Buenas tardes, en esta publicación mostraremos un ejemplo de la fase de pos explotación, es decir, una vez que se ha explotado una vulnerabilidad y se ha accedido a la máquina ahora el atacante decide que acción es la que realizará a continuación.
En este ejemplo de pos explotación vamos a poder ver lo que hace la víctima del equipo vulnerado en tiempo real y al mismo tiempo tendremos todas las utilidades activas de meterpreter (mas adelante explicaremos que es y para qué sirve).
Para llevar a cabo esta operación no utilizaremos el script de VNC que tiene meterpreter, porque mi versión no lo soporta, por lo que para llevar a cabo esta operación utilizaré dos exploit handler con su correspondiente payload, además tendremos que añadirle a nuestra máquina atacante una nueva tarjeta de red, porque cada uno de los payloads trabaja con una dirección y un puerto por lo que si intentamos que los dos trabajen con los mismos parámetros no nos funcionará, además él nos indicará que la dirección y el puerto están ocupados en el momento que activemos el segundo handler.
Lo suyo sería trabajar con el script VNC porque este nos proporcionará una ventana donde se nos mostrará todo lo que hace la víctima y aparte tendremos meterpreter para seguir trabajando, pero como se ha comentado con anterioridad mi versión de meterpreter no lo soporta, por lo que a continuación yo expondré mi solución a este problema.
A continuación, mostraré mi configuración de red, ambas tarjetas obtienen las direcciones de forma dinámica.
Comenzaremos desde meterpreter, por lo que ya hemos explotado algunas de las vulnerabilidades expuestas con anterioridad, en mi caso voy a atacar a una máquina Windows 7, pero la versión para realizar este ataque es indiferente, porque trabajaremos con la misma versión de meterpreter.
El primer handler se ha utilizado para explotar la vulnerabilidad y establecer la conexión con la máquina vulnerada, este tendrá la dirección 192.168.0.172 y utilizará el puerto 4444.
Lo interesante está con el segundo, porque vamos a utilizar diversos parámetros de meterpreter.
Antes de establecer conexión a través de la vulnerabilidad tendremos que crear un backdoor utilizando la herramienta que nos proporciona Metasploit para esto que es msfvenom, esta se encargará de mostrarnos todo lo que hace el usuario tal y como se ha explicado con anterioridad.
Con anterioridad se ha explicado esta herramienta y cada uno de los parámetros que aquí se exponen. La única diferencia con los realizados con anterioridad es que no se utiliza Meterpreter si no que el payload tiene vncinject que es el backdoor que se ha explicado en el párrafo anterior.
Más adelante se verá cómo vamos a aplicar este ejecutable y la víctima no se enterará a no ser que cuente con un antivirus con su base de datos bien actualizada.
Los siguientes pasos hay que seguirlos al pie de la letra, estos son pocos y fácil de aplicar:
1º Realizaremos una escalada de privilegios (en el blog se publicará como realizar dicha subida).
2º Utilizaremos la instrucción de Meterpreter upload para cargar la backdoor de VNC en el equipo de la víctima, lógicamente no se le pondremos en el escritorio, escogeremos una ruta o carpeta donde la víctima no acceda.
Ahora comprobaremos que se encuentra en la ubicación escogida
3ª Ahora usaremos el otro handler con su correspondiente payload para que así esté a la escucha y establezca conexión, para esto abriremos otra terminal de Metasploit.
Como se puede observar el payload que se utiliza tiene vncinject, si utilizamos meterpreter, no podríamos ver lo que hace la víctima por que meterpreter se pondría por delante por lo que en los dos se utilizará vncinject, a este le pasaremos la dirección IP y el puerto que se utilizará para establecer la conexión.
4º Ejecutaremos este exploit y después a través de meterpreter ejecutaremos la backdoor con vnc desde nuestra máquina.
Ejecutaremos vnc.exe desde la Shell que nos proporciona meterpreter y además estamos con privilegios por lo que no tendremos problemas.
En el momento que se ejecute, se nos abrirá una ventana donde podremos ver todo lo que hace la víctima a tiempo real, pero no nos ofrece meterpreter por lo que si introduce una contraseña no la podremos ver, por lo que como contamos con la conexión anterior con meterpreter podremos ver y además trabajar con él y utilizar todas sus opciones.
Ahora por ejemplo si queremos introducirle a la víctima un keylogger podremos saber qué es lo que está escribiendo
El correo prueba con la clave asdfg,
Recordad esta documentación tiene un fin didáctico, no nos hacemos responsables del uso que le deis, por otro lado con todo esto que se os muestra podeis saber e imaginar lo que podría pasar si alguien se introduce en vuestro sistema, recordar que la mejor prevención es el sentido común.
Un saludo y hasta la próxima publicación, sed buenos ;).