Blog

Conociendo Meterpreter – Parte VI – Módulos Sniffer y Espia

Para ver la serie completa pulsa aqui. Habrá conceptos que se den por obvios ya que están explicados en artículos anteriores.

Buenas a todos! En este nuevo post vamos a ver las diferentes opciones que tienen los módulos Sniffer y Espia de meterpreter y cómo podíamos utilizarlos en la fase de post-explotación para seguir obteniendo mas información.

El entorno es el mismo que hemos visto anteriormente donde la maquina objetivo será un Windows XP vulnerable. Una vez estamos dentro de la maquina y hemos obtenido la shell de meterpreter lo primero que vamos a hacer es cargar los módulos necesarios de la siguiente forma…

sniffer_espia_2

 

Una vez tenemos los dos módulos cargados podemos utilizar el comando “help” de meterpreter para obtener información acerca de las posibles funcionalidades de estos módulos. Como podemos ver a continuación básicamente es obtener un pantallazo del escritorio vulnerado (Muy similar al comando “screeshot”) en cuanto al modulo Espia y poder sniffar todo el trafico de la víctima con el modulo Sniffer…

sniffer_espia_3

 

Para poder utilizar la función “screengrab” del modulo Espia únicamente necesitamos introducir el comando en la consola y nos guardara en nuestra carpeta un .jpg con el pantallazo de lo que está pasando actualmente en el escritorio de la víctima como vemos a continuación…

sniffer_espia_4

sniffer_espia_5

 

Como veis este modulo tiene realmente poca funcionalidad pues implementa lo mismo que la función “screeshot”. Vamos a pasar ahora al modulo Sniffer que si que nos permite obtener gran cantidad de datos una vez vulnerada la maquina. Para empezar lo primero que tenemos que hacer es listar las interfaces de red que tenga la maquina seleccionada para ver cuál de ellas nos interesa sniffar…

sniffer_espia_6

 

Una vez sabemos cuál es la interfaz que nos interesa podemos comenzar a esnifar los datos y paquetes que envíe la victima utilizando el comando “sniffer_start” que como vemos en la imagen necesita una serie de parámetros que son el id de la interfaz que queremos esnifar y por otro lado  el tamaño del buffer donde se van a guardar los datos. En nuestro caso vamos a utilizar la interfaz 1 y un buffer de 1024 paquetes, que aunque es pequeño nos vale para la prueba…

sniffer_espia_7

 

Como vemos en la anterior imagen a comenzado a capturar paquetes, y podemos ir viendo el estado de los paquetes y los bytes esnifados utilizando el comando “sniffer_stats” y el numero de la interfaz que está siendo esnifada…

sniffer_espia_8

 

Ahora para la prueba nos vamos a ir a la maquina vulnerada y vamos a ejecutar el comando “ping” para que haga una serie de pings a la ip 8.8.8.8 y genere trafico que podamos analizar…

sniffer_espia_9

 

Ahora volvemos a utilizar el comando “sniffer_stats” para comprobar la cantidad de datos que hemos esnifado…

sniffer_espia_10

 

Ahora que ya tenemos capturados los paquetes del ping vamos a hacer un volcado de todos esos datos en un archivo .pcap…

sniffer_espia_11

 

Ahora que ya tenemos el archivo en nuestra maquina local podemos abrirlo con wireshark y ver que hemos capturado todos los paquetes que a enviado la maquina vulnerada que en este caso era un simple ping, pero en un caso real podríamos obtener gran cantidad de credenciales de la victima logeandose contra paginas http…

sniffer_espia_12sniffer_espia_13

 

Una vez tenemos todos los datos y demás únicamente necesitamos para el sniffer de la siguiente manera para que deje de capturar los paquetes que son enviados y recibidos por la victima…

sniffer_espia_14

 

Y hasta aquí llega el post de hoy, espero que os haya gustado y en el próximo post hablaremos sobre como dejar backdoor de forma permanente y cómo manejarlas con meterpreter.

Un saludo,

Eduardo – eduardo@highsec.es – @_Hykeos

  1. BTshell
    BTshell09-10-2013

    Muy nueno Edu 😉

  2. R0dw3
    R0dw309-10-2013

    Chapó como siempre Eduardo!

Leave a Reply

*

    No Twitter Messages