Blog

Conociendo Meterpreter – Parte VII – Backdoors

Para ver la serie completa pulsa aqui. Habrá conceptos que se den por obvios ya que están explicados en artículos anteriores.

Buenas a todos! En este nuevo post de la serie “Conociendo Meterpreter” vamos a ver como podríamos crearnos una backdoor desde meterpreter para poder acceder al sistema comprometido siempre que queramos.

El entorno es el mismo que hemos visto anteriormente donde la maquina objetivo será un Windows XP vulnerable. Una vez estamos dentro de la maquina y hemos obtenido la shell de meterpreter. Para crear una backdoor y mantener el acceso en el sistema vamos a utilizar el script de meterpreter “persistance”, si ponemos en nuestra shell “run persistance” se ejecutara dicho script y nos permitirá instalar una backdoor en el sistema para poder acceder siempre como vemos a continuación…

meterpreter_backdoor_1

 

Pero si lo ejecutamos así no sabemos bien que es lo que está haciendo el script por dentro, por lo tanto vamos a ver las opciones que nos proporciona dicho script y cómo podemos configurarlo de forma correcta para que ejecute e instale la backdoor como nosotros queremos. Para ello lo primero que vamos a hacer es ver las opciones y lo podemos hacer introduciendo “run persistance -h” como vemos a continuación…

meterpreter_backdoor_2

 

Como vemos tenemos gran cantidad de opciones entre las que se encuentran el payload que queremos seleccionar, la localización de la backdoor, si se va a activar automáticamente cuando se inicie el sistema o cuando se logee el usuario, cada cuánto tiempo va  a intentar la conexión, etc…

Por lo que vamos a personalizar nuestra backdoor de la siguiente manera…

meterpreter_backdoor_3

 

En este caso yo he hecho que se active de forma automática el multi/handler (-A), que la localización de la backdoor sea la raíz (-L C:\\), que automáticamente se intentes conexiones al iniciar el sistema (-X),  que intente conectarse cada 15segundos (-i 15), que mi dirección ip es la 192.168.1.13 que es donde se intentara conectar (-r 192.168.1.13) y que el puerto es el 443 (-p 443). Tal cual hacer esto el sistema víctima se intenta conectar con nosotros y repetirá la acción cada 15 segundos hasta que lo logre por lo que nos aparece lo siguiente…

meterpreter_backdoor_4

 

Como vemos ha abierto una nueva sesión debido a la instalación de la backdoor…

meterpreter_backdoor_5

 

Podemos comprobar que el archivo se ha subido de forma correcta a la maquina victima visitando la raíz en dicho sistema…

meterpreter_backdoor_6

 

Ahora que hemos comprobado que esta todo en orden vamos a reiniciar el equipo victima para comprobar que funciona correctamente la backdoor instalada, para ello cerramos la primera sesión y con la segunda reiniciamos el equipo…

meterpreter_backdoor_7

meterpreter_backdoor_8

 

Una vez se está apagando se corta la conexión con la victima por lo que nos quedamos sin sesiones activas, pero en cuanto el servidor comienza a iniciarse vemos lo siguiente…

meterpreter_backdoor_9

 

Como vemos de forma automática se nos a abierto la conexión con el host victima (Meterpreter lo entiende como pivoting del puerto 443 nuestro al 54145, pues al 443 es donde se conecta la víctima y de ese puerto pasa al puerto donde esta realmente ejecutándose el meterpreter, por eso aparece mi ip). Así que ya únicamente tenemos que iniciar la sesión 3 que es la que acaba de ser abierta y ya tenemos de nuevo acceso al equipo victima…

meterpreter_backdoor_11

 

Ahora vamos a ver que para eliminar la backdoor lo único que tenemos que hacer es dirigirnos a la carpeta ./msf4/logs/persistance, y ahí tendremos una carpeta por cada host comprometido así como la fecha y el identificador. Por lo tanto dentro de esa carpeta tendremos un archivo con el mismo nombre (*.rc) que será el que tendremos que ejecutar desde nuestra sesión de meterpreter, ESTANDO EN LA MISMA SESSION QUE LA QUE QUEREMOS ELIMINAR LA BACKDOOR, por lo tanto podríamos ejecutar el comando y ver como la backdoor se ha eliminado…

meterpreter_backdoor_12

 

Para comprobar que la backdoor ha sido realmente eliminada del sistema lo único que tenemos que hacer es reiniciar el equipo victima desde la sesión de meterpreter y ver que ya no se conecta con nosotros y por lo tanto no nos abre ninguna sesión…

meterpreter_backdoor_13 meterpreter_backdoor_14

 

Y como podemos observar esta todo correcto y la backdoor desinstalada. Y esto es todo por este post! Espero que os haya gustado!

Un saludo,

Eduardo – eduardo@highsec.es – @_Hykeos

Leave a Reply

*

    No Twitter Messages