¿Cómo usar Metasploit?

Autor: | Última modificación: 3 de octubre de 2022 | Tiempo de Lectura: 3 minutos

¿Sabes cómo usar Metasploit y para qué sirve este framework en ciberseguridad?

El hacking ético se divide en varias tareas, cuyo objetivo final es poner a prueba la seguridad de un sistema informático. Para ello, se ejecuta un procedimiento de diferentes fases y cada una de ellas cuenta con sus programas y técnicas manuales o automáticas. Por ejemplo, una de las herramientas de hacking ético más conocidas es Metasploit y, en este post, te explicamos cómo usar Metasploit.

¿Qué es Metasploit?

Metasploit es un framework de código abierto que contiene programas para realizar tareas de las diferentes fases de un test de intrusión. A pesar de que se especializa en la explotación de vulnerabilidades, Metasploit también incluye softwares para fases como la recolección de información y la postexplotación del sistema.

Metasploit, al contar con un set tan amplio y diverso de herramientas, está dividido en diferentes módulos. Es importante conocerlos para saber cómo usar Metasploit.

  • Auxiliary: reúne herramientas para la recolección de información sobre el sistema objetivo. Es decir, permite hacer escaneos de redes y vulnerabilidades para identificar los dispositivos conectados a una red, qué tecnología de software/hardware utilizan y qué posibles fallos de seguridad hay en sus sistemas.
  • Exploits: contiene más de 2.160 softwares para explotar vulnerabilidades informáticas y utilizarlas como puertas de entrada para un ciberataque en el sistema.
  • Post: contiene programas para escalar privilegios en Windows, GNU/Linux y otros sistemas operativos. También cuenta con métodos para establecer persistencia en el ordenador objetivo.
  • Payloads: permite ejecutar tareas maliciosas, como propagación de malware y exfiltración de datos.
  • Encoders: incluye técnicas para ocultar el payload de los sistemas de antivirus más utilizados.
  • Nops: incluye códigos para ejecutar el payload en memoria y que no sea detenido por el procesador de la máquina.

La versión de código abierto de Metasploit, que incluye exploits para vulnerabilidades conocidas, viene instalada por defecto en el sistema operativo para seguridad informática, Kali Linux. Para ejecutar el framework de Metasploit, te recomendamos instalar el sistema operativo Kali en una máquina virtual, que puedes crear con tu software de virtualización preferido.

Ahora que conoces sus diferentes módulos, veamos cómo usar Metasploit.

Cómo usar Metasploit

Para ejecutar Metasploit desde la consola de Kali, ejecuta el comando:

msfconsole

🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴

Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada

👉 Prueba gratis el Bootcamp en Ciberseguridad por una semana

Luego, aparecerá la consola de Metasploit, la cual podrás manejar por medio de los cinco comandos del programa, que son:

  • Search.
  • Use.
  • Show options.
  • Info.
  • Set.

Para encontrar un exploit o un escáner para una vulnerabilidad en particular, utiliza el comando search. Por ejemplo, para encontrar herramientas relacionadas con el software de Apache Tomcat, el comando para ejecutar en la consola de Metasploit se vería de la siguiente forma:

search tomcat

Al ejecutar este comando, Metasploit desplegará una serie de direcciones con la ruta de las herramientas relacionadas con dicha aplicación. En la ruta, podrás identificar el módulo al que pertenece la herramienta, ya que su estructura se ve como en los siguientes ejemplos:

auxiliary/scanner/http/tomcat_enum
exploit/multi/http/tomcat_mgr_deploy
post/windows/gather/tomcat_gather

Ahora, para ejecutar una de esas herramientas, tendrás que utilizar el comando use seguido por la ruta del programa escogido. Por ejemplo:

use auxiliary/scanner/http/tomcat_enum

A partir de este punto, ya estarás trabajando con la herramienta que hayas seleccionado con la consola. Para ver todos los datos que requiere, ejecuta el comando:

info

Se desplegará una tabla llamada «Basic options«. En ella, presta especial atención a las columnas:

  • Name: contiene el nombre de la variable.
  • Required: puede contener los valores «yes/no».
    • Yes significa que el valor es requerido para ejecutar la herramienta escogida.
    • No significa que es opcional.
  • Description: contiene la descripción de la variable.

Identifica las variables requeridas y, para asignarles valores, ejecuta el comando set usando la siguiente estructura: set <variable> <valor>. En nuestro ejemplo, se vería así:

set  RHOSTS 192.168.172.0/24
set THREADS 100

Y para ejecutar la herramienta, finalmente, utiliza el comando:

run

Ahora que sabes cómo usar Metasploit, puedes hacer prácticas de hacking ético. Sin embargo, recuerda que el pentesting debe ser realizado con autorización del dueño del sistema que se pone a prueba, ya que, de lo contrario, está prohibido en la mayoría de países.

Para practicar tus habilidades con Metasploit, te recomendamos participar de juegos de Capture The Flag o programas de bug bounty. También puedes practicar hacking ético hackeando la máquina virtual Metasploitable 3, que se creó con vulnerabilidades intencionalmente por la empresa Rapid 7.

¿Cómo aprender más?

Si quieres aprender cómo usar Metasploit con clases en vivo y la guía de un hacker ético profesional, en KeepCoding tenemos la formación intensiva perfecta para que avances en tu carrera laboral. Ingresa en el Ciberseguridad Full Stack Bootcamp y conviértete en todo un especialista del mundo IT en solo 7 meses. ¡Cambia tu vida e inscríbete ahora!

[email protected]

¿Trabajo? Aprende a programar y consíguelo.

¡No te pierdas la próxima edición del Aprende a Programar desde Cero Full Stack Jr. Bootcamp!

 

Prepárate en 4 meses, aprende las últimas tecnologías y consigue trabajo desde ya. 

 

Solo en España hay más de 120.400 puestos tech sin cubrir, y con un sueldo 11.000€ por encima de la media nacional. ¡Es tu momento!

 

🗓️ Próxima edición: 13 de febrero

 

Reserva tu plaza descubre las becas disponibles.