Si te tomas en serio la idea de averiguar cómo de segura es tu red, sitio web, sistema o aplicación, querrás conocer Kali Linux.
Las Pruebas de Pentesting en Kali Linux
Las pruebas de penetración (también conocidas como "pentesting") son una excelente forma de descubrir vulnerabilidades en su red y en los sistemas conectados. El pentesting también se conoce como hacking ético, lo que ayuda a explicar exactamente en qué consiste... utilizar herramientas similares a las de aquellos con intenciones maliciosas, para intentar descubrir todos y cada uno de los problemas que podrían permitir a un hacker acceder a su red.
El pentesting es esencial para las empresas que quieren asegurarse de que sus redes son lo más seguras posible. La gran pregunta es por dónde empezar. Hay un gran número de herramientas de pentesting disponibles, muchas de las cuales son de código abierto y de uso gratuito. De hecho, puedes instalar cualquiera de estas herramientas en el sistema operativo que elijas.
Sin embargo, hay una manera mucho mejor, gracias a Kali Linux.
Si no estás familiarizado con Kali Linux, es una distribución orientada específicamente al pentesting e incluye varias herramientas para ese propósito. Es difícil encontrar un sistema operativo con tantas herramientas preinstaladas para el hacking ético.
Aunque algunas de estas herramientas incluyen una curva de aprendizaje bastante pronunciada para su uso, la buena noticia es que, gracias a Kali Linux, no tiene que preocuparse de instalarlas y configurarlas correctamente. Estas herramientas ya están ahí y listas para usar.
Las herramientas de pentesting en Kali Linux son una mezcla de herramientas GUI y CLI y puede ser una sorpresa, pero algunas de las herramientas CLI son realmente más fáciles que las GUI. No siempre es así, pero si alguna vez has utilizado la línea de comandos, sabrás que a menudo puede ser mucho más eficiente y eficaz que una GUI.
Dejando a un lado la curva de aprendizaje, Kali Linux es, sin lugar a dudas, la mejor plataforma de pentesting del mercado. Si usted es serio acerca de averiguar qué tan segura es su red, sitio web, sistema o aplicación, usted querrá conocer Kali Linux.
Cómo obtener Kali Linux
Lo primero que quiero mencionar es cómo obtener e instalar Kali Linux. Dado que se trata de una distribución de Linux, siempre puedes descargar una imagen de instalación ISO e instalar la distribución en cualquier sistema de repuesto que tengas. Kali Linux es una distribución bastante ligera, por lo que debería estar bien instalarla incluso en hardware antiguo.
Otro método (que es la ruta que tiendo a preferir) es descargar una máquina virtual y utilizarla con VMware, VirtualBox, Hyper-V, o QEMU. Sólo asegúrese de descargar la máquina virtual que va con la plataforma VM de su elección.
La opción de usar Kali Linux con Máquinas Virtuales
La razón por la que prefiero el método de la máquina virtual es que puedo ejecutarlo desde cualquier sistema operativo (que soporte VMs) y puedo iniciar, pausar y detener Kali Linux a voluntad.
Para ejecutar una máquina virtual Kali Linux en VirtualBox, siga estos pasos:
- Asegúrese de descargar la imagen de la máquina virtual VirtualBox.
- Extraiga el archivo .7z desde la línea de comandos o desde su gestor de archivos GUI.
- Abre VirtualBox.
- Haz clic en Añadir.
- Navegue hasta la carpeta recién creada kali-linux-XXX-virtualbox-amd64 (donde XXX es el número de versión) y haga doble clic en el archivo que termina en .vbox.
- Una vez importada la máquina virtual, haga clic en Finalizar.
Antes de iniciar la máquina virtual, selecciónela en el panel izquierdo y haga clic en Configuración. Queremos asegurarnos de que Kali Linux está conectado a tu LAN, así que haz clic en Red y, en el desplegable.
Una vez que te hayas ocupado de eso, cierra la Configuración y luego inicia la máquina virtual. Cuando finalmente veas la pantalla de inicio de sesión de Kali Linux, utiliza las credenciales kali/kali.
Tu Primera Experiencia de Pentesting
Para este artículo, comenzaremos con algo simple. Una de las muchas herramientas que se encuentran en Kali Linux se llama wpscan, que escanea sus implementaciones de WordPress en busca de problemas.
No tienes que pasar por el menú del escritorio. En su lugar, puede simplemente hacer clic en el icono de terminal en la barra superior, que abrirá la ventana de terminal de Kali Linux. Debido a la forma en que Linux instala las aplicaciones, puedes ejecutar el comando wpscan desde cualquier terminal y desde cualquier directorio.
Digamos que actualmente estás probando un despliegue de WordPress y aún no ha llegado a producción. Utilizaremos la dirección IP 192.168.1.230 para nuestra prueba. El comando para esta prueba es:
wpscan --url=http://192.168.1.230
La salida pasará volando y, al final, verá el mensaje No se ha proporcionado ningún WPScan API Token, como resultado, los datos de vulnerabilidad no se han emitido. Debajo verá un enlace en el que puede hacer clic y registrarse para obtener un token de API.
Con tu token copiado, puedes añadirlo al comando de la siguiente manera:
wpscan --api-token TOKEN --url=http://192.168.1.230
Si desea guardar el resultado del escaneado en un archivo, puede hacerlo así:
wpscan --api-token TOKEN FILENAME --url=http://192.168.1.230 > FILENAME
Donde TOKEN es su token de API y FILENAME es el nombre del archivo en el que desea que se guarde la salida.
Cuando finaliza el análisis, puede ver el contenido del archivo con uno de los siguientes comandos:
cat FILENAME
less FILENAME
Y así es como empiezas a ejecutar tu primer pentest con Kali Linux. Volveremos sobre este tema y recorreremos pruebas más desafiantes en futuros artículos. Hasta entonces, disfruta de esta plataforma de hacking ético.
Fuente: somoslibres
