15/11/11

Meterpreter Scripts

Meterpreter es un Payload que se ejecuta después del proceso de explotación o abuso de una vulnerabilidad en un sistema operativo, meterpreter es el diminutivo para meta-interprete y se ejecuta completamente en memoria; evitando así tener problemas con los Antivirus.

En este artículo se describen algunos scripts que pueden ser utilizados a traves de este shellcode:

1. Identificar si el sistema víctima se encuentra en una maquina virtual.
2. Consultar la configuración de seguridad.
3. Habilitar el escritorio remoto en la maquina víctima.
4. Habilitar el servicio de Telnet.
5. Deshabilitar el Antivirus
6. Consultar la máscara de red
7. Modificar el archivo de HOSTS
8. Enumerar la información del sistema a través de wmic
9. Consultar información detallada de la maquina atacada, puede también capturar tokens, hashes, etc.
10. Consultar y capturar todo el registro Windows




CHECKVM

Permite identificar si el sistema víctima se encuentra en una maquina virtual.

GETCOUNTERMEASURE

Permite consultar la configuración de seguridad existente en la maquina víctima y puede deshabilitar otras características como Antivirus, Firewall, etc.

GETGUI

Permite habilitar el escritorio remoto en la maquina víctima, crea un usuario/password para hacer uso de la conexión.

GETTELNET

Permite habilitar el servicio de Telnet.

KILLAV

Permite Deshabilitar el Antivirus y otros sistemas de seguridad.


GET_LOCAL_SUBNETS

Permite consultar la máscara de red, esto puede llegar a ser útil para el proceso de Pivoting.

HOSTSEDIT

Permite modificar el archivo de HOSTS.

REMOTEWINENUM

Permite enumerar la información del sistema a través de wmic.

WINENUM

Permite consultar información detallada de la maquina atacada, puede también capturar tokens, hashes, etc.

SCRAPER

Permite consultar y capturar todo el registro Windows de la maquina.


**Scripts proporcionados por darkoperator

BROWSERENUM-DEV

Permite consultar toda la información almacenada en el browser: Firefox, internet Explorer y Chrome.

Para este caso el script fallo en su ejecución, al momento en que uds lo ejecuten se darán cuenta que es un error en los paths (falta editar dichos path en el archivo Ruby .rb).

download

DISABLE_AUDIT

Permite deshabilitar los eventos de auditoría a través de la modificación de las políticas locales de seguridad en la maquina víctima. Después de eliminar los registros el script habilita de nuevo el servicio de auditoria tal y como estaba antes de la modificación.

sownload

KEYLOGRECORDER

Permite almacenar todos los eventos de tecleados por el usuario en la maquina victima en una base de datos sqlite, este script ya hace parte del framework de Metasploit.

download

SOUNDRECORDER

Permite grabar y almacenar todo lo que se escucha a través del micrófono por una cantidad determinada de tiempo.

download

WINBF

Permite realizar un ataque de fuerza bruta al login de Windows a través de un escritorio remoto.

download

http://www.nyxbone.com/metasploit/MeterpreterScripts.html

No hay comentarios: