Ataque CSRF
Enviado por Fabian Nieto • 21 de Enero de 2019 • Tarea • 432 Palabras (2 Páginas) • 159 Visitas
Ataque CSRF
- Iniciar la MV de Metasplitable e ingresar las credenciales siguientes:
- Login: msfadmin
- Password: msfadmin
Obtener la dirección IP de la máquina victima con el comando ifconfig, para posteriormente poder interactuar con la máquina virtual de metasploitable.
[pic 1]
Imagen 1
Nota: Para este caso la dirección IP es: 192.168.10.129. Así que para poder interactuar con la máquina de metasploitable la url será: http://192.168.10.129
- Teniendo preparado nuestro escenario, procederemos a hacer la prueba de concepto del ataque SQL.
- Abrir nuestro navegador web en nuestra máquina virtual atacante y escribir la url http://192.168.10.129. (Imagen 2).
[pic 2]
Imagen 2
- Seleccionar la opción DVWA, o escribir la url http://192.168.10.129/dvwa/login.php.
Posteriormente escribir las credenciales: Username: admin y Password: password y después dar clic en la opción Login.
[pic 3]
Imagen 3
- Debemos cambiar el grado de seguridad de la aplicación para lograr exitosamente el ataque, para ello se deberá seleccionar DVWA Security y después se cambiara el nivel de seguridad a low(imagen 4) y dar clic en submit.
[pic 4]
Imagen 4
- Seleccionar la opción CSRF( Imagen 5).
[pic 5]
Imagen 5
- Comprobar la comunicación entre Kali y Metasploitable (Imagen 6).
[pic 6]
Imagen 6
- Ejecutar la herramienta CSRFTester instalado en Kali con el comando ./start.sh (imagen 7 y 8). Posteriormente hacer clic en la opción Start Recording.
[pic 7]
Imagen 7
[pic 8]
Imagen 8
- Abrir el navegador (Iceweasel) dar clic en el menú Edit>Preferences, después en la opción Advanced>Network>Settings (Figura 9).
[pic 9]
Imagen 9
- Seleccionar la opción Manual Proxy Configuration y llenar los campos HTTP Proxy y Port, tal como se muestra en la imagen 10. Finalmente dar clic en la opción OK.
[pic 10]
Imagen 10
- Abrir o actualizar nuevamente la aplicación DVWA en nuestro navegador e inicializar la herramienta CSRFTester seleccionando la opción Start Recording (imagen 11).
[pic 11]
Imagen 11
- Escribir un nuevo password y confirmarlo (para este caso el password es: dukenukem) (imagen 12).
[pic 12]
Imagen 12
- Abrir la herramienta CSRFTester y seleccionar la opción Stop Recording y posteriormente seleccionar la opción Generate HTML (imagen 15) y guardar el archivo en el escritorio (imagen 13).
[pic 13]
Imagen 13
- Abrimos el archivo Index.html que genero la herramienta CSRFTester (imagen 14 y 15). Para ello usaremos el comando nano para poder editar dicho archivo.
[pic 14]
Imagen 14
[pic 15]
Imagen 15. Index.html no modificado
[pic 16]
Imagen 16. Index.html modificado
- Finalmente abrimos el archivo index.html y observamos la leyenda “Password Changed” (imagen 17).
[pic 17]
Imagen 17
- Para comprobar que el password fue cambiado se sugiere autenticarse y desautenticarse de la aplicación.
[pic 18]
Imagen 18
...