(http://1.bp.blogspot.com/-D8aGpvFRWeA/UZfrMTeNRKI/AAAAAAAABKw/N5v3Dky5t-Q/s1600/metasploit.png)like a boss
Estimado lector vuelvo a ser yo MagoAstral, en esta ocasión les mostraré como sacar jugo extra a nuestro framework de explotación favorito es obvio que en todos o casi todos nuestros test de explotación acabamos con una sesión y es en esa fase de "post-explotación" donde hoy nos centraremos.
Una vez que tenemos activa nuestra sesión, procederemos a migrar nuestro proceso, yo lo migraré al explorer:
ps
migrate pid
Una vez que hemos migrado nuestro proceso podemos proceder a ejecutar nuestra shell interactiva, como sabéis metasploit está desarrollado (no en sus inicios) en ruby, por consiguiente podemos a golpe de teclado jugar con un nuevo abanico de posibilidades, para abrir dicha shell simplemente tipearemos:
irbUna vez que tenemos nuestra shell interactiva vemos que nos arroja un mensaje diciendo que la palabra "client" mantiene al cliente de nuestra sesión. Vamos a familiarizarnos con nuestra shell interactiva recuperando algo de información sobre la máquina víctima, por ejemplo información sobre el sistema. Para esto simplemente ejecutaremos la siguiente sintaxis:
client.sys.config.sysinfoVemos que nos arroja una clase de tipo hash, mi salida por pantalla sería:
(http://i.imgur.com/vJ2tnn2.jpg)
Como podemos ver dentro de esta clase de objeto podríamos llamar distintos elementos por su clave, pero eso se lo dejo al lector para que se entretenga en sus ratos libres. Es importante destacar que dentro del objeto client tiene diversos métodos, los cuales se pueden observar mediante la siguiente sintaxis:
client.methodsHay una gran lista y cual mas interesante, pero en esta ocasión entraremos en contacto con el método "railgun", mi salida por pantalla sería tal que así:
(http://i.imgur.com/WXMx7Ak.jpg)
Railgun es una característica única de meterpreter que nos ayudará a tener el control de la API de Windows o tomar el control de una DLL y es eso lo que lo hace tan interesante pues como mencioné anterior mente nos abre un nuevo camino en nuestras auditorias y/o pruebas de penetración.
Podemos ver las DLL cargadas mediante la siguiente instrucción:
client.railgun.known_dll_namesLa salida sería algo así:
(http://i.imgur.com/6bsHQFl.jpg)
Bueno ahora os mostraré como poder jugar con dichas DLL. En caso de que no sepamos que funciones podemos realizar con las DLL nos ayudaremos de Microsoft, supongamos que queremos obtener el ID del proceso al que migramos anteriormente, sabemos que con la DLL kernel32 lo podemos hacer pero desconocemos la función a utilizar. Gracias a Google y Microsoft podríamos acceder a la lista de funciones en mi caso sería esta:
http://www.geoffchappell.com/studies/windows/win32/kernel32/api/Buscaremos la función a utilizar y luego para saber la sintaxis de dicha función nos ayudaremos de MSDN en mi caso sería la función: "GetCurrentProcessId" la url:
https://msdn.microsoft.com/es-es/library/windows/desktop/ms683180(v=vs.85).aspxComo vemos no necesita ningún parámetro por consiguiente ejecutamos lo siguiente:
client.railgun.kernel32.GetCurrentProcessIdNos devolverá algo así:
(http://i.imgur.com/xrktrNI.jpg)
Y de esta manera podrás buscar información sobre las DLL y jugar con sus funciones obviamente nadie sabe de memoria todo y los programadores sabrán que con frecuencia se recurre a esta metodología de búsqueda, recordar que la practica hace al maestro.
Para finalizar se llevó a cabo la ejecución de una alerta con railgun el resultado:
(http://i.imgur.com/9RKR9Bd.jpg)
Con esto doy por concluido el post, dejo a imaginación del lector lo que se puede llegar a realizar...
Un saludo!
Me lo apunto. No tengo ni idea de cómo funciona railgun, pero como jugador de Quake me siento lo suficientemente interesado como para ponerme a buscar.
Sobre Railgun andaba haciendo pruebas antes de comenzar con mi estudio para mi examen y con esta entrada Mago me quedo mas que claro la idea base para comenzar y seguir muchas gracias por el aporte.
Regards,
Snifer