Archivo

Archive for the ‘MetaSploit’ Category

Intentando evadir mecanismos y restricciones de Seguridad – Evadiendo Firewalls usando MetaSploit Framework – Parte V

febrero 20, 2012 6 comentarios

Existen diferentes técnicas para el establecimiento de una conexión entre dos máquinas que se encuentran separadas y condicionadas por un firewall que evita que determinados puertos, protocolos y/o hosts puedan establecer conexiones, aunque se trata de un mecanismo bastante eficiente, en muchas ocasiones estas reglas no restringen absolutamente todo por diferentes razones, como por ejemplo, la necesidad de tener determinados puertos abiertos para realizar conexiones a un servicio externo, entre otras cosas. Esta situación es bastante frecuente en algunas organizaciones, donde alguna de las aplicaciones internas necesita acceso a un servicio externo y para este fin se debe dejar abierto uno o varios puertos. En este escenario se puede realizar un ataque de “fuerza bruta” en busca de una conexión pasando por el firewall, para este fin se utilizan los payload windows/*/reverse_tcp_allports que intentan capturar alguno de estos puertos abiertos e iniciar la transferencia del stage.

Leer más…

Intentando evadir mecanismos y restricciones de Seguridad – Ataques contra plataformas Linux creando ficheros DEB maliciosos – Parte III

febrero 15, 2012 Deja un comentario

En entradas anteriores sobre Payloads en MetasSploit, se ha hecho énfasis especial sobre Payloads contra plataformas Windows y como estos conseguían burlar la seguridad de la víctima. En esta ocasión se intentará indicar el procedimiento que frecuentemente se lleva a cabo para conseguir estos mismos resultados sobre plataformas GNU/Linux, en este caso particular sobre distribuciones Debian/Ubuntu por medio de envenenamiento de paquetes de instalación (*.DEB)

El procedimiento es muy sencillo, a continuación se listan los pasos que se deben de llevar a cabo para conseguir una consola remota usando un DEB infectado.

Leer más…

Intentando evadir mecanismos y restricciones de Seguridad – Evadir Anti-Virus usando MetaSploit Framework y Visual Basic contra plataformas Windows – Parte II

febrero 13, 2012 2 comentarios

En la anterior entrada, se ha indicado la forma de realizar un “bypass” utilizando MetaSploit Framework y una plantilla simple escrita en lenguaje C, en esta ocasión, se intentará explicar la forma de “infectar” un documento de MicroSoft Office (word, excel, etc.) por medio de una macro maliciosa generada por metasploit framework, la virtud de tipo de ataques es que no son detectables por un AV, ya que los AV normalmente suelen confiar en el contenido que se ejecuta dentro de los procesos de programas instalados y frecuentemente utilizados, (como en este caso un programa ofimatico) lo que le permite a un atacante enviar un documento malicioso a un usuario con el fin de comprometer su máquina, no obstante, existen mecanismos de seguridad en Office que no permite la ejecución de Macros, pero si el documento es generado directamente por el atacante y enviado a la víctima, evidentemente el nivel de seguridad que intentará establecer para el documento será bajo de tal forma que cuando el objetivo del ataque abra el documento, no encontrará nada sospechoso en él.

Leer más…

Intentando evadir mecanismos y restricciones de Seguridad – Evadir Anti-Virus usando custom encoders, Lenguaje C y Metasploit Framework – Parte I

febrero 10, 2012 6 comentarios

Esta es la primera de una serie de entradas que intentarán indicar las técnicas de hacking que frecuentemente se utilizan con el fin de comprometer una maquina remota que implementa mecanismos de seguridad y restricciones que dificultan las labores de penetración de un pentester o un hacker, en esta serie de entradas se indicará como es posible evadir dichas restricciones (restricciones de AV, IDS o Firewalls).

En muchos casos nos encontramos con la necesidad de distribuir un backdoor o cualquier tipo de troyano en una maquina objetivo con el fin de tener acceso a los recursos de dicha máquina para ejecutar alguna clase de tarea, sin embargo, estos son fácilmente detectados por antivirus como NOD32, AVG, Norton, etc. Esto ocurre debido a su gran cantidad de registros e información relacionada con virus, troyanos, puertas traseras, etc. Ademas de los mecanismos que incorporan para detectar de forma efectiva algún tipo de amenaza que pueda representar un riesgo para el sistema. Un antivirus frecuentemente verifica si un fichero representa un riego o no por medio de determinadas firmas o “signatures” que tiene un programa ejecutable, estas firmas corresponden a una serie de patrones de comportamiento que tiene el programa, estos patrones son obtenidos por un antivirus por medio de un proceso de desensamblaje que convierte el código ejecutable en código en ensamblador, si dentro de este código, existe al menos una de las firmas registradas en el antivirus, este programa es marcado como no fiable, ya que probablemente se trate de un troyano o algún otro tipo de amenaza.

Leer más…

Utilizando IRB desde Meterpreter, Explorando RailGun

octubre 5, 2011 Deja un comentario

Railgun es una extensión de Metepreter diseñada específicamente para maquinas comprometidas bajo plataformas windows y permite realizar invocaciones directas a la API de windows así como cargar librerías DDL a la maquina comprometida y ejecutar posteriormente el código contenido en ellas. El uso de Railgun facilita mucho algunas actividades que con Meterpreter por si solo pueden ser un poco complejas o requerir privilegios de administrador, con Railgun muchos de los scripts ejecutados no necesitan que se cuente con privilegios administrativos sobre la maquina comprometida.

Leer más…

Utilizando IRB desde Meterpreter y ejecutando código sobre una máquina comprometida

octubre 3, 2011 Deja un comentario

Tal como se ha visto en la entrada anterior, el uso de IRB es bastante parecido a Python en modo interactivo, donde se permite entre otras cosas, la inclusión de código linea por linea y la ejecución de scripts Ruby, todas estas características pueden ser utilizadas en MetaSploit justo en el paso de post-explotación, Meterpreter permite utilizar IRB para manipular procesos, memoria, claves del registro, etc.  sobre la maquina comprometida

meterpreter > irb
[*] Starting IRB shell
[*] The ‘client’ variable holds the meterpreter client

>>

Leer más…

Conceptos Básicos sobre Ruby y el interprete IRB

septiembre 30, 2011 Deja un comentario

IRB es un interprete interactivo de Ruby que le permite a un desarrollador ingresar comandos y bloques de código que posteriormente serán ejecutados por Ruby, se trata de una forma bastante sencilla de integrar lógica computacional en un interprete de linea de comandos. Estos conceptos básicos se indican en esta entrada con un único objetivo:  Comprender las bases del funcionamiento de IRB de Ruby para poder ejecutar funciones de Scripting en MetaSploit Framework sobre maquinas comprometidas y con una sesión meterpreter.

Leer más…

Seguir

Recibe cada nueva publicación en tu buzón de correo electrónico.

Únete a otros 1.074 seguidores

A %d blogueros les gusta esto: