En este nuevo tutorial de Metasploit vamos a instalar y configurar Metasploit en Kali Linux y la máquina virtual de Metasploitable 2 en VMware Player. Metasploit es una de las herramientas de pruebas de penetración más populares y mejor valoradas del mercado y está diseñada para realizar pruebas de penetración, evaluaciones de vulnerabilidad y desarrollar y ejecutar código de explotación contra objetivos remotos. Metasploit es un proyecto de código abierto disponible en una versión gratuita de Metasploit Framework y de la comunidad y hay una versión pro de pago que incluso contiene más características. Metasploit tiene varias interfaces de usuario, tanto de línea de comandos como gráficas. Armitage es la herramienta gráfica de gestión de ataques que visualiza los objetivos y recomienda exploits para las vulnerabilidades conocidas. En este tutorial y en los siguientes, utilizaremos la edición gratuita del framework Metasploit que viene instalada por defecto en la última versión de Kali Linux. Si no tienes o tienes poca experiencia con las líneas de comando y Metasploit te recomendamos que leas también los tutoriales de comandos de Metasploit.
Cuando necesitas aprender a nadar necesitas una piscina y cuando necesitas aprender a hackear necesitas máquinas vulnerables para practicar. Metasploitable 2 es esa piscina que los hackers éticos pueden utilizar para aprender sobre hacking ético sin infringir ninguna ley ni reglamento ni la necesidad de utilizar las redes de producción como laboratorio. Metasploitable 2 es una máquina Linux intencionalmente vulnerable que puede ser descargada y configurada como una máquina virtual en cualquier hipervisor como VMware Player y Virtual box. En el tutorial de Metasploitable 2 configuraremos la máquina Linux vulnerable en VMware Player. En los próximos tutoriales usaremos la máquina virtual de Metasploitable 2 para practicar y guiarte en el proceso de hackeo usando Metasploit en Kali Linux.
¿Quieres practicar también en máquinas Windows? Echa un vistazo a nuestro tutorial de instalación de Metasploitable 3 y aprende a instalarlo en Windows 10 y Virtual Box.
Cómo configurar Metasploit en Kali Linux 2016 Rolling
Cuando estés ejecutando la última versión de Kali Linux, que actualmente es la edición rolling 2016, sólo tienes que hacer clic en el icono de Metasploit en el dock. Esto iniciará el servicio PostrgreSQL, el servicio Metasploit y msfconsole automáticamente. Cuando se inicia Metasploit por primera vez, se instalará y configurará la base de datos de Metasploit.
Configuración de Metasploit en Kali Linux antes de 2016 Rolling edition
Para utilizar Metasploit en cualquier versión de Kali Linux antes de 2016.01 Rolling edition hay que hacer 3 cosas:
- Iniciar el servicio Kali PostgreSQL.
- Iniciar el servicio Kali Metasploit.
- Iniciar la msfconsole.
Para iniciar el servicio PostgreSQL debemos emitir el siguiente comando en la terminal:
service postgresql start
A continuación, utilice el siguiente comando para iniciar el servicio Metasploit:
service metasploit start
Y el siguiente comando para iniciar msfconsole:
msfconsole
Ahora usa el siguiente comando para comprobar si hay conexión a la base de datos:
msf > db_status
Si quieres iniciar el servicio de PostgreSQL y Metasploit en el momento del arranque debes editar el archivo update-rc.d utilizando los siguientes comandos:
update-rc.d postgresql enable
update-rc.d metasploit enable
Instalación y configuración de Metasploitable 2
Primero necesitamos descargar la máquina virtual de Metasploitable 2 que contiene la máquina anfitriona vulnerable en la que practicaremos en los próximos tutoriales. Asegúrate de tener suficientes recursos en tu sistema anfitrión para instalar y ejecutar la máquina virtual. Necesitas tener al menos 10 gigabytes de espacio de almacenamiento y suficiente RAM para tu sistema anfitrión, el anfitrión Metasploitable y Kali linux si estás ejecutando Kali en una VM en el mismo anfitrión. La descarga de Metasploitable 2 está disponible en Sourceforge usando el siguiente enlace:
https://sourceforge.net/projects/metasploitable/files/Metasploitable2/
Después de descomprimir el archivo ZIP descargado tienes que abrir la máquina virtual desde VMWare Player:
Busca la carpeta donde has descomprimido la imagen de Metasploitable 2 y añádela a tu lista de VM seleccionando el archivo .vmx. La nueva VM aparecerá en la lista de la izquierda de la ventana y se llamará Metasploitable2-Linux. No necesitamos cambiar la configuración de la Máquina Virtual, así que podemos iniciar la VM de inmediato seleccionando la nueva VM y haciendo clic en «Reproducir Máquina Virtual»:
VMWare played podría preguntarte si has copiado o movido la Máquina Virtual, haz clic en el botón copiado para continuar. Metasploitable 2 se configurará y le presentará una pantalla de inicio de sesión como la siguiente:
Inicie sesión en la máquina virtual utilizando las siguientes credenciales:
Nombre de usuario: msfadmin
Contraseña: msfadmin
Ahora que nuestra máquina Linux vulnerable se está ejecutando y podemos escribir el comando ifconfig para recuperar la dirección IP de la máquina virtual Metasploitable 2:
msfadmin@metasploitable:~$ ifconfig
La dirección IP aparecerá en el adaptador de red eth0 de la siguiente manera:
Hasta aquí hemos terminado de configurar la máquina virtual vulnerable y podemos volver a Kali Linux para ejecutar algunos escaneos en el host vulnerable para determinar los puertos abiertos y los servicios en ejecución.
Si no estás familiarizado con la interfaz de línea de comandos de Metasploit y la MSFConsole en este punto del tutorial te recomiendo que leas primero el tutorial de comandos básicos de Metasploit antes de continuar.
¿Estás preparado para explotar diferentes vulnerabilidades y root Metasploitable 2? Sigue cualquiera de estos tutoriales:
Hacking Unreal IRCd 3.2.8.1 on Metasploitable 2
Exploiting VSFTPD v2.3.4 on Metasploitable 2