domingo, 10 de febrero de 2013

The db_autopwn command is DEPRECATED

Metasploit ha decidido dejar como "obsoleto" su autopwn.Aun que para ser más concretos no está obsoleto, simplemente han dejado de implementarlo en Metasploit.
Los explicaciones que dan para haber tomado la decisión de no volver a incluirlo son sencillas:
Autopwn es una herramienta que se encarga de buscar y encontrar vulnerabilidades, una  vez que encuentra dichas vulnerabilidades se encarga de lanzar todos los exploits que podría explotarlas. Así hasta que se logra vulnerar la máquina con algún exploit.
Al lanzar todos los exploit disponibles sin tener un control sobre los mismo, esto producía que se hicieran DDos  tanto en la máquina objetivo como en la local.
Es por esa razón que autopown ya no está para las versiones más recientes.

Si que es cierto que autopown se puede descargar, o conseguir en distribuciones más antiguas y hacerlo funcionar para ganar tiempo en nuestro ataque.

Img 1: Logotipo de Metasploit Framework.

Aunque esta herramienta automatizada ha dejado de funcionar aún son muchos descuidos los que los desarrolladores, administradores, etc, los que cometen el error de no haber actualizado sus aplicaciones/servidores y máquinas. Por lo tanto, podemos utilizar una distro (por ejemplo) de Backtrack antigua, -sin actualizar los repositorios- y volver a realizar un buen pentesting.

Decir que para algunas personas el utilizar autopown es sinónimo de desconocimiento sobre lo que se hace, y en ocasiones se pone en duda si los que lo utilizan son realmente personas con conocimientos de que es lo que se hace, es decir, que un sector de hacker considera que utilizar esta técnica es de Lammers.