En la pasada entrada de Metasploit vimos como llegar a obtener una consola de meterpreter en un sistema atacado, viendo ademas la forma en que era posible manejar sus sesiones. En la que nos ocupa veremos los comandos básicos a utilizar una vez se ha accedido ya al sistema comprometido.
Trabajando con procesos
Meterpreter pone en la mano del atacante la posibilidad de cambiar su PID, es decir migrar a otro identificador de proceso distinto. Esta tarea la realiza gracias al comando migrate:
migrate <numero de proceso>
Pero, ¿cómo sabemos a que proceso migrar o como podemos ver los procesos que están en ejecución? la respuesta nos la da la orden ps que nos mostrará el listado de proceso:
ps
Si queremos comprobar el identificador de proceso actual de meterpreter (por ejemplo si acabamos de migrar a otro proceso y queremos comprobar que lo ha realizado correctamente) existe la orden getpid:
getpid
Directorios y ficheros
Para ver el directorio actual en el que nos encontramos (en la máquina de la víctima) tenemos getwd:
getwd
También es posible listar los elementos existentes en el directorio mediante el comando ls:
ls
Meterpreter permite editar ficheros del equipo de la víctima mediante el gran editor vi, para ello utilizaremos edit:
edit <nombre del fichero>
Si en cambio solo queremos ver el contenido de fichero cat es nuestra elección:
cat <nombre del fichero>
En ocasiones es muy probable que el atacante quiera descargar información de la víctima o subir algún archivo al sistema de ésta, para ello existen las ordenes download y upload respectivamente que permiten realizar estas tareas:
download <nombre del fichero>
upload <nombre del fichero>
Información de sistema
Para ver el usuario con el que hemos accedido al equipo, podemos utilizar getuid:
getuid
Si en cambio queremos conocer información del sistema que hemos "invadido" (como atacantes), podemos utilizar sysinfo:
sysinfo
Redes
Meterpreter permite obtener información de la tarjeta de red de la víctima como si nos encontrásemos en ese mismo ordenador, para ello existen varios comandos que veremos a continuación.
Para ver las tarjetas de red del equipo podemos utilizar ipconfig:
ipconfig
Para cerrar existen otros comandos muy útiles como arp y route:
arp
route
Antes de cerrar la entrada quiero compartir una pequeña reflexión sobre su contenido, ya que entiendo que es muy esquemático, casi a modo de manual, pero entended que es necesario conocer las ordenes básicas antes de empezar a "jugar" como haremos en los siguientes capítulos ;)
Nos leemos en breve
No hay comentarios:
Publicar un comentario