06- Conociendo Meterpreter – Parte VI – Módulos Sniffer y Espia

Para ver la serie completa pulsa aqui. Habrá conceptos que se den por obvios ya que están explicados en artículos anteriores.

Buenas a todos! En este nuevo post vamos a ver las diferentes opciones que tienen los módulos Sniffer y Espia de meterpreter y cómo podíamos utilizarlos en la fase de post-explotación para seguir obteniendo mas información.

El entorno es el mismo que hemos visto anteriormente donde la maquina objetivo será un Windows XP vulnerable. Una vez estamos dentro de la maquina y hemos obtenido la shell de meterpreter lo primero que vamos a hacer es cargar los módulos necesarios de la siguiente forma…

Una vez tenemos los dos módulos cargados podemos utilizar el comando “help” de meterpreter para obtener información acerca de las posibles funcionalidades de estos módulos. Como podemos ver a continuación básicamente es obtener un pantallazo del escritorio vulnerado (Muy similar al comando “screeshot”) en cuanto al modulo Espia y poder sniffar todo el trafico de la víctima con el modulo Sniffer…

Para poder utilizar la función “screengrab” del modulo Espia únicamente necesitamos introducir el comando en la consola y nos guardara en nuestra carpeta un .jpg con el pantallazo de lo que está pasando actualmente en el escritorio de la víctima como vemos a continuación…

Como veis este modulo tiene realmente poca funcionalidad pues implementa lo mismo que la función “screeshot”. Vamos a pasar ahora al modulo Sniffer que si que nos permite obtener gran cantidad de datos una vez vulnerada la maquina. Para empezar lo primero que tenemos que hacer es listar las interfaces de red que tenga la maquina seleccionada para ver cuál de ellas nos interesa sniffar…

Una vez sabemos cuál es la interfaz que nos interesa podemos comenzar a esnifar los datos y paquetes que envíe la victima utilizando el comando “sniffer_start” que como vemos en la imagen necesita una serie de parámetros que son el id de la interfaz que queremos esnifar y por otro lado el tamaño del buffer donde se van a guardar los datos. En nuestro caso vamos a utilizar la interfaz 1 y un buffer de 1024 paquetes, que aunque es pequeño nos vale para la prueba…

Como vemos en la anterior imagen a comenzado a capturar paquetes, y podemos ir viendo el estado de los paquetes y los bytes esnifados utilizando el comando “sniffer_stats” y el numero de la interfaz que está siendo esnifada…

Ahora para la prueba nos vamos a ir a la maquina vulnerada y vamos a ejecutar el comando “ping” para que haga una serie de pings a la ip 8.8.8.8 y genere trafico que podamos analizar…

Ahora volvemos a utilizar el comando “sniffer_stats” para comprobar la cantidad de datos que hemos esnifado…

Ahora que ya tenemos capturados los paquetes del ping vamos a hacer un volcado de todos esos datos en un archivo .pcap…

Ahora que ya tenemos el archivo en nuestra maquina local podemos abrirlo con wireshark y ver que hemos capturado todos los paquetes que a enviado la maquina vulnerada que en este caso era un simple ping, pero en un caso real podríamos obtener gran cantidad de credenciales de la victima logeandose contra paginas http…

Una vez tenemos todos los datos y demás únicamente necesitamos para el sniffer de la siguiente manera para que deje de capturar los paquetes que son enviados y recibidos por la victima…

Y hasta aquí llega el post de hoy, espero que os haya gustado y en el próximo post hablaremos sobre como dejar backdoor de forma permanente y cómo manejarlas con meterpreter.

Un saludo,

Eduardo – eduardo@highsec.es – @_Hykeos