miércoles, 26 de diciembre de 2012

Coqueteando con Metasploit: Meterpreter III


  Tercera entrega relacionada con meterpreter en la que empezaremos a conocer comandos que dan más juego que los que hemos visto en anteriores entregas. Desde keyloggers, hasta deshabilitar el teclado de la víctima pasando por hacer capturas de pantalla de su pc.

 Partimos de tener ya una sesión de meterpreter en el equipo de la víctima, vamos a conocer las distintas posibilidades que tenemos :D


Utilizando el keylogger

 Existen unas herramientas conocidas como keyloggers que permiten detectar las pulsaciones del teclado del ordenador. Meterpreter tiene el suyo propio y lo utilizaremos con keyscan.
  Existen tres comandos con keyscan, uno para iniciar, otro para finalizar y otro para volcar en pantalla la información capturada.

[+] Iniciar la captura:
keyscan_start

[+] Volcar la información capturada:
keyscan_dump

[+] Cerrar el keylogger:
keyscan_stop


Ver la pantalla de la víctima

  Antes hemos leer lo que esta escribiendo el atacado, pero, ¿existe la posibilidad de ver lo que está viendo en la pantalla?
  Screenshot es la utilidad que ofrece meterpreter para hacer capturas de pantalla del ordenador víctima y la forma de utilizarlo es muy simple:
screenshot

 acto seguido veremos la imagen de la pantalla:



Desactivar el ratón y el teclado

  Si por algún motivo queremos impedir que el usuario del sistema comprometido utilice el ratón y/o el teclado, existe uictl que permite estas funcionalidades.
  En el caso del teclado, para deshabilitarlo basta con:
uictl disable keyboard
  para volver a habilitarlo bastará con:
 uictl enable keyboard

  En lo que respecta al ratón, para desactivarlo es tan simple como:
uictl disable mouse
  con lo que para activarlo otra vez sería:
uictl enable mouse



Obteniendo las claves hash

  Una vez se ha comprometido el equipo con Metasploit y se posee una sesión de meterpreter, es posible obtener los hash de las claves de los usuarios del sistema contenidos en el archivo SAM (sistema operativo Windows).
La forma de obtener estas claves (en formato hash) es con hashdump:
hasdump


Viendo los privilegios

  Para ver los privilegios con que contamos en el equipo comprometido podemos utilizar getprivs:
getprivs


Limpiar el rastro 

  Por último, antes de "desaparecer" de la maquina atacada conviene limpiar nuestro rastro, para ello contamos con clearev:
clearev



  Con esto concluyo la entrada, en las próximas conoceremos las interesantes posibilidades que nos ofrece el comando run de meterpreter, nos leemos en breve ;)


5 0verl0ad Labs: Coqueteando con Metasploit: Meterpreter III   Tercera entrega relacionada con meterpreter en la que empezaremos a conocer comandos que dan más ...

1 comentario:

Anónimo dijo...

Hola. El keylogger solo muestra los últimos minutos y a veces se pierde. Es posible dejarlo corriendo y que guarde todo en un archivo de texto para capturar todo lo que el usuario tipeo antes de cerrar sesión?

Muchas Gracias.

Saludos.

< >