DIA#27-Ethical Hacking Tools (Metasploit- O que fazer depois do exploit part3)

-

    Hoje continuo com o tutorial ainda no que fazer depois do exploit.

 

Pivoting

    Quando se fala de pivoting, fala-se de uma técnica utilizada para se poder movimentar dentro da network, basicamente usa-se um PC comprometido para comprometer os outros previamente inacessíveis.
    Um exemplo de pivoting é usar "use exploit/windows/browser/ms10_002_aurora" com um "URIPATH", "reverse_tcp" em termos de payload e um "LHost". Tudo isto usa-se para enviar um link para o target de modo a ter acesso ao seu PC. De seguida utiliza-se "ipconfig" na sessão do Meterpreter para obter mais informações sobre a rede, neste caso descobrindo que existe um sistema dual-homed (dispositivo ethernet que tem mais que um network interface para ter redundância), sabendo isto pode-se usar no Meterpreter "run autoroute -s 10.1.13.0/24", em que 10.1.13.0/24 é a network descoberta anteriormente, seguido por "run autoroute -p", para atacar a segunda máquina a partir da primeira. Agora que se tem a segunda máquina comprometida usa-se no Meterpreter "getsystem" para aumentar as permissões para "SYSTEM", corre-se "run hashdump" para fazer dump das hashes das passwords e mete-se a sessão do Meterpreter em background com "CTRL+Z". Seguidamente usa-se "use auxiliary/scanner/portscan/tcp" neste caso fazendo scan dos portos 139 e 445, a partir de onde se podem observar mais máquinas na network com esses portos abertos onde se usa "use exploit/windows/smb/psexec" com o hash obtido anteriormente em "SMBPass" e com "windows/meterpreter/bind_tcp" como payload, se o ataque for bem sucedido temos outra máquina comprometida. Após tudo isto usa-se o "ipconfig" outra vez e repete-se o processo enquanto se poder.
    Uma outra ferramenta para pivoting é o uso do comando "portfwd" que permite acesso a máquinas normalmente indisponíveis.

Timestomp

    Interagir com filesystems deixa alguns vestígios da presença do hacker, sendo preferível não mexer nos filesystems. Esta é uma das melhores características do Meterpreter, pelo facto de este fazer load na memoria sem escrever nada no disco. Mesmo assim existem ocasiões em que é necessário interagir com o filesystem, nestas ocasiões deve-se usar a ferramenta "timestomp", onde se pode ver e modificar quando determinados ficheiros forma criados e/ou modificados, pode também retirar os diferentes tempos MAC presentes, isto faz com que ao verificar o tempo com "timestomp" estes fiquem listados por exemplo como criados em 2106, isto pode fazer algumas ferramentas de detecção tenham problemas, no windows irá aparecer criado em 1/1/1601, isto deve-se a esta data ser usada como a base das datas dos ficheiros e das directorias de logon activas pelo windows.
    Apesar desta ferramenta ser bastante útil é sempre necessário ter cuidado uma vez que existem diferentes maneiras de ver quando os ficheiros foram modificados para além dos tempos MAC.

Captura de Ecrã

    Outra capabilidade existente no Metasploit é a capacidade de capturar o desktop da vitima e guardá-lo para isso assume-se que já se tem uma sessão aberta de Meterpreter usa-se "ps" para ver a listagem dos processos, depois "migrate 260" em que 260 é o numero do PID do processo "Explorer.EXE" na listagem anterior, seguido por "use espia" e finalmente "screengrab", que irá guardar um ficheiro .jpeg. 
    Obviamente tudo isto só irá funcionar em desktops activos.

Procurar ficheiros

    Outra ferramenta existente quando se tem uma sessão Meterpreter é "search" em que se pode procurar por ficheiros no PC comprometido, por exemplo "search -f *.jpg", procura todos os .jpg e "search -d c:\\documents\ and\ settings\\administrator\\desktop\\ -f *.pdf", procura os ficheiros .pdf nas directorias mencionadas.

John the Ripper

    John the Ripper é um módulo utilizado para identificar passwords fracas obtidas através de hashed files ou raw LANMAN/NTLM hashes. 
    Para descobrir passwords complexas John the Ripper deve ser utilizado fora do Metasploit.


PS.

Comentários

Enviar um comentário

Mensagens populares deste blogue

DIA#36-OverTheWire-Bandit (LVL 2)

-
Imagem
 Continuo no OverTheWire desta vez para o nível 2, em que é necessário utilizar o comando " cat ./- " em que se coloca "./-" para especificar a localização completa (o ponto especifica a directoria corrente)  para obter a password "CV1DtqXWVFXTvM2F0k09SHz0YwRINYA9".  De seguida repete-se o que se tem feito com o uso de " ssh bandit2@bandit.labs.overthewire.org -p2220 " colocando-se posteriormente a password obtida. Pode-se ver o processo em baixo. PS.  Durante a análise deste nível descobri tanto que o "." representa a directoria actual (como foi mencionado em cima), como que o ".." representa a parent directory como se pode ver em baixo.           A partir do exemplo de cima parece que " cd . " não faz nada, mas se o utilizador quiser voltar à directoria onde estava anteriormente através do uso de " cd - ", depois do uso de " cd . " volta-se para a directoria corrente. Isto deve-se à mudança ocor...
Ler mais

DIA#45-OverTheWire-Bandit (LVL 11)

-
Imagem
     Continuo no OverTheWire desta vez para o nível 11. A resolução deste nível é bastante simples sendo apenas necessário descodificar data encoded com base64, para isso usa-se " base64 -d data.txt " em que a flag " -d " faz descodificar o que está no ficheiro " data.txt ". Daqui retira-se a password "IFukwKGsFW8MOq3IRFqrxE1hxTNEbUPR". Seguidamente repete-se o que se tem feito usando de " ssh bandit11@bandit.labs.overthewire.org -p2220 " colocando-se posteriormente a password obtida. Pode-se ver o processo em baixo. PS. Com o comando " base64 " faz-se encode/decode para/de base64, para um olhar mais aprofundado recomendo ir a " https://linuxhint.com/bash_base64_encode_decode/ ".
Ler mais

DIA#52-OverTheWire-Bandit (LVL 18)

-
Imagem
     Continuo no OverTheWire desta vez para o nível 18. Que é bastante simples, sendo apenas necessário o uso do comando " diff " para encontrar a diferença entre os ficheiros " password.new " e " password.old ", isto faz-se usando " diff passwords.new passwords.old " que vai dar o seguinte output.      Em que " 42c42 " significa que é necessário mudar o texto da linha 42 do primeiro ficheiro (password.new) para ficar igual à linha 42 do seguindo ficheiro (password.old), mostrando de seguida as linhas que são diferentes, em que " < " significa que é do primeiro ficheiro (o que interessa) e  ">" do segundo ficheiro. Daqui retira-se a password "kfBf3eYk5BPBRzwjqutbbfE887SVc5Yd".      Seguidamente sai-se ambos os hosts bandit e repete-se o que se tem feito usando de " ssh bandit18@bandit.labs.overthewire.org -p2220 " colocando-se posteriormente a password obtida. Onde, neste caso, vai sair com ...
Ler mais