martes, 18 de diciembre de 2012

Coqueteando con Metasploit: Meterpreter II


  En la pasada entrada de Metasploit vimos como llegar a obtener una consola de meterpreter en un sistema atacado, viendo ademas la forma en que era posible manejar sus sesiones. En la que nos ocupa veremos los comandos básicos a utilizar una vez se ha accedido ya al sistema comprometido.

Trabajando con procesos

  Meterpreter pone en la mano del atacante la posibilidad de cambiar su PID, es decir migrar a otro identificador de proceso distinto. Esta tarea la realiza gracias al comando migrate:
migrate <numero de proceso>

  Pero, ¿cómo sabemos a que proceso migrar o como podemos ver los procesos que están en ejecución? la respuesta nos la da la orden ps que nos mostrará el listado de proceso:
ps

 Si queremos comprobar el identificador de proceso actual de meterpreter (por ejemplo si acabamos de migrar a otro proceso y queremos comprobar que lo ha realizado correctamente) existe la orden getpid:
getpid



Directorios y ficheros

  Para ver el directorio actual en el que nos encontramos (en la máquina de la víctima) tenemos getwd:
getwd

También es posible listar los elementos existentes en el directorio mediante el comando ls:
ls

  Meterpreter permite editar ficheros del equipo de la víctima mediante el gran editor vi, para ello utilizaremos edit:
edit <nombre del fichero>



 Si en cambio solo queremos ver el contenido de fichero cat es nuestra elección:
cat <nombre del fichero>

  En ocasiones es muy probable que el atacante quiera descargar información de la víctima o subir algún archivo al sistema de ésta, para ello existen las ordenes download y upload respectivamente que permiten realizar estas tareas:
download <nombre del fichero>


upload <nombre del fichero>



Información de sistema

  Para ver el usuario con el que hemos accedido al equipo, podemos utilizar getuid:
getuid

  Si en cambio queremos conocer información del sistema que hemos "invadido" (como atacantes), podemos utilizar sysinfo:
sysinfo



Redes

  Meterpreter permite obtener información de la tarjeta de red de la víctima como si nos encontrásemos en ese mismo ordenador, para ello existen varios comandos que veremos a continuación.

  Para ver las tarjetas de red del equipo podemos utilizar ipconfig:
ipconfig

  Para cerrar existen otros comandos muy útiles como arp y route:
arp

route 



 Antes de cerrar la entrada quiero compartir una pequeña reflexión sobre su contenido, ya que entiendo que es muy esquemático, casi a modo de manual, pero entended que es necesario conocer las ordenes básicas antes de empezar a "jugar" como haremos en los siguientes  capítulos ;)

Nos leemos en breve

5 0verl0ad Labs: Coqueteando con Metasploit: Meterpreter II   En la pasada entrada de Metasploit vimos como llegar a obtener una consola de meterpreter en un s...
< >