os tipos de serviços, sistemas operacionas, versões, portas abertas, etc, do alvo, ex: • TCP Scan (portscan/tcp) • Protocolo SMB (smb_version) • Protocolo HTTP (http_version)
  • 8. Permite execução remota de código. O exploit explora uma falha no sistema RPC do Windows. As versões afetadas: Windows 2000, Windows XP e Windows 2003. A vulnerabilidade permite ao invasor explorar sem realizar autenticação para executar código arbitrário.• Microsoft Server Service Relative Patch Stack Corruption (ms08_067).
  • 9. O meterpreter supera as limitações e fornece várias APIs que permite ao atacante executardiversos ataques de exploração no shell meterpreter, podendo ir mais a fundo e descobrindo o máximo possível de informações do alvo e da rede interna.
  • 10. No mundo da segurança, engenharia social tornou-se um vetor de ataque cada vez mais utilizado. Embora as tecnologias mudam constantemente, uma coisa que parece permanecer na mesma, é a falta desegurança com as pessoas. Devido a isso, a engenharia social tornou-se um tópico muito "quente" no mundo da segurança de hoje. “Por que não existe patch para a ignorância humana.”
  • 11. • Automatizar as etapas do fluxo de trabalho de teste depenetração para aumentar a eficiência, permitindo que vocêteste os sistemas mais com mais freqüência.• Testar a segurança de seus dispositivos de rede, desktops eservidores, incluindo bases de dados e aplicações web.• Medir a percepção de segurança dos usuários com auditoriasde senhas e campanhas de engenharia social.• Simular ataques reais que ocorrem em todo o mundo.• O maior banco de dados de exploits com qualidade garantida.
  • 12. Vamos visualizar como utilizar a estrutura do Metasploit para o desenvolvimento de exploit, permitindo-nos concentrar no que éúnico sobre um exploit e fazer com que outros assuntos como payload, encoding, nop generation, e assim por diante, seja apenas uma questão de infra-estrutura. 

×