468x60 Ads


miércoles, 9 de octubre de 2013

Wmap Web Scanner Metasploit

7:34  Unknown  No comments

Wmap Web Scanner Metasploit 

Es un framework para ejecutar escaneos contra aplicaciones Web, diseñado para ser utilizado como un plugin de Metasploit Framework, cuenta con una arquitectura simple y no obstante sumamente potente en comparación con otras alternativas open source o comerciales que se encuentran actualmente en el mercado, la simplicidad de este plugin radica en que no depende de ningún navegador web o motor de búsqueda para capturar datos y manipularlos.

Las dependencias que se deben instalar antes de proceder con la ejecución del plugin en un sistema Debian/Ubuntu son:

sudo apt-get install libxml-ruby
sudo apt-get install libxml2-dev
sudo apt-get install libxslt-dev
sudo apt-get install libnokogiri-ruby
gem install libxslt-ruby
gem install msgpack
PostgreSQL

Lo primero que haremos será crear una nueva base de datos para almacenar los resultados de análicis.

stuxnet@stuxnet:~$ sudo su postgres
[sudo] password for stuxnet: 
postgres@stuxnet:/home/stuxnet$ createuser metasploit -P
Enter password for new role: 
Enter it again: 
Shall the new role be a superuser? (y/n) y
postgres@stuxnet:/home/stuxnet$ createdb --owner=metasploit metasploit


Luego en una terminal tecleamos lo siguiente:

sudo /etc/init.d/./postgresql start

Luego de haber creado la base de datos abriremos una consola del metasploit y tecleamos.

msf > db_connect metasploit:metasploit@127.0.0.1:5432/metasploit

Donde:

User: metasploit     ( reemplazar por su user )
Passwd: metasploit ( reemplazar por su password )

Luego de haber creado la base de datos cargaremos WMAP.

msf > load wmap


Una vez realizado esto vamos añadir una nueva el target (sitio) seguido de la IP. 

msf > wmap_sites -a www.twitter.com,199.59.148.10

Luego comprobramos si fue agregado correctamente.

msf > wmap_sites -l


Luego procedemos a covertirlo a objetivo ( Target )

msf > wmap_sites -s 0 1
msf > wmap_targets -t www.twitter.com,199.59.148.10
msf > set DOMIAN www.twitter.com
msf > wmap_targets  -l


Luego procedemos a lanzar los módulos de explotacion que serán cargados.

msf > wmap_run -t


Una vez cargados los módulos procedemos a lanzarlos al sitio de destino para realizar el test de seguridad.

msf > wmap_run -e

Una vez que toda la exploracion termine vamos a comprobar si encontramos alguna vulnerabilidad.

msf > hosts -c address,svcs,vulns


StuxnetPosted By César Calderón

Amante de todo lo relacionado con la informática, GNU/Linux, Programador, Geek. Las organizaciones gastan millones de dólares en firewalls y dispositivos de seguridad, pero tiran el dinero porque ninguna de estas medidas cubre el eslabón más débil de la cadena de seguridad: la gente que usa y administra los ordenadores.

Publicado por bt4u en 7:34

0 comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)