Seguridad en Sistemas y Técnicas de Hacking. TheHackerWay (THW)

En la entrada anterior correspondiente al volcado de memoria utilizando el script MEMDUMP y la utilidad MDD, era posible generar el volcado completo de todos los procesos cargados en la memoria de la víctima, sin embargo este proceso en algunos casos puede llevar mucho tiempo dependiendo de la conexión disponible, en este tiempo es posible que la víctima simplemente apague la maquina o exista un problema con la conexión, lo que puede resultar en sesiones sin terminar y en “rastros” en la maquina objetivo que posteriormente pueden ser detectados por una auditoria o un analisis forense, ademas en la mayoria de casos, un atacante solamente se encuentra interesado en procesos en ejecución especificos, por esta razón algunas veces es mejor utilizar el script PMDUMP para seleccionar solamente un proceso a volcar. Sin embargo, es importante aclarar que en pruebas de penetracion muy elaboradas y que tratan de recopilar los detalles más profundos del objetivo, la opción más adecuada es precisamente utilizar MEMDUMP.

Ahora bien para utilizar PMDUMP desde una consola meterpreter, es necesario seguir los siguientes pasos:
1. En primer lugar es necesario descargar la utilidad PMDUMP desde: http://ntsecurity.nu/toolbox/pmdump/ el fichero ejecutable de windows descargado desde este sitio debe ser ubicado en <DIR_METASPLOIT>/data

2. Lo siguiente es descargar el script Ruby de pmdump, ya que no se encuentra disponible en el repositorio de MetaSploit FrameWork, dado que este script no es oficial de MetaSploit (a la fecha de la redacción de este documento).
Se descarga desde aquí: http://pastebin.com/f7f867847
Una vez descargado es necesario ubicarlo en <DIR_METASPLOIT>/scripts/meterpreter.
NOTA: A la fecha de escribir este articulo, hay un pequeño problema de sintaxis en este script, por lo tanto para que funcione adecuadamente es necesario cambiar la linea 35 con el siguiente contenido:

3. Desde meterpreter ahora es posible ejecutar el script una vez se ha establecido la conexión reversa con la víctima:

4. La información del proceso se ha almacenado correctamente en la ruta /tmp/pmdump-74819 ahora es posible utilizar el comando strings para analizar la información contenida en dicho volcado, este comando es útil principalmente para determinar los contenidos de ficheros que no son de formato texto: