Blog

Conociendo Meterpreter – Parte III – Borrando Logs, Deshabilitando Firewall y Antivirus

Para ver la serie completa pulsa aqui. Habrá conceptos que se den por obvios ya que están explicados en artículos anteriores.

Buenas a todos! En este tercer post de la serie “Conociendo Meterpreter” vamos a ver cómo podríamos borrar los logs que hayamos podido dejar con la intrusión, como se podría deshabilitar el firewall y como matar el antivirus.

Para la realización de este post vamos a tener el mismo escenario de siempre, una maquina virtual con un Windows XP vulnerable al exploit ms08_067_netapi como víctima cuya configuración de red es la siguiente…

portscan_2

 

Lo primero que haremos como siempre será lanzar el metasploit y ejecutar el exploit contra la victima para que nos devuelva una shell de meterpreter…

meterpreter_2

 

Una vez hemos ejecutado el exploit y hemos cacharreado un poco por la maquina vulnerada (No lo pongo para evitar que se extienda demasiado, seria ejecutar algunos comandos sin mas) vamos a ver que logs tiene registrados la maquina vulnerada…

clean_logs_1 clean_logs_2 clean_logs_3

 

Como podemos observar en la maquina vulnerada hemos dejado gran cantidad de logs que dejarían claro en un análisis forense que hemos sido nosotros. Una de las formas que tenemos de borrar los logs (No borra todos los posibles logs del sistema que se haya producido pero si muchos) seria utilizando el comando “clearev” como podemos ver a continuación…

clean_logs_4

 

Como podemos observar a borrado los diferentes eventos que habíamos provocado en el sistema de logs, por lo que volvemos a la maquina virtual y vemos que se han borrado todos 😉

clean_logs_5 clean_logs_6

 

Esto sin duda es realmente practico, aunque como he dicho cuando realizamos un test de intrusión tenemos que tener muy claro e ir apuntado todo lo que hacemos con el fin de luego poder borrar cualquier log que hayamos podido dejar, no únicamente los logs de eventos del sistema.

Bueno una vez hemos visto como borrar los logs vamos a ver como podríamos desactivar el firewall de la maquina vulnerada. Como vemos en la siguiente imagen el firewall esta activado…

disable_firewall_2

 

Así que… Vamos a desactivarlo! Para ello realizamos el comando “execute -f cmd.exe -c -H” que nos va a permitir abrir un canal interactivo (-c) de forma oculta (-H) donde tendremos acceso a una consola de Windows (-f cmd.exe), para abrir la shell debemos ejecutar “interactive NUM_CHANNEL” como se muestra a continuación…

disable_firewall_3

 

Para comprobar el estado actual del firewall realizamos el siguiente comando “netsh firewall show opmode” como vemos al final de la imagen…

disable_firewall_4

 

En la imagen anterior podemos ver seleccionado que el firwall se encuentra habilitado, por lo que… Vamos a deshabilitarlo ;)! Para ello necesitamos introducir el siguiente comando “netsh firewall set opmode mode= DISABLE” como vemos a continuación…

disable_firewall_5

 

Ahora volvemos a comprobar el estado del firewall y vemos que se encuentra deshabilitado…

disable_firewall_7

 

La única pega es que cuando realizamos esta acción a la víctima le aparece abajo a la izquierda un pop-up que le avisa de que el equipo puede estar en peligro como vemos en la imagen…

disable_firewall_6

 

Aun así este método es realmente efectivo ya que como podemos observar en la imagen anterior el firewall a sido desactivado sin problemas, lo cual nos permitiría poder realizar una gran cantidad de acciones como veremos a continuación. Una vez hemos visto esto vamos a pasar a la ultima parte que sería como podríamos deshabilitar o matar el antivirus. Para realizar esta acción tenemos el comando “killav” de meterpreter que se encarga de hacerlo él solito como vemos a continuación…

kill_av_1

 

En este caso no a matado ningún antivirus porque no hay ninguno instalado, pero si lo hubiera lo haría, siempre y cuando los tenga dentro del script. Con esto me refiero a que el script “killav” realmente lo que hace es buscar una serie de .exe que tiene guardados y en caso de encontrarlos los mata. Este script lo podemos encontrar en el siguiente directorio…

kill_av_2

 

Si lo abrimos y vemos que antivirus busca nos damos cuenta de que muchísimos, pero aun así, si no encuentra uno concreto lo único que tenemos que hacer es listar los procesos de la maquina vulnerada, sacar el nombre del .exe del antivirus e introducirlo en el script, añadiéndolo como uno más a la lista…

kill_av_3 kill_av_4

 

Y hasta aquí el post de hoy en el que hemos visto algunas de las acciones más importantes que podemos realizar en la fase de post-explotación con meterpreter pero… Aun quedan 5 posts en los que hablaremos de muchas más cosas que se pueden hacer con este magnifico payload de Metasploit.

Espero que os haya gustado!

Un saludo,

Eduardo – eduardo@highsec.es – @_Hykeos

  1. BTshell
    BTshell08-15-2013

    BRAVO eDU BRAVISIMO, BUEN POST, ME QUITO EL SOMBRERO 😉

  2. Pablo
    Pablo08-19-2013

    Me encanta ver la pasión que le ponéis a todo lo que hacéis, chicos de HighSec 🙂

    Seguid así.

Leave a Reply

*

    No Twitter Messages