6 dic 2011

Meterpreter Scripts

 

Meterpreter es un Payload que se ejecuta después del proceso de explotación o abuso de una vulnerabilidad en un sistema operativo, meterpreter es el diminutivo para meta-interprete y se ejecuta completamente en memoria; evitando así tener problemas con los Antivirus.

En este artículo se describen algunos scripts que pueden ser utilizados a traves de este shellcode:1. Identificar si el sistema víctima se encuentra en una maquina virtual.2. Consultar la configuración de seguridad.3. Habilitar el escritorio remoto en la maquina víctima.4. Habilitar el servicio de Telnet.5. Deshabilitar el Antivirus6. Consultar la máscara de red7. Modificar el archivo de HOSTS8. Enumerar la información del sistema a través de wmic9. Consultar información detallada de la maquina atacada, puede también capturar tokens, hashes, etc.10. Consultar y capturar todo el registro Windows

CHECKVMPermite identificar si el sistema víctima se encuentra en una maquina virtual.

GETCOUNTERMEASUREPermite consultar la configuración de seguridad existente en la maquina víctima y puede deshabilitar otras características como Antivirus, Firewall, etc.GETGUIPermite habilitar el escritorio remoto en la maquina víctima, crea un usuario/password para hacer uso de la conexión.GETTELNETPermite habilitar el servicio de Telnet.KILLAVPermite Deshabilitar el Antivirus y otros sistemas de seguridad.GET_LOCAL_SUBNETSPermite consultar la máscara de red, esto puede llegar a ser útil para el proceso de Pivoting.HOSTSEDITPermite modificar el archivo de HOSTS.REMOTEWINENUMPermite enumerar la información del sistema a través de wmic.WINENUMPermite consultar información detallada de la maquina atacada, puede también capturar tokens, hashes, etc.SCRAPERPermite consultar y capturar todo el registro Windows de la maquina.**Scripts proporcionados por darkoperatorBROWSERENUM-DEVPermite consultar toda la información almacenada en el browser: Firefox, internet Explorer y Chrome.Para este caso el script fallo en su ejecución, al momento en que uds lo ejecuten se darán cuenta que es un error en los paths (falta editar dichos path en el archivo Ruby .rb).downloadDISABLE_AUDITPermite deshabilitar los eventos de auditoría a través de la modificación de las políticas locales de seguridad en la maquina víctima. Después de eliminar los registros el script habilita de nuevo el servicio de auditoria tal y como estaba antes de la modificación.downloadKEYLOGRECORDERPermite almacenar todos los eventos de tecleados por el usuario en la maquina victima en una base de datos sqlite, este script ya hace parte del framework de Metasploit.downloadSOUNDRECORDERPermite grabar y almacenar todo lo que se escucha a través del micrófono por una cantidad determinada de tiempo.downloadWINBFPermite realizar un ataque de fuerza bruta al login de Windows a través de un escritorio remoto.downloadhttp://www.nyxbone.com/metasploit/MeterpreterScripts.html

3 comentarios:

  1. Chicos, ya cambiaron los Paths del BROWSERENUM-DEV...Interesantisimo...como siempre!Saludos...PD: Como hago para que el Handler, quede listo para atender y ejecutar el RB?Saludos

    ResponderEliminar
  2. Y se podria converir Ruby en C# para incluir algun script en Flu? O no se puede?

    ResponderEliminar
  3. [...] Meterpreter Scripts Nyxbone - Software Development && UnEthical Hacking Meterpreter es un Payload que se ejecuta después del proceso de explotación o abuso de una vulnerabilidad en un sistema operativo, meterpreter es el diminutivo para meta-interprete y se ejecuta completamente en memoria; evitando así tener problemas con los Antivirus. En este artículo se describen algunas de las características más importantes de este shellcode como son: [...]

    ResponderEliminar