Blog

Conociendo Meterpreter – Parte IV – Obteniendo datos y modificación de timestamp

Para ver la serie completa pulsa aqui. Habrá conceptos que se den por obvios ya que están explicados en artículos anteriores.

Buenas a todos! En este nuevo post de la serie “Conociendo Meterpreter” vamos a ver una serie de interacción que podemos llevar a cabo con el sistema vulnerado gracias a meterpreter como por ejemplo obtener, modificar, crear o eliminar datos y ficheros o como podemos modificar el timestamp de dichos ficheros para evitar que puedan llamar la atención.

Para empezar, igual que siempre vamos a ver el entorno en el que vamos a trabajar. Por un lado tenemos nuestra maquina virtual con un Windows XP que será la maquina víctima, y por otro mi ordenador con Kali instalado. La configuración de la maquina virtual es la misma de siempre, y es la siguiente…

portscan_2

 

Así que para empezar con el post en si vamos a abrir Metasploit, configurar y lanzar el exploit…

data_1

 

Lo primero que vamos a hacer es movernos una vez tengamos la shell de meterpreter en la maquina victima a C:/, listar su contenido y descargar mediante el comando “download” cualquier fichero, en este caso boot.ini…

data_2

 

Como vemos en la imagen anterior ya hemos descargado el fichero boot.ini, por lo que nos vamos a una consola y vemos como ya lo tenemos en nuestro directorio…

data_3

 

Y como vemos se ha descargado de forma correcta. Otra cosa que podríamos hacer seria editar cualquier fichero mediante el comando “edit”, en este caso vamos a editar el fichero “webclient.log” que esta vacio y vamos a introducir “hola!”…

data_4

 

Una vez editado volvemos a listar los documentos y vemos que se ha modificado el tamaño tras modificar el archivo, podemos abrirlo mediante el comando “cat” y comprobar lo que tiene en su interior…

data_5

 

Con estos comando básicos podríamos empezar a obtener información del usuario al que hemos vulnerado la maquina, pudiendo modificar, crear, eliminar o buscar (mediante el comando “search”) cualquier tipo de archivo donde pudiera estar almacenada información importante.

Otra de las formas que tendríamos para poder obtener información es la utilización del keylogger que trae meterpreter. Para ello únicamente tenemos que activarlo de la siguiente forma…

data_6

 

Una vez hecho esto nos vamos a la maquina vulnerada y escribimos cualquier cosa simulando ser un usuario y después volcamos el contenido del buffer donde se almacena la información para ver que hemos obtenido, pero… Uno de los problemas con los que nos podemos topar al hacer esto es el siguiente…

data_7

 

Como vemos el buffer está vacio cuando sí que hemos escrito datos… Y el problema está como vemos en la siguiente imagen en que estamos ejecutando todos los comandos en el sistema vulnerado como y para el usuario System que no es el que esta logeado en este caso…

data_8

 

En este caso la maquina vulnerada esta ejecutándose como el usuario Administrador, lo cual es fácil de ver al listar los procesos y ver que algunos de ellos están siendo ejecutados como ese usuario. Por ello necesitamos cambiarnos de usuario, lo cual como hemos visto en post anteriores de la serie podríamos hacerlo migrando a un proceso de ese usuario de la siguiente forma…

data_9

 

Como ya tenemos los permisos y vamos a ejecutar los scripts como el usuario Administrador que es el que esta logeado, ahora si volvemos a activar el keylogger…

data_10

 

Y vemos como al volcar los datos del buffer nos muestra la información que hemos escrito…

data_11

 

Con esto hemos visto la importancia de controlar con que usuario ejecutamos las cosas, además de ver cómo podríamos sacar información tanto de los ficheros de la maquina vulnerada como mediante el keylogger.

Ahora vamos a ver cómo podríamos modificar el timestamp de un fichero que por ejemplo pudiera ser una backdoor o el fichero como veremos más adelante que permite realizar una backdoor persistente con meterpreter. Para este caso vamos a crear un nuevo directorio donde introduciremos un nuevo archivo que será sobre el que hagamos las pruebas. Una vez creamos el archivo introducimos alguna información dentro y observamos que al listarlo nos devuelve lógicamente la fecha de creación…

cambiando_fecha_1

cambiando_fecha_2

 

Una vez hemos creado el fichero vamos a ver como mediante el comando “timestamp” podríamos modificar la fecha de creación, poniéndola en el 2020 (futuro) como ejemplo…

cambiando_fecha_3 cambiando_fecha_4

 

Como vemos en las anteriores imágenes, cambiar características como la fecha de modificación o creación es trivial gracias a timestamp, lo cual es muy útil para ocultar archivo y evitar que llamen la intención por su fecha.

Hasta aquí llega el post de hoy, espero que os haya gustado y en el siguiente mas 😉

Un saludo,

Eduardo – eduardo@highsec.es – @_Hykeos

  1. BTshell
    BTshell08-31-2013

    Muy bueno Edu, sigue así con esta serie que es estupenda tio ;).

Leave a Reply

*

    No Twitter Messages