12 oct 2013

El Rincón de HighSec: Conociendo Meterpreter

Buenas a todos! En este nuevo post de la serie “Conociendo Meterpreter” vamos a ver como podríamos crearnos una backdoor desde meterpreter para poder acceder al sistema comprometido siempre que queramos.

El entorno es el mismo que hemos visto anteriormente donde la maquina objetivo será un Windows XP vulnerable. Una vez estamos dentro de la maquina y hemos obtenido la shell de meterpreter. Para crear una backdoor y mantener el acceso en el sistema vamos a utilizar el script de meterpreter “persistance”, si ponemos en nuestra shell “run persistance” se ejecutara dicho script y nos permitirá instalar una backdoor en el sistema para poder acceder siempre como vemos a continuación…

Pero si lo ejecutamos así no sabemos bien que es lo que está haciendo el script por dentro, por lo tanto vamos a ver las opciones que nos proporciona dicho script y cómo podemos configurarlo de forma correcta para que ejecute e instale la backdoor como nosotros queremos. Para ello lo primero que vamos a hacer es ver las opciones y lo podemos hacer introduciendo “run persistance -h” como vemos a continuación…

Como vemos tenemos gran cantidad de opciones entre las que se encuentran el payload que queremos seleccionar, la localización de la backdoor, si se va a activar automáticamente cuando se inicie el sistema o cuando se logee el usuario, cada cuánto tiempo va  a intentar la conexión, etc…

Por lo que vamos a personalizar nuestra backdoor de la siguiente manera…

En este caso yo he hecho que se active de forma automática el multi/handler (-A), que la localización de la backdoor sea la raíz (-L C:\\), que automáticamente se intentes conexiones al iniciar el sistema (-X),  que intente conectarse cada 15segundos (-i 15), que mi dirección ip es la 192.168.1.13 que es donde se intentara conectar (-r 192.168.1.13) y que el puerto es el 443 (-p 443). Tal cual hacer esto el sistema víctima se intenta conectar con nosotros y repetirá la acción cada 15 segundos hasta que lo logre por lo que nos aparece lo siguiente…

Como vemos ha abierto una nueva sesión debido a la instalación de la backdoor…

Podemos comprobar que el archivo se ha subido de forma correcta a la maquina victima visitando la raíz en dicho sistema…

Ahora que hemos comprobado que esta todo en orden vamos a reiniciar el equipo victima para comprobar que funciona correctamente la backdoor instalada, para ello cerramos la primera sesión y con la segunda reiniciamos el equipo…

Una vez se está apagando se corta la conexión con la victima por lo que nos quedamos sin sesiones activas, pero en cuanto el servidor comienza a iniciarse vemos lo siguiente…

Como vemos de forma automática se nos a abierto la conexión con el host victima (Meterpreter lo entiende como pivoting del puerto 443 nuestro al 54145, pues al 443 es donde se conecta la víctima y de ese puerto pasa al puerto donde esta realmente ejecutándose el meterpreter, por eso aparece mi ip). Así que ya únicamente tenemos que iniciar la sesión 3 que es la que acaba de ser abierta y ya tenemos de nuevo acceso al equipo victima…

Ahora vamos a ver que para eliminar la backdoor lo único que tenemos que hacer es dirigirnos a la carpeta ./msf4/logs/persistance, y ahí tendremos una carpeta por cada host comprometido así como la fecha y el identificador. Por lo tanto dentro de esa carpeta tendremos un archivo con el mismo nombre (*.rc) que será el que tendremos que ejecutar desde nuestra sesión de meterpreter, ESTANDO EN LA MISMA SESSION QUE LA QUE QUEREMOS ELIMINAR LA BACKDOOR, por lo tanto podríamos ejecutar el comando y ver como la backdoor se ha eliminado…

Para comprobar que la backdoor ha sido realmente eliminada del sistema lo único que tenemos que hacer es reiniciar el equipo victima desde la sesión de meterpreter y ver que ya no se conecta con nosotros y por lo tanto no nos abre ninguna sesión…

Y como podemos observar esta todo correcto y la backdoor desinstalada. Y esto es todo por este post! Espero que os haya gustado!

Un saludo,

Eduardo – eduardo@highsec.es – @_Hykeos

2 comentarios:

  1. Hola que tal tengo una pregunta ¿Este backdoor solo funciona en una red local? o también se puede conectar a una ip publica.

    ResponderEliminar
  2. Funcionaria igual con una IP publica, siempre que pongas una IP estática como destino o utilices algo del estilo a No-Ip.

    ResponderEliminar