Siguiendo con el post anterior podemos ver que el server tiene una base de datos, dos, en concreto, una Mysql y la otra postgres. Pues bien, el modus operandis es el mismo, seguimos en metasploit y buscamos algún exploit o auxiliar que nos de tanto información sobre la versión que es y el pwd y la contraseña para ver si podemos acceder a la base de datos.
Una vez que tenemos los datos de login, abrimos una terminal y ponemos el comando psql -h "ip del host" -U postgres.
Acto seguido nos pedirá la clave de logeo, la introducimos y efectivamente estamos dentro
Para listar lo que la base de datos contiene usamos \l
Con Mysql seria lo mismo, buscáis info, buscáis el exploit / auxiliar e intentáis entrar.
Como podéis ver, el uso de Metasploit es muy sencillo y mecánico, una vez que hayáis usado el programa para 4-5 intrusiones, sabréis como operarar con el, eso si, el programa ofrece una amplia posibilidad de opciones que poco a poco iréis descubriendo según las necesidades cuando os pongáis enfrente del server en cuestión.
Espero que os haya gustado y haber podido ayudaros un poquito aun que sea si estáis empezando y habéis decidido practicar con metaesploitable.
Un saludo y ¡nos vemos en la siguiente intrusión!
0 comentarios:
Publicar un comentario