La Comunidad DragonJAR

Metasploit es un framework de seguridad que se ha sabido ganar un buen espacio en la caja de herramientas de todo pentester o analista, y no es para menos, ya que tiene bastantes bondades como podemos ver:

• Es gratuito y de código abierto
• Se actualiza constantemente (algunas veces agregan exploits a las horas de salir el full-disclosure)
• Es altamente modificable, (con un código en ruby bastante sencillo de entender)
• Multiplataforma (corre en los sistemas operativos mas populares)
• Gran base de datos de exploits y auxiliares

Como puedes ver las bondades del Metasploit no son pocas (y no las he comentado todas), es por eso que al encontrar recursos como el Metasploit Megaprimer en securitytube no puedo dejarlo pasar por alto y compartirlo con todos ustedes. Leer más…

Hace un tiempo en DragonJAR había visto el Metasploitable, la primera versión del entorno de entrenamiento que nos permite realizar pruebas con nuestra herramientas de seguridad sin problemas, la nueva versión de Metasploitable (2.0) cuenta con aun mas aplicaciones vulnerables para nuestro entretenimiento.

Aunque rapid7 ya ha publicado una completa guía paso a paso sobre como explotar los fallos de Metasploitable 2, me puse en la tarea de realizar vídeo tutoriales en vídeo resolviendo este gran entorno, solo espero que les sea de utilidad.

Episodio 1 – Exploiting vsftpd 2.3.4 backdoored version

Episodio 2 – UnrealIRCD 3.2.8.1 backdoored – CVE 2010-2075

Episode 3 – PHP CGI Argument Injection (CVE 2012-1823)

Episode 4 – DRuby Distributed Ruby Code Execution

Episode 5 – Java RMI Server – Java Code Execution

Episode 6 – NFS Misconfiguration – Access via SSH

Episode 7 – Samba “username map script” Remote Command Execution

Cualquier duda al respecto déjame un comentario que estaré pasando para leerlo… espero que los disfruten

Articulo escrito por José Antonio Pérez @Japtron para La Comunidad DragonJAR