Si estás empezando en ciberseguridad y concretamente en hacking ético, o simplemente te interesa saber qué herramientas son las más utilizadas por los expertos ¡sigue leyendo! Vamos a dar un repaso a las herramientas más famosas y utilizadas por los auditores, que debes conocer, y que puedes usar para practicar en ejercicios hack the box.
Antes de continuar te dejo a continuación una entrada, por si fuera de tu interés, con las salidas más relevantes que tiene este rama de la informática.
por si acaso te lo perdiste…
NMAP (ESCÁNER DE PUERTOS)
Es una de las herramientas más famosas y utilizadas sobre todo en la primera fase de recolección de datos o reconocimiento. Esta genial herramienta multiplataforma permite escanear un host para buscar puertos abiertos y posibles vulnerabilidades asociadas al puerto. La identificación de una vulnerabilidad en un puerto proporciona al atacante un excelente vector de ataque que, con suerte y pericia, puede hacer que la máquina sea comprometida.
Es una herramienta muy flexible con multitud de opciones para realizar el escáner. Para que pruebes de lo que es capaz, te dejo a continuación una hoja con los comandos más utilizados para nmap creada por el prestigioso instituto SANS.
BURP SUITE y wireshark (análisis de la red)
Al igual que Nmap estas dos herramientas se utilizan en fases tempranas donde se quiere recabar información y analizar el entorno con el objetivo de encontrar vulnerabilidades. La diferencia es que estas dos herramientas se centran en la red.
Burp Suite es una herramienta que te permite analizar el tráfico de una red. Es una de los analizadores de tráfico que más opciones te ofrece para realizar este tipo de análisis. Para el análisis de los paquetes de red Burp suite te ofrece un proxy por el que hacer pasar todo el tráfico. La herramienta incluye un apartado de análisis de vulnerabilidades para el tráfico web con el que podrás encontrar vulnerabilidades XSS o Inyecciones de SQL. También tiene otras opciones como: repetir, analizar y modificar peticiones y respuestas HTTP y automatizar pruebas. Burp Suite tiene una modalidad de pago y otra gratuita llamada Community Edition.
Al igual que Burp Suite, Wireshark es una herramienta de análisis de tráfico similar. La principal ventaja es que Wireshark es completamente gratuita y dispone de una enorme comunidad de usuarios en la que puedes encontrar toda la documentación necesaria para empezar a «trastear» con fragmentos del tráfico de una red. La desventaja es que no es tan completa y no incluye un apartado de análisis de vulnerabilidades y tampoco es tan flexible a la hora de hacer pruebas o modificar los paquetes de red.
Zed Attack Proxy (ESCÁNER DE VULNERABILIDADES WEB)
Esta herramienta por la prestigiosa Fundación OWASP, simplifica muchísimo el trabajo a los auditores que quieran analizar la seguridad de un sitio web. Zed Attack Proxy es una herramienta gratuita y muy sencilla de usar. Dentro de la aplicación puedes encontrar multitud de extensiones con las que puedes realizar ataques bastante complejos. Entre los plugin disponibles existe varios para atacar portales web de login, permitiendo hacer de manera automatizada ataques de inyección SQL. Pero no solo se encuentran ataques clásicos, también puedes encontrar plugin para vulnerabilidades recientes como Log4j.
Es una de mis favoritas para empezar a aprender en la seguridad web. Con solo un botón puedes descubrir vulnerabilidades básicas en cualquier web publicada. Además, es muy educativa puesto que te explica con detalle el efecto de cada vulnerabilidad encontrada.
Esta herramienta es bastante potente y te permite, con un poco de dedicación y tunning, detectar vulnerabilidades escondidas en muchas web conocidas.
SQLMAP (ESCÁNER DE VULNERABILIDADES DE BASES DE DATOS)
No podía faltar en esta lista todo un clásico de las auditorías de bases de datos: sqlmap. Esta herramienta es compatible con más de 20 bases de datos relacionales entre las que incluye Oracle SQL, MySQL, PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, MariaDB o Amazon Redshift.
El objetivo de sqlmap es comprobar que la base de datos está bien protegida frente a ataques de inyección SQL. Si consigues explotar una base de datos vulnerable con esta herramientas podrás enumerar fácilmente los usuarios y sus privilegios, los hashes de las contraseñas, hacer fuerza bruta contra los hash, dumpear tablas o cualquier archivo de la base de datos, o escalar privilegios con la ayuda de Metasploit’s Meterpreter.
Existe una comunidad muy grande de usuarios que han generado muchas guía y tutoriales para usar esta herramienta.
Te dejo a continuación una chuleta con los comandos básicos para usar esta herramienta que seguro pondrá entre las cuerdas a tu base de datos de producción 😉
nessus (escáner de vulnerabilidades)
Nessus es una de las herramientas más usadas y famosas dentro del hacking ético, ya que facilita mucho el trabajo de un auditor, automatizando la búsqueda de vulnerabilidades para perder el menor tiempo posible en detectar fallos de seguridad. Nessus tiene una interfaz muy intuitiva y amigable con el usuario, y se nota desde el primer momento que es una herramienta comercial muy completa.
Pretende ser práctica y complicar el trabajo lo menos posible. Nessus también trae una herramienta para exportar los resultados del escáner a PDF u otros formatos similares para que puedas adjuntarlos a tu informe.
Podemos decir que es toda una suite de trabajo para auditores. Esta herramienta tiene dos modalidades una gratuita llamada Essentials y otra de pago orientada a empresas llamada Professional, que puedes probar con una demo de 7 días.
Existen alternativas muy famosas a Nessus como OpenVas que también tiene una versión gratuita. De cara al aprendizaje Nessus omite todo el proceso de detección de vulnerabilidades a bajo nivel, podrás detectar vulnerabilidades, pero no te muestra la esencia del ataque.
METASPLOIT, ARMITAGE Y COBALT STRIKE (explotación de vulnerabilidades)
Yo creo que junto a Nmap, Metasploit es la herramienta más conocidas por los amateurs del hacking ético. Es una herramienta que tiene una base de datos con multitud de exploits con vulnerabilidades de cualquier software.
Esta herramienta facilita muchísimo el trabajo de encontrar vulnerabilidades porque no es necesario trabajar a bajo nivel para explotar errores. Metasploit automatiza ese trabajo siendo muy sencillo analizar y explotar algún defecto de software. Existe muchísima documentación gratuita para aprender a usar Metasploit, por lo que no te será difícil aprender a usar esta herramienta.
Armitage es otra herramienta que proporciona una capa visual gratuita para usar Metasploit. Con este software podrás usar Metasploit sin la necesidad de utilizarlo con comandos, todo se hace de forma visual. Esto facilita aún más su uso para las personas que no están familiarizados con la terminal de Metsasploit y están aprendiendo.
Cobalt Strike es otra capa visual para Metasploit con la diferencia sobre Armitage que es de pago. Esta herramienta es claramente una versión mejorada de Armitage que permite hacer lo mismo, pero con más funcionalidades llegando incluso a incorporar otras herramientas para mejorar su practicidad, como Mimikatz.
JONH THE RIPPER y hashcat (FUERZA BRUTA CONTRA CONTRASEÑAS)
Antes de usar estas dos herramientas has debido de hacerte con algunos cuantos hashes de contraseñas. Si es tu caso te presento a dos buenos amigos:
John The Ripper es una herramienta veterana que lleva desde 1996 crackeando contraseñas. Es una herramienta de código abierto y multiplataforma que permite, dado un diccionario, romper contraseñas por fuerza bruta. Sobre esta herramienta existe muchísima documentación por lo que no te va a costar dominarla.
Hashcat es bastante más moderna (2015) al igual que la anterior es de código abierto y multiplataforma. Generalmente en pruebas de rendimiento Jonh es un poco más rápida de esta, pero en mi opinión ambas son igual de efectivas.
Lo realmente complicado para usar estas dos herramientas es encontrar un buen diccionario de contraseñas. Puedes utilizar algún leak de empresas que siempre algún usuario publica en su blog. Buscando en Google, por ejemplo, puedes encontrar una filtración llamada RockYou2021 que te pueda servir como base para probar a Jonh o a Hashcat.
GOBUSER Y DIRBUSER (fuerza bruta contra directorio activo)
Estas dos herramientas son el enemigo número uno de los directorios activos.
DirBuster te permite obtener por medio de ataques de fuerza bruta nombres de directorios y archivos. Es una herramienta veterana y tiene el respaldo de la prestigiosa fundación OWASP.
GoBuster es una herramienta más reciente desarrollada por un ingeniero de software en GitHub. Gracias a la gran acogida de la comunidad, está bien mantenida y su uso se ha popularizado en los últimos años. Este software opensource te permite realizar ataques de fuerza bruta a:
- URI (directorios y archivos) en sitios web.
- Subdominios DNS.
- Nombres de host virtuales en servidores web de destino.
- Abrir buckets de Amazon S3.
La diferencia fundamental entre GoBuster y DirBuster es que la primera está hecha en el lenguaje Go y esta implementación proporciona mayor velocidad a la hora de realizar ataques de fuerza bruta. Otra diferencia importante es que GoBuster es una herramienta sin GUI, que funciona por medio de la terminal, mientras que DirBuster sí que tiene.
Quizás para aprender DirBuster es mejor ya que al ser más veterana hay más documentación acerca de su uso, pero eso ya lo dejo a tu elección. Lo divertido de aprender es probar las dos y utilizar la que más nos guste.
Tecnógrafos 