Meterpreter es un Payload que se ejecuta después del proceso de explotación o abuso de una vulnerabilidad en un sistema operativo, meterpreter es el diminutivo para meta-interprete y se ejecuta completamente en memoria; evitando así tener problemas con los Antivirus.
En este artículo se describen algunos scripts que pueden ser utilizados a traves de este shellcode:
1. Identificar si el sistema víctima se encuentra en una maquina virtual.
2. Consultar la configuración de seguridad.
3. Habilitar el escritorio remoto en la maquina víctima.
4. Habilitar el servicio de Telnet.
5. Deshabilitar el Antivirus
6. Consultar la máscara de red
7. Modificar el archivo de HOSTS
8. Enumerar la información del sistema a través de wmic
9. Consultar información detallada de la maquina atacada, puede también capturar tokens, hashes, etc.
10. Consultar y capturar todo el registro Windows
CHECKVM
Permite identificar si el sistema víctima se encuentra en una maquina virtual.
GETCOUNTERMEASURE
Permite consultar la configuración de seguridad existente en la maquina víctima y puede deshabilitar otras características como Antivirus, Firewall, etc.
GETGUI
Permite habilitar el escritorio remoto en la maquina víctima, crea un usuario/password para hacer uso de la conexión.
GETTELNET
Permite habilitar el servicio de Telnet.
KILLAV
Permite Deshabilitar el Antivirus y otros sistemas de seguridad.
GET_LOCAL_SUBNETS
Permite consultar la máscara de red, esto puede llegar a ser útil para el proceso de Pivoting.
HOSTSEDIT
Permite modificar el archivo de HOSTS.
REMOTEWINENUM
Permite enumerar la información del sistema a través de wmic.
WINENUM
Permite consultar información detallada de la maquina atacada, puede también capturar tokens, hashes, etc.
SCRAPER
Permite consultar y capturar todo el registro Windows de la maquina.
**Scripts proporcionados por darkoperator
BROWSERENUM-DEV
Permite consultar toda la información almacenada en el browser: Firefox, internet Explorer y Chrome.
Para este caso el script fallo en su ejecución, al momento en que uds lo ejecuten se darán cuenta que es un error en los paths (falta editar dichos path en el archivo Ruby .rb).
download
DISABLE_AUDIT
Permite deshabilitar los eventos de auditoría a través de la modificación de las políticas locales de seguridad en la maquina víctima. Después de eliminar los registros el script habilita de nuevo el servicio de auditoria tal y como estaba antes de la modificación.
sownload
KEYLOGRECORDER
Permite almacenar todos los eventos de tecleados por el usuario en la maquina victima en una base de datos sqlite, este script ya hace parte del framework de Metasploit.
download
SOUNDRECORDER
Permite grabar y almacenar todo lo que se escucha a través del micrófono por una cantidad determinada de tiempo.
download
WINBF
Permite realizar un ataque de fuerza bruta al login de Windows a través de un escritorio remoto.
download
http://www.nyxbone.com/metasploit/MeterpreterScripts.html
No hay comentarios.:
Publicar un comentario