Metasploit E-Book

QUÉ SE DICE SOBRE METASPLOIT, 2.ª EDICIÓN

“Metasploit, 2ª edición, es una actualización modernizada de una de las revisiones más completas del framework; lo recomiendo a cualquiera que quiera aprender más sobre Metasploit.”

—SPENCER MCINTYRE, DIRECTOR DE INVESTIGACIÓN DE SEGURIDAD, RAPID7

“Una aportación fantástica a la estantería de cualquier experto en pruebas de intrusión.”

—MENACHEM ROTHBART, CONSULTOR PRINCIPAL DE SEGURIDAD, HACKER, OSCE3

“Muchos usuarios están familiarizados con los casos prácticos de ataques preconstruidos y de acceso inicial tratados en la primera edición, pero esta actualización incluye nuevas vulnerabilidades, módulos asociados y los nuevos límites de las pruebas de intrusión en la nube.”

—BILLY TROBBIANI, @BILLYCONTRA, INGENIERO DEL EQUIPO ROJO EN TOAST, INC.

“No es un tutorial más de Metasploit. La segunda edición de este completo libro le guía por cada etapa de una prueba de intrusión simulada, y le muestra cómo sacar el máximo provecho a Metasploit.”

—ANDY “APEXPREDATOR” POOLE, OSEE, GSE

“Proporciona información muy valiosa para pentesters que buscan mejorar sus habilidades y conocimientos utilizando Metasploit.”

—JOSH TRISTRAM, @JDTRISTRAM, EQUIPO AZUL EN CIBERSEGURIDAD SANITARIA

“Una lectura fácil que es más que un simple libro de Metasploit. Trata conceptos para principiantes e intermedios que cualquier persona interesada en el lado ofensivo de la seguridad debe conocer.”

—DAVE CURTIN, CONSULTOR DE SEGURIDAD, LRQA

Copyright © 2025 by David Kennedy, Mati Aharoni, Devon Kearns, Jim O’Gorman and Daniel G. Graham. Title of English-language original: Metasploit: The Penetration Tester’s Guide, 2nd Edition, ISBN 9781718502987 published by No Starch Press Inc. 245 8th Street, San Francisco, California United States 94103. The Spanish-Language 2nd edition Copyright © 2025 by Marcombo, S.L. under license by No Starch Press Inc. All rights reserved.

Segunda edición original publicada en inglés por No Starch Press Inc. con el título Metasploit, ISBN 9781718502987 © David Kennedy, Mati Aharoni, Devon Kearns, Jim O’Gorman y Daniel G. Graham, 2025.

Título de la edición en español: Metasploit

Segunda edición en español, 2025

© 2025 MARCOMBO, S.L. www.marcombo.com

Gran Via de les Corts Catalanes 594, 08007 Barcelona

Contacto: [email protected]

Ilustración de portada: Hugh D’Andrade

Diseño del interior: Octopod Studios

Revisión técnica: Jeremy Miller

Traducción: Sònia Llena

Corrección: Haizea Beitia

Directora de producción: M.a Rosa Castillo

Cualquier forma de reproducción, distribución, comunicación pública o transformación de esta obra solo puede ser realizada con la autorización de sus titulares, salvo excepción prevista por la ley. La presente publicación contiene la opinión del autor y tiene el objetivo de informar de forma precisa y concisa. La elaboración del contenido, aunque se ha trabajado de forma escrupulosa, no puede comportar una responsabilidad específica para el autor ni el editor de los posibles errores o imprecisiones que pudiera contener la presente obra.

ISBN del libro en papel: 978-84-267-4018-2

ISBN del libro electrónico: 978-84-267-4054-0

D.L.: B 9761-2025

Impreso en Servicepoint

Printed in Spain

Acerca de los autores

David Kennedy es el fundador de Binary Defense y TrustedSec y está considerado un líder del sector de la ciberseguridad. Cuando no está dirigiendo sus empresas o compartiendo sus conocimientos en la prensa nacional, se le puede encontrar entre sus pasiones: la salud, los juegos y el fomento del crecimiento de la comunidad de la infoseguridad. En particular, ha trabajado como asesor en la serie de televisión Mr. Robot para proporcionar información sobre la piratería informática en el mundo real a esta serie dramática ganadora de un Emmy.

Su misión en la vida es ayudar a los demás y hacer del mundo un lugar más seguro en el ámbito de la ciberseguridad, lo que le motiva a diario.

Mati Aharoni (Muts) es el fundador de OffSec. Con más de 10 años de experiencia como pentester profesional, Aharoni ha descubierto fallos de seguridad importantes y participa activamente en el ámbito de la seguridad ofensiva.

Devon Kearns es un profesional canadiense de la seguridad de la información. Durante su etapa en Offensive Security, fue cofundador de Exploit Database y Kali Linux, y editor jefe de todo el contenido interno.

Jim O’Gorman es el director de contenidos y estrategia de OffSec, donde se centra principalmente en el desarrollo y la formación del personal cibernético. También dirige el proyecto Kali Linux, la distribución de Linux estándar del sector para tareas de seguridad de la información, y se le puede encontrar en línea en https://elwood.net.

Dr. Daniel G. Graham es catedrático de Informática en la Universidad de Virginia (UVA), donde ha impartido cursos sobre redes informáticas y seguridad de redes. Entre sus intereses de investigación figuran las redes y los sistemas embebidos seguros. Antes de enseñar en la universidad, Graham fue director de programas en Microsoft. Publica en revistas del IEEE relacionadas con sensores y redes.

Acerca del revisor técnico

Jeremy Miller es educador en seguridad de la información. Tiene gran interés en cómo se enseñan y aprenden los conceptos, principios y prácticas de seguridad en todo el sector.

RESUMEN DEL CONTENIDO

Cubierta

Título

Créditos

Resumen del contenido

Índice detallado de contenidos

Prólogo a la primera edición

Agradecimientos

Agradecimientos especiales

Introducción

Capítulo 1: Aspectos básicos de las pruebas de intrusión

Capítulo 2: Aspectos básicos de Metasploit

Capítulo 3: Recopilación de información

Capítulo 4: Análisis de vulnerabilidades

Capítulo 5: El placer de atacar

Capítulo 6: Meterpreter

Capítulo 7: Evitar detecciones

Capítulo 8: Ingeniería social

Capítulo 9: Ataques del lado del cliente

Capítulo 10: Ataques inalámbricos

Capítulo 11: Módulos auxiliares

Capítulo 12: Importar ataques al framework

Capítulo 13: Construir sus propios módulos

Capítulo 14: Crear sus propios ataques

Capítulo 15: Prueba de intrusión simulada

Capítulo 16: Pruebas de intrusión en la nube

Apéndice A: Configurar un entorno de prueba

Apéndice B: Páginas de referencia

Guide

Cover

Resumen Del Contenido

Start

ÍNDICE DETALLADO DE CONTENIDOS

PRÓLOGO A LA PRIMERA EDICIÓN

AGRADECIMIENTOS

AGRADECIMIENTOS ESPECIALES

INTRODUCCIÓN

¿Por qué hacer una prueba de intrusión?

¿Por qué Metasploit?

¿Qué contiene este libro?

Novedades en esta edición

Un apunte sobre ética

1. ASPECTOS BÁSICOS DE LAS PRUEBAS DE INTRUSIÓN

Fases del PTES

Interacciones previas al encargo

Recopilación de información

Modelado de amenazas

Análisis de vulnerabilidades

Ataque

Postataque

Elaboración de informes

Tipos de pruebas de intrusión

Pruebas abiertas

Pruebas encubiertas

Escaneos de vulnerabilidades

Instalación de Kali, Metasploit y Metasploitable

Resumiendo

2. ASPECTOS BÁSICOS DE METASPLOIT

Terminología

Vulnerabilidad

Carga útil

Código shell

Módulo

Receptor

Interfaces de Metasploit

MSFconsole

Scripts de recursos

Armitage y Cobalt Strike

Utilidades de Metasploit

MSFvenom

NASM Shell

Metasploit Pro

Resumiendo

3. RECOPILACIÓN DE INFORMACIÓN

Recopilación de información pasiva

El buscador Whois

Netcraft

Análisis de DNS

Recopilación de información activa

Escaneo de puertos con Nmap

Escaneo de puertos con Metasploit

Escaneos dirigidos

Escaneo para protocolos SMB

A la caza de servidores Microsoft SQL mal configuradas

Buscar Buckets S3

Buscar versiones de servidores SSH

Buscar servidores FTP

Barridos de protocolo simple de gestión de red (SNMP)

Escribir un escáner personalizado

Resumiendo

4. ANÁLISIS DE VULNERABILIDADES

El escaneo básico de vulnerabilidades

Escanear con Nexpose

Configurar Nexpose

Importar informes a Metasploit

Ejecutar Nexpose en MSFconsole

Escanear con Nessus

Configurar Nessus

Crear escaneos

Crear políticas de escaneo

Visualizar informes

Importar los resultados a Metasploit

Escanear con Nessus en Metasploit

Escáneres de vulnerabilidades especializados

Validar inicios de sesión SMB

Buscar escáneres para nuevas vulnerabilidades

Resumiendo

5. EL PLACER DE ATACAR

Ataques básicos

En busca de un ataque

searchsploit

info

Seleccionar un ataque

show payloads

show targets

set y unset

setg y unsetg

save

exploit

Atacar una máquina Windows

Atacar una máquina Ubuntu

Resumiendo

6. METERPRETER

Comprometer una máquina virtual Windows

Escaneo de puertos con Nmap

Fuerza bruta para autenticar el servidor MySQL

Cargar funciones definidas por el usuario

Comandos básicos de Meterpreter

Realizar capturas de pantalla

Buscar información de la plataforma

Captura pulsaciones de teclas

Extraer hashes de contraseñas

Pasar el Hash

Mimikatz y Kiwi

Escalado de privilegios

Técnicas de movimiento lateral

Suplantación del token

Ataques DCSync y Golden Ticket

Otros comandos útiles de Meterpreter

Activar los servicios de escritorio remoto

Visualizar todo el tráfico de un objetivo

Rastrear un sistema

Establecer la persistencia

Manipular las API de Windows con Railgun

Saltar a otros sistemas

Resumiendo

7. EVITAR DETECCIONES

Crear binarios independientes con MSFvenom

Codificar con MSFvenom

Empaquetar ejecutables

Plantillas de ejecutables personalizadas

Lanzar cargas útiles sigilosamente

Módulos de evasión

Desarrollar cargas útiles personalizadas

Generar ejecutables a partir de archivos de Python

Resumiendo

8. INGENIERÍA SOCIAL

Actualizar y configurar el Social-Engineer Toolkit

Ataques Spear-Phishing

Configurar un servidor de correo electrónico

Envío de correo electrónico malicioso

Suplantar la identidad con Gophish

Ataques web

Robo de nombres de usuario y contraseñas

Técnica del tabnabbing

Eludir la autenticación de doble factor

Ataques del tipo Infectious Media Generator

Resumiendo

9. ATAQUES DEL LADO DEL CLIENTE

Ataques basados en navegador

Buscar ataques en Metasploit

Automatizar ataques con AutoPwn2

Buscar los ataques más recientes

Ataques de formato de archivo

Atacar documentos de Word

Enviar cargas útiles

Resumiendo

10. ATAQUES INALÁMBRICOS

Conectarse a adaptadores inalámbricos

Monitorizar el tráfico wifi

Ataques de desautenticación y DoS

Capturar y descifrar

handshakes

Ataques Evil Twin

Analizar el tráfico con Metasploit

Recolectar credenciales con WiFi Pineapple

Resumiendo

11. MÓDULOS AUXILIARES

Conocer los módulos auxiliares

Buscar módulos HTTP

Crear un módulo auxiliar

Escribir el módulo

Ejecutar el módulo

Depurar el módulo

Resumiendo

12. IMPORTAR ATAQUES AL FRAMEWORK

Conceptos básicos del lenguaje ensamblador

Registros EIP y ESP

El conjunto de instrucciones JMP

NOP y NOP slides

Deshabilitar protecciones

Importar desbordamientos de búfer

Desmontar vulnerabilidades existentes

Configurar la definición del ataque

Probar el ataque básico

Implementar características del framework

Añadir aleatoriedad

Eliminar el NOP Slide

Eliminar el código shell ficticio

Importar un ataque de sobreescritura SEH

Resumiendo

13. CONSTRUIR SUS PROPIOS MÓDULOS

Ejecutar comandos en MS SQL

Habilitar procedimiento a nivel de administrador

Ejecutar el módulo

Explorar el código del módulo

Crear un módulo nuevo

Editar un módulo existente

Ejecutar el ataque shell

Definir el ataque

Cargar los scripts de PowerShell

Ejecutar el ataque

Resumiendo

14. CREAR SUS PROPIOS ATAQUES

El arte del fuzzing

Descargar la aplicación de prueba

Escribir el fuzzer

Probar el fuzzer

Controlar el gestor de excepciones estructuradas

Saltarse las restricciones

Obtener una dirección de retorno

Incluir saltos hacia atrás y saltos cercanos

Añadir una carga útil

Caracteres erróneos y ejecución remota de código

Resumiendo

15. PRUEBA DE INTRUSIÓN SIMULADA

Interacciones previas al ataque

Recopilación de información

Modelado de amenazas

El ataque

Ejecutar el ataque

Establecer la persistencia

Postataque

Escanear el sistema Linux

Identificar servicios vulnerables

Atacar Apache Tomcat

Atacar servicios oscuros

Cubrir el rastro

Resumiendo

16. PRUEBAS DE INTRUSIÓN EN LA NUBE

Aspectos básicos de la seguridad en la nube

Gestión de identidades y accesos

Funciones sin servidor

Almacenamiento

Contenedores de Docker

Configurar entornos de prueba en la nube

Adquisición de contenedores

Escapar de los contenedores de Docker

Kubernetes

Resumiendo

A. CONFIGURAR UN ENTORNO DE PRUEBA

x86 y AMD64

ARM y Apple Silicon

Instalar metapaquetes de Kali

B. PÁGINAS DE REFERENCIA

MSFconsole

Meterpreter

MSFvenom

Meterpreter para después del ataque

PRÓLOGO A LA PRIMERA EDICIÓN

La tecnología de la información es un campo complejo plagado de tecnología medio muerta del pasado y una colección cada vez mayor de nuevos sistemas, software y protocolos. La seguridad de las redes empresariales de hoy en día implica algo más que la simple gestión de parches, cortafuegos y formación de los usuarios; requiere una validación frecuente en el mundo real de lo que funciona y lo que falla. En eso consisten las pruebas de intrusión.

Las pruebas de intrusión son un trabajo singularmente desafiante. Le pagan para que piense como un delincuente, utilice tácticas de guerrilla en su beneficio y encuentre los eslabones más débiles de una red de defensas muy intrincada. Las cosas que se encuentran pueden ser sorprendentes e inquietantes; las pruebas de intrusión han descubierto de todo, desde sitios de pornografía fraudulenta hasta fraudes y actividades delictivas a gran escala.

Las pruebas de intrusión consisten en ignorar la percepción que tiene una organización de su seguridad y sondear sus sistemas en busca de puntos débiles. Los datos obtenidos a partir de una prueba de intrusión exitosa suelen descubrir problemas que ninguna revisión de la arquitectura o evaluación de vulnerabilidades sería capaz de identificar. Los hallazgos típicos incluyen contraseñas compartidas, redes interconectadas y montones de datos confidenciales ocultos. Los problemas creados por una administración de sistemas descuidada y una implementación apresurada a menudo plantean amenazas significativas para una organización, mientras que las soluciones languidecen bajo una docena de elementos en la lista de tareas pendientes de un administrador. Las pruebas de intrusión ponen de relieve estas prioridades equivocadas e identifican lo que una organización necesita hacer para defenderse de una intrusión real.

Los especialistas en pruebas de intrusión manejan los recursos más delicados de una empresa: acceden a áreas que pueden tener consecuencias nefastas en el mundo real si se toman las medidas equivocadas. Un solo paquete mal colocado puede paralizar una fábrica, con un coste que se mide en millones de dólares por hora. No avisar al personal adecuado puede dar lugar a una conversación incómoda y embarazosa con la policía local. Los sistemas médicos son un área que incluso los profesionales de la seguridad más experimentados pueden dudar en probar; nadie quiere ser responsable de confundir el grupo sanguíneo de un paciente en un mainframe OpenVMS o de corromper la memoria de una máquina de rayos X con Windows XP. Los sistemas más críticos son a menudo los más expuestos, y pocos administradores de sistemas quieren arriesgarse a una interrupción de servicio haciendo caer un servidor de base de datos para aplicar un parche de seguridad.

Equilibrar el uso de las vías de ataque disponibles y el riesgo de causar daños es una habilidad que todos los especialistas en pruebas de intrusión deben perfeccionar. Este proceso depende no solo de un conocimiento técnico de las herramientas y técnicas, sino también de una sólida comprensión del funcionamiento de la organización y de dónde puede estar el camino de menor resistencia.

En este libro, verá las pruebas de intrusión a través de los ojos de cinco profesionales de la seguridad con trayectorias muy divergentes. Entre los autores hay gente con experiencia en lo más alto de la estructura de seguridad corporativa hasta llegar al Salvaje Oeste del desarrollo clandestino de ataques y la investigación de vulnerabilidades. Existen numerosos libros sobre pruebas de intrusión y evaluaciones de seguridad, y muchos de ellos se centran exclusivamente en las herramientas. Este libro, sin embargo, busca un equilibrio entre ambos, cubriendo las herramientas y técnicas fundamentales al tiempo que explica cómo se integran en la estructura general de un proceso de prueba de intrusión exitoso. Los pentesters experimentados se beneficiarán de la discusión de la metodología, que se basa en el Estándar de Ejecución de Pruebas de Penetración. Los lectores que se inicien en este campo recibirán abundante información no solo sobre cómo empezar, sino también sobre por qué son importantes esos pasos y qué significan en el panorama general.

Este libro se centra en el framework de Metasploit. Esta plataforma de código abierto proporciona una biblioteca consistente y fiable de ataques constantemente actualizados y ofrece un entorno de desarrollo completo para crear nuevas herramientas y automatizar todos los aspectos de una prueba de intrusión. El framework de Metasploit es un proyecto infamemente volátil; el código base se actualiza docenas de veces cada día por un grupo central de desarrolladores y gracias a envíos de cientos de colaboradores de la comunidad. Escribir un libro sobre este framework es una tarea masoquista; para cuando se corrige un capítulo determinado, el contenido puede estar ya desfasado. Los autores se han enfrentado a la hercúlea tarea de escribir este libro de forma que su contenido siga siendo aplicable cuando llegue a los lectores.

El equipo de Metasploit ha estado involucrado en este libro para asegurarse de que los cambios en el código se reflejan con precisión y que el resultado final es lo más cercano a la cobertura de día cero del framework de Metasploit. Podemos afirmar con plena confianza que es la mejor guía de este framework disponible en la actualidad, y probablemente lo seguirá siendo durante mucho tiempo. Esperamos que encuentre este libro valioso en su trabajo y una excelente referencia en sus futuras pruebas.

H. D. MooreFundador del Proyecto de Metasploit

AGRADECIMIENTOS

Nos gustaría dar las gracias a varias personas, empezando por la gente cuyo gran trabajo proporciona a la comunidad una herramienta de valor incalculable. Un agradecimiento especial al equipo de Metasploit: H. D. Moore, James Lee, David D. Rude II, Tod Beardsley, Jonathan Cran, Stephen Fewer, Joshua Drake, Mario Ceballos, Ramon Valle, Patrick Webster, Efrain Torres, Alexandre Maloteaux, Wei Chen, Steve Tornio, Nathan Keltner, Chris Gates, Carlos Perez, Matt Weeks y Raphael Mudge. Gracias también a Carlos Pérez por su ayuda en la redacción de partes del capítulo sobre scripts de Meterpreter.

Muchas gracias a Jeremy Miller y Scott White, revisores técnicos de este libro, por ser increíbles. Gracias a Kelsey Segrue y Scott Nusbaum por su revisión de la segunda edición.

Gracias a Offensive Security por reunirnos a todos. La frase característica de Offensive Security “Esfuérzate más” nos inspira y tortura a partes iguales (ryujin es malvado).

AGRADECIMIENTOS ESPECIALES

Dave (X @dave_rel1k): Dedico mi trabajo en este libro a mi amada esposa, Erin, que toleró que me pasara las noches aporreando el teclado. A mis tres hijos, que me mantienen joven y viejo al mismo tiempo. A mi padre, Jim; a mi madre, Janna, y a mi madrastra, Deb, por estar a mi lado y hacer de mí lo que soy hoy. Gracias a Jim, Dookie y Muts por su duro trabajo en el libro y por ser grandes amigos. Gracias a Scott Nusbaum y Kelsey Segrue por sus ediciones. A mis buenos amigos de Offensive Security, Chris “Logan” Hadnagy, mi hermano Shawn Sullivan y mi equipo de Diebold. A mi buen amigo H. D. Moore, cuya dedicación a la industria de la seguridad es una inspiración para todos nosotros. A todos mis amigos de la vida y a Scott Angelo por darme una oportunidad y creer en mí. Por último, a Dios, sin el cual nada de esto sería posible.

Muts (@backtracklinux): Un agradecimiento especial a los coautores de este libro, cuyo tiempo y dedicación son realmente inspiradores. Cuento con Jim, Devon y Dave como grandes amigos y colegas en el campo de la seguridad.

Devon (@dookie2000ca): A mi bella y tolerante esposa, que no solo apoya, sino que alienta mis manías. Eres mi inspiración y mi motivación; sin ti a mi lado en este trabajo nunca llegaría a ninguna parte. A mis coautores, gracias por confiar en un recién llegado y acogerme como a uno más. Por último, un agradecimiento especial a Mati, no solo por reunir a esta alegre banda, sino también por darme una oportunidad.

Jim (@[email protected]): Quiero dar las gracias a todos los miembros actuales y anteriores del equipo OffSec. Con más de una década juntos, hemos hecho y logrado más de lo que creo que cualquiera de nosotros podría haber imaginado. Un agradecimiento especial a mi familia por apoyarme siempre. Mis coautores son todos personas increíbles con las que ha sido un privilegio trabajar. Y a No Starch Press por ser el mejor socio posible, con el que nadie podría imaginar trabajar en un libro como este.

Daniel (@Prof_DanG): Quiero dar las gracias a mi mujer, Shea, y a nuestra preciosa hija. Que sepáis que os quiero mucho. Gracias a mis coautores por contratarme para la segunda edición. Por último, un agradecimiento especial a Frances, Sydney, Audrey y Bill de No Starch Press.

INTRODUCCIÓN

Imagine que un día, en un futuro no muy lejano, un peligroso individuo decide atacar los activos digitales de una empresa multinacional para hacerse con millones de dólares de propiedad intelectual ocultos tras millones de dólares en infraestructuras. Naturalmente, lo primero que hará ese atacante será activar la última versión de Metasploit.

Tras explorar el perímetro de su objetivo, encuentra un punto débil y empieza una serie metódica de ataques, poniendo en peligro casi todos los aspectos de la red. Después, navega por el sistema, identificando los principales componentes que permiten que la empresa funcione. Con solo pulsar una tecla, podría comprometer todos los datos confidenciales de la empresa...

Curiosamente, los detectores de intrusiones actuales a menudo deben ponerse en el papel de un adversario ficticio como el que acabamos de describir y realizar ataques legales a petición de empresas que necesitan altos niveles de seguridad. Bienvenidos al mundo de las pruebas de intrusión y al futuro de la seguridad.

¿Por qué hacer una prueba de intrusión?

Las empresas invierten millones de dólares en programas de seguridad para proteger infraestructuras críticas, identificar grietas en el blindaje y prevenir violaciones graves de datos. La detección de intrusiones es una de las formas más eficaces de identificar debilidades y deficiencias sistémicas en estos programas. Al intentar eludir los controles de seguridad y sortear los mecanismos de seguridad, un detector de intrusiones es capaz de identificar las formas en que un hacker podría poner en peligro la seguridad de una organización y dañarla en su conjunto.

Cuando lea este libro, recuerde que el objetivo no es necesariamente uno o varios sistemas, sino mostrar, de forma segura y controlada, cómo un atacante podría causar graves daños a una organización y afectar a su capacidad para, entre otras cosas, generar ingresos, mantener la reputación y proteger a sus clientes.

¿Por qué Metasploit?

Metasploit no es solo una herramienta; es un framework completo que proporciona la infraestructura necesaria para automatizar tareas complejas y rutinarias. Esta automatización permite concentrarse en los aspectos especializados de las pruebas de intrusión e identificar fallos en el programa de seguridad de la información.

H. D. Moore desarrolló Metasploit al darse cuenta de que pasaba la mayor parte del tiempo en su trabajo de seguridad validando y saneando código de ataques públicos. Comenzó a trabajar en un framework flexible para la creación y desarrollo de ataques y, en octubre de 2003, lanzó su primera edición de Metasploit basada en Perl, con un total de 11 ataques. Posteriormente, el equipo de Metasploit migró el framework de Perl a Ruby, donde tuvo una gran acogida por parte de la comunidad de seguridad y un gran aumento de las contribuciones de los usuarios. Más tarde, Rapid7, líder en el campo del análisis de vulnerabilidades, lo adquirió.

Dos décadas después de su primer lanzamiento, Metasploit incluye más de 2400 módulos de ataques, así como miles de otros módulos para tareas previas y posteriores a dichos ataques. A medida que avance por este libro y establezca una metodología equilibrada, empezará a entender las muchas maneras en que podría utilizar Metasploit en sus pruebas de intrusión. Metasploit le permite construir fácilmente vectores para aumentar sus ataques, cargas útiles, codificadores y más con el fin de crear y ejecutar ataques avanzados. En algunas partes del libro, trataremos herramientas de terceros (incluyendo algunas escritas por los autores de este libro) que se basan en el framework de Metasploit. Al final, el framework debería resultarle familiar y usted debería entender los ataques avanzados y ser capaz de aplicar estas técnicas de forma responsable. ¡Que empiece el juego!

¿Qué contiene este libro?

Este libro pretende mostrarle los fundamentos de este framework, así como técnicas avanzadas para atacar. Nuestro objetivo es proporcionar un tutorial útil para principiantes y una referencia para los profesionales. Sin embargo, no siempre le llevaremos de la mano. Tener conocimientos de programación es una enorme ventaja en las pruebas de intrusión, y muchos de los ejemplos de este libro utilizan el lenguaje de programación Ruby o Python. Sin embargo, aunque es recomendable que conozca algún lenguaje para ayudarle en los ataques avanzados y su personalización, no es necesario tener conocimientos de programación.

A medida que se vaya familiarizando con Metasploit, verá que el framework se actualiza frecuentemente con nuevas características, vulnerabilidades y ataques. Hemos elaborado este libro sabiendo que Metasploit está cambiando continuamente y ningún libro impreso puede mantener el ritmo de este rápido desarrollo. Por lo tanto, nos centramos en los fundamentos, porque en cuanto entienda cómo funciona Metasploit, será capaz de adaptarse rápidamente a las actualizaciones.

NOTA

La configuración de los entornos de prueba, detallada en el Apéndice A, no funciona en ordenadores Mac que utilicen chips Apple Silicon. Dicho apéndice proporciona opciones para una configuración aproximada mediante contenedores de Docker o realizando las actividades del capítulo en un entorno en línea.

¿Cómo puede ayudarle este libro a llevar sus habilidades al siguiente nivel? Cada capítulo se basa en el anterior para así desarrollar sus habilidades como detector de intrusiones desde el principio:

Capítulo 1: Aspectos básicos de las pruebas de intrusión. Establece las metodologías de las pruebas de intrusión.

Capítulo 2: Aspectos básicos de Metasploit. Presenta las distintas herramientas incluidas en el framework Metasploit.

Capítulo 3: Recopilación de información. Muestra cómo aprovechar Metasploit en la fase de reconocimiento de una prueba de intrusión.

Capítulo 4: Análisis de vulnerabilidades. Guía a través de la identificación de vulnerabilidades y el aprovechamiento de la tecnología de exploración de vulnerabilidades.

Capítulo 5: El placer de atacar. Presenta el ataque y los módulos de ataque del framework.

Capítulo 6: Meterpreter. Describe Meterpreter, la navaja suiza del postataque.

Capítulo 7: Evitar detecciones. Se centra en los conceptos subyacentes de las técnicas de evasión de antivirus que ayudan a los ataques a eludir la detección.

Capítulo 8: Ingeniería social. Le enseña a aprovechar los ataques de ingeniería social en sus pruebas de intrusión.

Capítulo 9: Ataques del lado del cliente. Trata los ataques del lado del cliente y fallos del navegador.

Capítulo 10: Ataques inalámbricos. Muestra cómo aprovechar las herramientas y los módulos de Metasploit para ataques inalámbricos.

Capítulo 11: Módulos auxiliares. Guía por los módulos auxiliares de Metasploit para tareas como escaneo de puertos, fuerza bruta, etc.

Capítulo 12: Importar ataques al framework. Examina cómo convertir los ataques existentes en módulos basados en Metasploit.

Capítulo 13: Construir sus propios módulos. Le enseña a crear su propio módulo de ataque.

Capítulo 14: Crear sus propios ataques. Trata el fuzzing y el desarrollo de ataques a partir de desbordamientos de búfer.

Capítulo 15: Prueba de intrusión simulada. Reúne material de capítulos anteriores mientras simula una prueba de intrusión.

Capítulo 16: Pruebas de intrusión en la nube. Presenta el ataque de entornos en la nube.

Apéndice A: Configurar un entorno de prueba. Configura las máquinas atacante y objetivo utilizadas en los ejemplos del libro.

Apéndice B: Páginas de referencia. Enumera los comandos y la sintaxis más utilizados en el framework de Metasploit.

Si desea conocer a otros lectores, únase al canal de Discord de este libro, donde puede formular preguntas y ayudar a otros con sus respuestas. Visite https://nostarch.com/metasploit-2nd-edition y pulse en Join the Book’s Discord.

Novedades en esta edición

Hemos actualizado por completo esta edición para reflejar la experiencia de uso de Metasploit en la tercera década del siglo XXI. Aquí, encontrará los módulos, las técnicas y las superficies de ataque más recientes, así como:

Hackeo en la nube. Esta edición cuenta con un nuevo capítulo sobre el hackeo de entornos en la nube, que incluye técnicas de escalada de privilegios y derivaciones de contenedores Docker.

Técnicas de evasión. Hemos introducido estrategias para crear binarios que pueden evadir los sistemas antivirus, incluyendo la creación de plantillas personalizadas para consolas inversas de MSFvenom y el uso de los módulos de evasión incorporados en el framework de Metasploit.

Generación de documentos maliciosos. Esta edición trata la generación de documentos Word y PDF maliciosos con Metasploit, adaptados para ataques del lado del cliente.

Ingeniería social y phishing. Hablamos sobre el uso de herramientas como Evilginx en ataques de phishing para eludir ciertos métodos de autenticación de dos factores, así como del despliegue de dispositivos USB HID, como el Rubber Ducky y el cable O.MG, para la entrega de carga útil.

Ataques por Wi-Fi. Hemos añadido contenido sobre el uso de herramientas Wi-Fi como Wi-Fi Pineapple para ejecutar ataques Evil Twin y el adaptador Alfa para monitorizar y crackear redes Wi-Fi e interrumpir conexiones de clientes. También explicamos cómo enviar un archivo APK malicioso a un dispositivo móvil.

Ataques contra Active Directory. Exploramos técnicas como los ataques DCSync y Golden Ticket.

Un apunte sobre ética

El objetivo de este libro es ayudarle a mejorar sus habilidades como pentester. En el proceso, se saltará medidas de seguridad; eso es simplemente parte del trabajo. Cuando lo haga, tenga en cuenta lo siguiente:

• No sea malicioso.

• No sea estúpido.

• No ataque objetivos sin una autorización escrita.

• Piense en las consecuencias de sus acciones.

• Si hace algo ilegal, pueden pillarle y encerrarle en prisión.

Los autores de este libro y el editor, No Starch Press, no aprueban ni fomentan el uso indebido de las técnicas de pruebas de intrusión tratadas. Nuestro objetivo es hacerle más inteligente, no ayudarle a meterse en problemas (porque no estaremos ahí para sacarlo).

1

ASPECTOS BÁSICOS DE LAS PRUEBAS DE INTRUSIÓN

Las pruebas de intrusión son una forma de simular los métodos que podría utilizar un atacante para eludir los controles de seguridad y acceder a los sistemas de una organización. Implica algo más que ejecutar escaneos y herramientas automatizadas y, luego, redactar un informe. Y no se convertirá en un experto en pruebas de intrusión de la noche a la mañana; se necesitan años de práctica y experiencia en el mundo real para llegar a ser competente.

A lo largo de los años, el estándar de ejecución de pruebas de intrusión (PTES, del inglés Penetration Testing Execution Standard) ha redefinido la industria de la seguridad mediante la estandarización de términos y metodologías, y varios miembros destacados de la comunidad de seguridad lo han adoptado para establecer una línea base para sus pruebas. Este capítulo esboza los principios fundamentales del PTES.

Fases del PTES

Las fases del PTES definen una prueba de intrusión. También garantizan a la organización cliente que quien realice este tipo de evaluación dedicará un nivel de esfuerzo coherente. La norma se divide en siete categorías, con diferentes niveles de trabajo para cada una, según la organización atacada.

Interacciones previas al encargo

Las interacciones previas al encargo suelen producirse cuando se habla con el cliente sobre el alcance y las condiciones de la prueba de intrusión. Durante esta fase, es fundamental que se transmitan los objetivos del encargo. Esta etapa también es una oportunidad para mostrar al cliente lo que debe esperar de una prueba de intrusión completa y exhaustiva: una prueba sin restricciones con respecto a lo que se puede probar durante el proceso.

Recopilación de información

En la fase de recopilación de información, utilizará las redes sociales, Google hacking, footprinting y otros métodos para reunir toda la información que pueda sobre la organización que está atacando. Una de las habilidades más importantes que puede tener un especialista en pruebas de intrusión es la capacidad de aprender sobre un objetivo, incluido cómo se comporta, cómo funciona y, en última instancia, cómo puede ser atacado.

Durante la recopilación de información, se intenta identificar qué mecanismos de protección tiene el objetivo sondeando lentamente sus sistemas. Por ejemplo, una organización suele permitir el tráfico solo en un determinado subconjunto de puertos en los dispositivos hacia el exterior, y si usted consulta a la organización en cualquier cosa que no sea un puerto permitido en la lista, será bloqueado. Generalmente es una buena idea probar este comportamiento de bloqueo sondeando inicialmente desde una dirección IP prescindible que se pueda bloquear o detectar. Lo mismo ocurre en las pruebas de aplicaciones web. A partir de cierto umbral, los cortafuegos de aplicaciones web le bloquearán para que no pueda realizar más peticiones.

Para pasar desapercibido, puede realizar sus exploraciones iniciales desde rangos de direcciones IP que no puedan vincularse a usted ni a su equipo. Por lo general, las organizaciones con presencia externa en Internet sufren ataques todos los días, y es probable que el sondeo inicial pase desapercibido entre el ruido de fondo.

En algunos casos, puede tener sentido ejecutar escaneos muy ruidosos desde un rango de IP completamente diferente al que utilizará para el ataque principal. Esto le ayudará a determinar cómo responde la organización a las herramientas que está utilizando.

Modelado de amenazas

El modelado de amenazas utiliza la información adquirida en la fase de recopilación para identificar cualquier vulnerabilidad existente en un sistema objetivo. Con el modelado de amenazas, podrá determinar el método de ataque más eficaz, el tipo de información que busca y cómo podría ser atacada la organización. El modelado de amenazas implica considerar a una organización como un adversario e intentar explotar los puntos débiles como lo haría un atacante.

Análisis de vulnerabilidades

Una vez identificados los métodos de ataque más viables, el siguiente paso es pensar cómo se accederá al objetivo. Durante el análisis de vulnerabilidades, se combina la información adquirida en las fases anteriores y se utiliza para comprender qué ataques podrían ser viables. Entre otras cosas, el análisis de vulnerabilidades evalúa los escaneos de puertos y vulnerabilidades, los datos recopilados mediante la captura de banners y la información recogida durante la fase de recopilación.

Ataque

Probablemente, el ataque es una de las partes más glamurosas de una prueba de intrusión, pues suele llevarse a cabo a lo bruto en vez de con precisión. Un ataque solo debe realizarse cuando se sabe casi a ciencia cierta que tendrá éxito. Por supuesto, pueden existir medidas de protección imprevistas en el objetivo que impidan que un determinado ataque funcione.