UNIVERSIDAD INTERNACIONAL DE LA RIOJA

MAESTRIA EN SEGURIDAD INFORMATICA

CURSO: ANALISIS DE VULNERABILIDADES

ACTIVIDAD 1

REALIZAR UN ATAQUE DE PHISHING

PROFESOR DE LA ASIGNATURA

JOSE ALFREDO TORRES SOLANO

PRESENTA:

SERGIO MARTÍNEZ AGUILAR

14 de noviembre de 2022

© Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Martínez Aguilar
Análisis de Vulnerabilidades 14/11/2022
Nombre: Sergio

Índice

1. Introducción.....................................................................................................................1
2. Objetivos..........................................................................................................................1
3. Herramientas a utilizar.....................................................................................................2
4. Desarrollo de la Actividad.................................................................................................2
4.1. Obtención de Credenciales............................................................................................2
4.2. Generación de URL........................................................................................................5
5. Control del equipo remoto...............................................................................................7
5.1. Generación del archivo..................................................................................................7
6. Conclusión......................................................................................................................10
7. Bibliografía.....................................................................................................................10

Actividades
© Universidad Internacional de La Rioja (UNIR)
 Asignatura Datos del alumno Fecha
Apellidos: Martínez Aguilar
Análisis de Vulnerabilidades 14/11/2022
Nombre: Sergio

1. Introducción

En la actualidad el uso de computadoras y correos electrónicos se han vuelto

totalmente indispensables, motivo por el cual no estamos exentos de vernos
involucrados en un ataque phishing.
Un ataque phishing, es un intento de fraude por medio de correo electrónico en el
que se envía un correo electrónico, ciertamente falso a uno o más destinatarios, sin que
el destinatario lo pueda reconocer como tal a primera vista. Este modo de ataque está
diseñado para persuadir al destinatario de revelar sus datos confidenciales.
A menudo no es tan fácil identificar un correo de phishing, sin embargo, hay ciertas
características que nos pueden indicar que se trata de un ataque phishing como, por
ejemplo, enlaces dudosos y campos de formularios, datos del contacto, solicitar datos
personales entre otras, si pasamos por desapercibido estas características el atacante
solo necesitara esperar para que su víctima escriba sus datos.

2. Objetivos

Utilizar herramientas que ayudan a la realización de un ataque de Ingeniería Social.

Éstas permiten la clonación de sitios Web y generación de archivos ejecutables que
establecen una comunicación hacia una dirección IP y número de puerto específico,
entre otras facilidades.
Aprovechar las facilidades ofrecidas por SET para la obtención de credenciales de los
usuarios víctima.
Hacer uso de una aplicación diseñada para establecer conexiones remotas (Metasploit),
y aprovechar sus funcionalidades para la obtención de información del equipo víctima.
© Universidad Internacional de La Rioja (UNIR)

1
Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Martínez Aguilar
Análisis de Vulnerabilidades 14/11/2022
Nombre: Sergio

3. Herramientas a utilizar.

Para la instalación de nuestros sistemas operativos utilizare, Virtual Box, ya que nos
permite la instalación de máquinas virtuales con la instalación de sistemas operativos.
Utilizare la distribución de la Kali Linux ya como máquina virtual, en su versión
2022.3, de 64 bits, ya que, cuenta con las herramientas Social Engineering Tools (SET)
y Metasploit Project.
Para el equipo a atacar usare, Windows 7 Ultimate de 64 bits.

4. Desarrollo de la Actividad
4.1. Obtención de Credenciales
Para obtener las credenciales primero accederemos a nuestra herramienta de la
siguiente manera daremos un clic en social engineering toolkit (root), para
posteriormente escribir la clave root y podamos tener acceso a nuestra herramienta.

© Universidad Internacional de La Rioja (UNIR)

Una vez dentro nos aparecerá la siguiente ventana en la que digitaremos la opción 1
(Social Engineering Attacks), después seleccionaremos la opción 2, (Website Attacks
Vectors) quedando de la siguiente manera:

2
Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Martínez Aguilar
Análisis de Vulnerabilidades 14/11/2022
Nombre: Sergio

Ahora ejecutaré la opción 3 (Credential Harvester Attack Method), de la siguiente

manera, una vez ejecutada la opción nos aparecerá la siguiente ventana:

© Universidad Internacional de La Rioja (UNIR)

3
Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Martínez Aguilar
Análisis de Vulnerabilidades 14/11/2022
Nombre: Sergio

Ahora daré la opción 2 (Site Cloner), y posteriormente escribiremos la dirección IP de

nuestro maquina con Kali Linux, para ello abriré otra consola y ejecutare el comando

ifconfig, la dirección IP es [Link], ahora me pedirá el url que voy a clonar, y

escribiré [Link]/ hecho este paso aparecerá de la siguiente manera:

Una vez que hayamos clonado el sitio web accederemos a nuestro navegador FireFox e
ingresaremos a localhost, en mi caso con la dirección ip [Link]:

© Universidad Internacional de La Rioja (UNIR)

4
Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Martínez Aguilar
Análisis de Vulnerabilidades 14/11/2022
Nombre: Sergio

4.2. Generación de URL

Para hacer más sencillo nuestro trabajo de ingeniería social utilizare un acortador de
URL y darle un poco de presentación a nuestro enlace clonado, para lo cual utilizare
TinyURL, accesando en este enlace: [Link] ingresando la dirección
de mi url clonada y después dando clic en Make Tiny URL!.

© Universidad Internacional de La Rioja (UNIR)

5
Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Martínez Aguilar
Análisis de Vulnerabilidades 14/11/2022
Nombre: Sergio

Obteniendo el siguiente enlace que es el que enviaremos a nuestra víctima.

Para comprobar que funciona nuestro enlace, solo nos queda enviare el enlace a
nuestra víctima en este caso utilizare la siguiente: pr83b4schecko@[Link]
Contraseña: pru3bas123. Que deberían ser las credenciales a capturar desde nuestro
enlace:

© Universidad Internacional de La Rioja (UNIR)

6
Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Martínez Aguilar
Análisis de Vulnerabilidades 14/11/2022
Nombre: Sergio

Y cuando demos clic en iniciar sesión, en nuestra herramienta en Kali Linux nos
parecerán las credenciales que tecleo la víctima.

5. Control del equipo remoto

5.1. Generación del archivo .exe
En este paso generare el archivo malicioso para poder tener control de nuestro equipo
remoto para ello utilizare la herramienta SET para ello se ingresaremos a Social
Engineering Toolkit (root), seleccionando la opción 1 (Social Engineerinf Attacks),
posteriormente seleccionare la opción 4 (Create a Payload and Listener), de la siguiente
manera:

© Universidad Internacional de La Rioja (UNIR)

7
Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Martínez Aguilar
Análisis de Vulnerabilidades 14/11/2022
Nombre: Sergio

Posteriormente utilizaremos la opción 2, Windows Reserve_TCP Meterpreter. Y

colocaremos la dirección IP de nuestra maquina con kali que escucha, así como el
puerto de la siguiente manera:

© Universidad Internacional de La Rioja (UNIR)

8
Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Martínez Aguilar
Análisis de Vulnerabilidades 14/11/2022
Nombre: Sergio

Una vez echo lo anterior verificare que el archivo [Link] se haya generado en la
ruta /root/.set/, quedando de la siguiente manera:

En mi caso cambiare el nombre del archivo, para uso didáctico lo llamare

[Link], el cual ejecutare en la maquina cliente. Ya ejecutado el archivo, nos

© Universidad Internacional de La Rioja (UNIR)

abre una sesión de meterpreter en nuestra máquina de kali Linux, viéndose así:

9
Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Martínez Aguilar
Análisis de Vulnerabilidades 14/11/2022
Nombre: Sergio

Viendo la pantalla anterior precederé a presionar la tecla intro, posteriormente

escribiré sessions –i 1, para iniciar la interacción con sesión 1 que se acaba de crear, y
procederé a la obtención de la información que nos pide la actividad: primero obtendré
la información del sistema con el comando sysinfo:

© Universidad Internacional de La Rioja (UNIR)

10
Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Martínez Aguilar
Análisis de Vulnerabilidades 14/11/2022
Nombre: Sergio

Con el comando getsid obtendré el SID, con el comando getuid obtendré el nombre
del usuario actual y con el comando getwd obtendré al nombre del directorio actual
veamos:
6. Conclusión

Con esta actividad me puedo dar cuenta, que obtener información de personas que
carecen de información relacionada a este tipo de ataques, puede resultar bastante
sencillo, pero si en nuestras organizaciones se recibiera capacitación para poder
detectar este tipo de ataques phishing podría resultar beneficioso, ya que el uso de
correos electrónicos y el uso de redes sociales se ha ido incrementando de manera tal
que lo hemos hecho indispensable en nuestra vida cotidiana.

7. Bibliografía
[1] Curso Metasploit - Definiciones Comandos de meterpreter. (2018, February).
Underc0de. [Link]
definiciones-comandos-de-meterpreter/

© Universidad Internacional de La Rioja (UNIR)

[2] Programador Novato. (2019). 01.-Metasploit Tutorial en Español [¿Que es

Metasploit?] [YouTube Video]. [Link]

11
Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Martínez Aguilar
Análisis de Vulnerabilidades 14/11/2022
Nombre: Sergio

[3] (2012, October 16). Introducción a Social-Engineering Toolkit (SET).

[Link]; Blogger. [Link]
[Link]

© Universidad Internacional de La Rioja (UNIR)

12
Actividades