¿Sabes cuáles son los principales comandos de Metasploit y cómo se utilizan?
En el hacking ético, al igual que en otras áreas de la informática, se utilizan programas para automatizar ciertos procesos y no tener que realizarlos de forma manual. Para cada fase de un test de intrusión, es decir, la simulación autorizada de un ciberataque, existen diferentes herramientas, como la que explicaremos a continuación.
Las fases de un test de penetración son:
- Reconocimiento pasivo: recolección de información sobre el sistema sin tener interacción con el mismo.
- Enumeración activa: escaneo de la red del sistema para identificar todos los dispositivos conectados a ella y qué tecnología de hardware y software utilizan.
- Escaneo de vulnerabilidades: búsqueda automática y manual de errores y fallas de seguridad en el sistema, que pueden ser aprovechadas para realizar ciberataques.
- Explotación: uso de programas para explotar las vulnerabilidades.
- Postexplotación: escalada de privilegios, establecimiento de persistencia en el sistema y ejecución de tareas maliciosas.
- Borrado de huellas: eliminación de la evidencia del ciberataque y los rastros del atacante.
- Elaboración del reporte: comunicación de los fallos encontrados y los métodos utilizados.
Metasploit es un framework de código abierto que, principalmente, reúne programas para la fase de explotación. Sin embargo, también contiene muchas herramientas para otras de las etapas de un pentest. A continuación, te enseñaremos los principales comandos de metasploit para que utilices todas las funciones de este programa.
Comandos de Metasploit
Metasploit es un framework de código abierto para la explotación de vulnerabilidades conocidas. Sin embargo, también cuenta con módulos para la recolección de información sobre el sistema y la fase de postexplotación. Metasploit viene instalado por defecto en el sistema operativo para hacking ético Kali Linux. Por eso, te recomendamos usar Metasploit en una máquina virtual creada en tu software de virtualización de preferencia con sistema operativo Kali.
Una vez cuentes con Kali Linux instalado en una máquina virtual, puedes ejecutar Metasploit desde la consola con el comando:
// metasploit comandos msfconsole
Después de ello, verás la consola propia del programa de Metasploit. Para que aprendas a usarla, te enseñaremos los principales comandos de Metasploit:
- Para buscar cualquier herramienta, como un exploit, un escáner de vulnerabilidades, un codificador o un payload, utiliza el siguiente comando reemplazando el valor <name> por la palabra clave de tu búsqueda:
// comandos metasploit search <name>
🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴
Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada
👉 Prueba gratis el Bootcamp en Ciberseguridad por una semanaPor ejemplo, para encontrar exploits y herramientas relacionadas con vulnerabilidades de Apache Tomcat:
search tomcat
- Para cargar un módulo, utiliza el siguiente comando:
use <module name>
Reemplaza el valor <module name> por la ruta de la herramienta que desees usar. Dicha ruta la puedes encontrar con el comando search.
Existen seis tipos de módulos de Metasploit que puedes explorar y utilizar dentro de un ejercicio de pentesting, que son:
- Auxiliary: herramientas de recolección de información sobre el sistema.
- Exploits: programas de explotación.
- Payloads: tareas maliciosas, como propagación de malware y exfiltración de datos.
- Posts: tareas de postexplotación, como ejecución de payload, escalada de privilegios y establecimiento de persistencia.
- Encoders: métodos para ocultar un ataque de sistemas antivirus.
- Nops: técnicas para ejecutar el payload en memoria.
- Para establecer el valor de una variable de un módulo, utiliza el comando:
set <variable> <value>
- Para conocer las variables requeridas para cada módulo, utiliza el siguiente comando:
info
Cuando ejecutes esta función, verás una tabla y deberás fijarte en la columna “Required“. Los valores que aparezcan señaladas con la palabra “Yes” son obligatorios para ejecutar el módulo.
- Para conocer las funciones de una herramienta o un exploit, utiliza el comando:
show options
Con el comando <show options>, descubrirás las diferentes alternativas y modos de uso de la herramienta que hayas escogido con los pasos anteriores. Ahora que sabes cuáles son los comandos de Metasploit, estás listo para utilizar esta herramienta en ejercicios de pentesting reales.
Ahora que ya conoces los comandos de Metasploit, puedes comenzar a utilizar esta herramienta de hacking ético. Si quieres aprender a usar este programa con clases en vivo dictadas por los mejores expertos, en KeepCoding tenemos un curso ideal para ti. Ingresa a nuestro Ciberseguridad Full Stack Bootcamp y conviértete en un verdadero especialista en el sector en muy pocos meses. ¿A qué sigues esperando? ¡Inscríbete ya y cambia tu vida!