SEGURIDAD Y APLICACIONES WEB Licencia Creative Commons Esta obra esta distribuida bajo una licencia de: <ul><li>Reconocimi...
No Comercial (Non commercial): La explotación de la obra queda limitada a usos no comerciales.
Compartir Igual (Share alike): La explotación autorizada incluye la creación de obras derivadas siempre que mantengan la m...
SEGURIDAD Y APLICACIONES WEB .  Ataques automatizados: Beef Práctica: Ataques Automatizados: BEEF
SEGURIDAD Y APLICACIONES WEB .  Ataques automatizados: Beef <ul>En estas prácticas usaremos una herramienta de ataque auto...
Es una herramienta que se concentra en la explotación de vulnerabilidades en navegadores. </li></ul>Para disponer de esta ...
SEGURIDAD Y APLICACIONES WEB .  Ataques automatizados: Beef Los objetivos de esta práctica son: <ul><li>Conocer Beef
Comprobar como la navegación por sitios inseguros puede llevar a que tomen control remoto de nuestro equipo
Observar el tipo de ataques que se pueden realizar a través de la inyección de contenido en un navegador web.  </li></ul>
SEGURIDAD Y APLICACIONES WEB .  Ataques automatizados: Beef <ul><li>Para esta práctica utilizaremos: </li></ul><ul><ul><li...
Metasploit </li></ul><li>La máquina virtual de windows XP/SP2 </li><ul><li>Internet Explorer 6 </li></ul></ul></ul>
<ul><li>Arrancamos la imagen de Backtrack5 </li></ul><ul><ul><li>User: root
Pass: toor
X: startx </li></ul></ul><ul><li>Arrancamos Beef </li></ul>SEGURIDAD Y APLICACIONES WEB .  Ataques automatizados: Beef
SEGURIDAD Y APLICACIONES WEB .  Ataques automatizados: Beef <ul><li>Arrancamos el navegador e introducimos la url: </li></...
SEGURIDAD Y APLICACIONES WEB .  Ataques automatizados: Beef
SEGURIDAD Y APLICACIONES WEB .  Ataques automatizados: Beef <ul><li>Ahora pasaremos a arrancar la máquina con Windows que ...
SEGURIDAD Y APLICACIONES WEB .  Ataques automatizados: Beef <ul><li>Una vez arrancada la máquina abrimos internet explorer...
La ip será la de la
máquina donde
tenemos levantado
beef </li></ul></ul>
SEGURIDAD Y APLICACIONES WEB .  Ataques automatizados: Beef <ul><li>Volvemos a la máquina backtrack donde ya deberíamos ve...
SEGURIDAD Y APLICACIONES WEB .  Ataques automatizados: Beef <ul><li>A continuación pulsando en zombies veremos la informac...
SEGURIDAD Y APLICACIONES WEB .  Ataques automatizados: Beef <ul><li>Pulsando en Standard modules veremos los módulos de at...
SEGURIDAD Y APLICACIONES WEB .  Ataques automatizados: Beef <ul><li>Comenzamos seleccionando “Alert Dialog”
Upcoming SlideShare
Loading in...5
×

Curso basicoseguridadweb slideshare11

370

Published on

Curso básico seguridad web:
Práctica Beef

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
370
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
12
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Curso basicoseguridadweb slideshare11

  1. 1. SEGURIDAD Y APLICACIONES WEB Licencia Creative Commons Esta obra esta distribuida bajo una licencia de: <ul><li>Reconocimiento (Attribution): En cualquier explotación de la obra autorizada por la licencia hará falta reconocer la autoría.
  2. 2. No Comercial (Non commercial): La explotación de la obra queda limitada a usos no comerciales.
  3. 3. Compartir Igual (Share alike): La explotación autorizada incluye la creación de obras derivadas siempre que mantengan la misma licencia al ser divulgadas. </li></ul>
  4. 4. SEGURIDAD Y APLICACIONES WEB . Ataques automatizados: Beef Práctica: Ataques Automatizados: BEEF
  5. 5. SEGURIDAD Y APLICACIONES WEB . Ataques automatizados: Beef <ul>En estas prácticas usaremos una herramienta de ataque automátizado: Beef <li>Browser Exploitation Framework
  6. 6. Es una herramienta que se concentra en la explotación de vulnerabilidades en navegadores. </li></ul>Para disponer de esta herramienta configurada y preparada utilizaremos una imagen virtual de la distribución de seguridad Backtrack5
  7. 7. SEGURIDAD Y APLICACIONES WEB . Ataques automatizados: Beef Los objetivos de esta práctica son: <ul><li>Conocer Beef
  8. 8. Comprobar como la navegación por sitios inseguros puede llevar a que tomen control remoto de nuestro equipo
  9. 9. Observar el tipo de ataques que se pueden realizar a través de la inyección de contenido en un navegador web. </li></ul>
  10. 10. SEGURIDAD Y APLICACIONES WEB . Ataques automatizados: Beef <ul><li>Para esta práctica utilizaremos: </li></ul><ul><ul><li>La máquina virtual de Backtrack </li><ul><li>Beef
  11. 11. Metasploit </li></ul><li>La máquina virtual de windows XP/SP2 </li><ul><li>Internet Explorer 6 </li></ul></ul></ul>
  12. 12. <ul><li>Arrancamos la imagen de Backtrack5 </li></ul><ul><ul><li>User: root
  13. 13. Pass: toor
  14. 14. X: startx </li></ul></ul><ul><li>Arrancamos Beef </li></ul>SEGURIDAD Y APLICACIONES WEB . Ataques automatizados: Beef
  15. 15. SEGURIDAD Y APLICACIONES WEB . Ataques automatizados: Beef <ul><li>Arrancamos el navegador e introducimos la url: </li></ul><ul><ul><li>http://10.0.2.3/beef/ </li></ul><li>Esto nos dará acceso a la consola de administración de beef </li></ul>
  16. 16. SEGURIDAD Y APLICACIONES WEB . Ataques automatizados: Beef
  17. 17. SEGURIDAD Y APLICACIONES WEB . Ataques automatizados: Beef <ul><li>Ahora pasaremos a arrancar la máquina con Windows que será desde donde accedamos a la página web con vulnerabilidades </li></ul>
  18. 18. SEGURIDAD Y APLICACIONES WEB . Ataques automatizados: Beef <ul><li>Una vez arrancada la máquina abrimos internet explorer e introduciremos la siguiente url </li></ul><ul><ul><li>http://10.0.2.3/beef/hook/example.php
  19. 19. La ip será la de la
  20. 20. máquina donde
  21. 21. tenemos levantado
  22. 22. beef </li></ul></ul>
  23. 23. SEGURIDAD Y APLICACIONES WEB . Ataques automatizados: Beef <ul><li>Volvemos a la máquina backtrack donde ya deberíamos ver el resultado de haber entrado en una página maliciosa </li></ul>
  24. 24. SEGURIDAD Y APLICACIONES WEB . Ataques automatizados: Beef <ul><li>A continuación pulsando en zombies veremos la información con la que contamos sobre el equipo que controlamos </li></ul>
  25. 25. SEGURIDAD Y APLICACIONES WEB . Ataques automatizados: Beef <ul><li>Pulsando en Standard modules veremos los módulos de ataque disponibles </li></ul>
  26. 26. SEGURIDAD Y APLICACIONES WEB . Ataques automatizados: Beef <ul><li>Comenzamos seleccionando “Alert Dialog”
  27. 27. Esto pintará un alert en el navegador del zombie </li></ul>
  28. 28. SEGURIDAD Y APLICACIONES WEB . Ataques automatizados: Beef <ul><li>Veamos que podemos llegar a conseguir de un zombie ejecutando el script de beef al haber navegado por un lugar que lo contiene </li></ul>
  29. 29. SEGURIDAD Y APLICACIONES WEB . Ataques automatizados: Beef
  30. 30. SEGURIDAD Y APLICACIONES WEB . Ataques automatizados: Beef Ingeniería social: Si persuadimos al usuario para que introduzca datos confidenciales en esta ventana podremos robarselos
  31. 31. SEGURIDAD Y APLICACIONES WEB . Ataques automatizados: Beef Como vemos obtenemos en beef los datos introducidos por el usuario del equipo zombi
  32. 32. SEGURIDAD Y APLICACIONES WEB . Ataques automatizados: Beef También podemos capturar los datos que el usuario zombi tenga en el clipboard
  33. 33. SEGURIDAD Y APLICACIONES WEB . Ataques automatizados: Beef Lanzamos el ataque y obtenemos los datos en pantalla desde beef
  34. 34. SEGURIDAD Y APLICACIONES WEB . Ataques automatizados: Beef <ul><li>Desde beef también podemos utilizar metasploit para explotar las vulnerabilidades del navegador
  35. 35. Antes de hacerlo tendremos que conectar metasploit con beef </li></ul><ul><li>Abrimos una consola y escribimos:
  36. 36. cd /pentest/exploits/framework
  37. 37. sudo ./msfconsole
  38. 38. Cuando aparezca el prompt msf>
  39. 39. load xmlrpc Pass=BeEFMSFPass </li></ul>
  40. 40. SEGURIDAD Y APLICACIONES WEB . Ataques automatizados: Beef Tras realizar esto iremos a beef y seleccionaremos la opción para lanzar ataques metasploit
  41. 41. SEGURIDAD Y APLICACIONES WEB . Ataques automatizados: Beef
  42. 42. SEGURIDAD Y APLICACIONES WEB . Ataques automatizados: Beef También existe la opción de lanzar automáticamente todos los exploits de navegadores contenidos en metasploit
  43. 43. SEGURIDAD Y APLICACIONES WEB . Ataques automatizados: Beef Llegados a este punto si conseguimos explotar una vulnerabilidad del navegador tendremos el control que nos permita el usuario con que se ha lanzado el navegador zombie
  44. 44. SEGURIDAD Y APLICACIONES WEB . Ataques automatizados: Beef <ul><li>Como hemos visto a través de la navegación por páginas preparadas especialmente para hackear máquinas podemos resultar atacados con consecuencias que pueden llegar al control remoto de nuestro equipo.
  45. 45. Este mismo ataque puede ser lanzado desde una página legitima en la cual existe una vulnerabilidad XSS con lo cual se aumenta el riesgo de este tipo de ataques ya que navegaremos confiados por dicho site </li></ul>
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×