01- Conociendo Meterpreter – Parte I – Analizando el entorno

Para ver la serie completa pulsa aqui. Habrá conceptos que se den por obvios ya que están explicados en artículos anteriores.

Buenas a todos! Como veis hemos pasado de la serie “Conociendo Metasploit” a “Conociendo Meterpreter”, esto no quiere decir ni mucho menos que la serie “Conociendo Metasploit” haya terminado, únicamente que he estado utilizando mucho meterpreter últimamente y quiero mostrar el funcionamiento a fondo de este payload tan importante de Metasploit. Esta nueva serie serán 8 post en los que iremos explicando por fases como si estuviéramos tomando acceso de una maquina real como utilizar este payload.

En el último post de la serie “Conociendo Metasploit” vimos que era el payload meterpreter y algunos ejemplos de uso. En este primer post de la serie vamos a ver cómo obtener información básica de la maquina vulnerada.

Como podemos observar en las siguientes imágenes, el framework de Metasploit trae una enorme cantidad de scripts para ser utilizados en la fase de post explotación una vez tenemos una shell de meterpreter…

En este post vamos a probar algunos de ellos que nos permiten obtener gran cantidad de información acerca de la maquina vulnerada. Para ello tenemos el mismo escenario que en casos anteriores, así que lanzamos el exploit ms08_067_netapi junto al payload de meterpreter para obtener una shell y empezar con las pruebas…

Una vez hemos lanzado el exploit y obtenemos la shell vamos a utilizar un par de comandos básicos para situarnos que son “sysinfo” el cual nos ofrece información muy básica sobre la maquina y “getuid” que nos permite saber cómo que usuario estamos ejecutando el payload…

Otros comandos básico y que son importantes de realizar seria “getpid” para saber junto a qué proceso se está ejecutando el payload, este es importante porque si es un proceso que no suele estar mucho tiempo en activo es posible que perdamos la conexión al terminar el proceso, por ello es muy importante listar los procesos con el comando “ps” y migrar nuestro meterpreter a otro proceso que sepamos con certeza que no se va a cerrar mientras hacemos las pruebas. Esto lo hacemos mediante el comando “migrate PID” introduciendo como PID el pid del proceso al que queramos migrar como vemos a continuación…

Una vez tenemos el escenario preparado y sin presión vamos a empezar con las pruebas de los scripts. La primera prueba que vamos a realizar es correr el script “checkvm”, el cual nos va a decir si la maquina vulnerada está corriendo bajo una maquina virtual, lo cual en un caso real podría indicar que se trata de un posible Honeypot…

Como vemos a detectado correctamente que la maquina se está ejecutando en una VM. Un dato importante es que a la hora de ejecutar los scripts de meterpreter podemos hacerlo de dos formas, indicando como antes únicamente el nombre o indicando la ruta en la que se encuentra dicho script como se muestra en la siguiente imagen…

Como vemos el resultado es exactamente el mismo, pero por comodidad de ahora en adelante se utilizara la primera forma. Otro scripts que nos permite obtener información mas completa acerca del sistema es “get_env” que como podemos ver a continuación es similar a “sysinfo” pero mucho más completo…

Otro script que nos aporta información importante seria “get_application_list”, el cual nos devuelve una lista de las aplicaciones instaladas que como veremos es importante para luego poder hacer cosas como desactivar el antivirus y demás…

Ahora vamos a ver dos de los script que nos permiten obtener más información acerca de la víctima. Uno es “scraper” y otro es “winenum”, el funcionamiento de ambos es muy similar ya que se dedican a realizar una inmensa cantidad de consultas de todo tipo al sistema vulnerado y van guardando los resultados en archivos de texto. En estas primeras imágenes vemos en funcionamiento el script “scraper”…

De entre los archivos que nos está devolviendo seleccionamos por ejemplo el archivo “hashes.txt” y vemos que tenemos los hashes de los diferentes usuarios…

Ahora vamos a hacer lo mismo con “winenum”, primero lo vemos en funcionamiento y luego vemos como abriendo el archivo “hashdump.txt” nos devuelve el mismo resultado que con “scraper”, es decir los hashes de los usuarios.

Aquí hemos visto el ejemplo de abrir el archivo con los hashes, pero como vemos al listar los diferentes archivos nos devuelve una gran cantidad de información acerca del equipo vulnerado.

Hasta aquí este post sobre cómo obtener información de la maquina víctima, en el siguiente post veremos cómo elevar privilegios.

Espero que os haya gustado,

Un saludo,

Eduardo – eduardo@highsec.es – @_Hykeos