sábado, julio 10, 2010

Metasploit con Adobe Flash Player: Un ejemplo (3 de 3)

**********************************************************************************************
- Metasploit con Adobe Flash Player: Un ejemplo (I de III)
- Metasploit con Adobe Flash Player: Un ejemplo (II de III)
- Metasploit con Adobe Flash Player: Un ejemplo (III de III)
Autor: Bernabé Muñoz
**********************************************************************************************

Ahora se pueden aproverchar las características de meterpreter para por ejemplos hacer un volcado de las cuentas de usuario almacenadas en la maquina local junto con sus hashes. Para ello se puede mover el control al proceso de Winlogon en Windows XP para volcarlas así que, primero, tal y como se ve en la figura 12, con el comando ps se puede localizar el PID asociado al proceso winlogon.exe para saltar hacia él.


Figura 12: Listado de procesos con meterpreter

Con el comando migrate 952 se mueve el control de meterpreter al proceso de winlogon y, ejecutando el comando de dumpeado de hash se obtienen los hashes de las cuentas.


Figura 13: Migración al proceso de winlogon y volcado de hashes

El resto, es usar Ophcrak y crackear los hashes para obtener las contraseñas. Como se puede ver en la Figura 14, el coste en tiempo de sacar la password del administrador ha sido de 15 segundos y la contraseña no era demasiado sencilla, pero el almacenamiento de los hashes LM simplifican la tarea.


Figura 14: Crackeando los hashes con Ophcrack

Sin embargo, una vez dentro, con meterpreter se pueden hacer múltiples acciones, ya que ofrece un gran número herramientas. En este ejemplo se puede ver como se puede activar el sniffer en la red interna para capturar el tráfico que por allí circula.


Figura 15: Opciones de Sniffing

Como podéis observar nos permite volcar el resultado de las capturas a formato pcap, para posteriormente analizarlo con whireshark, xplico, etc… No es el propósito de este artículo explicar todas la funcionalidades de metasploit o meterpreter. El objetivo es solamente poner un granito de arena para que los administradores no bajéis la guardia. Está bien tener actualizado el sistema operativo, al antivirus, activo el firewall, etcétera, pero hoy es día no es suficiente con esto y hay que catalogar y planificar todas las actualizaciones de seguridad de las utilerías cargadas en las plataformas.

**********************************************************************************************
- Metasploit con Adobe Flash Player: Un ejemplo (I de III)
- Metasploit con Adobe Flash Player: Un ejemplo (II de III)
- Metasploit con Adobe Flash Player: Un ejemplo (III de III)
Autor: Bernabé Muñoz
**********************************************************************************************

7 comentarios:

  1. me ha parecido genial las tres partes de este articulo, solo que usa firefox o chrome al menos. winbugs xdd.

    como recomendacion personal doy como recomendado el soft de filehippo.com Update Checker v1.037 que lo encontraran en su web oficcial que nos avisa sobre cada actualizacion de software que tengamos instalado.
    ademas usar un firewall tipo "comodo" cae genial.

    saludos

    ResponderEliminar
  2. Una vez tienes sesion con meterpreter prueba a pivotar y tener acceso al resto de la red donde se encuentra el host vulnerado.

    ResponderEliminar
  3. exacto, puedes incluso hacer el ataque mas complejo, instalar metasploit en la maquina a la que tienes acceso y empezar a moverte por la red.

    Buen articulo.

    A todo esto Avast te corta la conexión.

    ResponderEliminar
  4. No me gustan éste tipo de artículos, ya que no hay nada novedoso en ello.El post se limita a mostrar como configurar metasploit para lanzar un exploit con determinado payload.Lo bueno sería analizar el exploit. Sino que nos diferencia de un simple script kiddie?

    ResponderEliminar
  5. Hola Chema! si el usuario es limitado y la contraseña del administrador mayor a 14 caracteres todo esto sería imposible realizarlo, no?

    ResponderEliminar
  6. Todo muy bonito. Pero si la victima no pincha en el link no hay nada que rascar.

    Esa es la clave.

    ResponderEliminar
  7. @anónimo, con que visite una web donde haya un iframe que apunte a este sitio es suficiente. Así lo hacen los Kits de exploits, esto es solo una POC.

    Saludos!

    ResponderEliminar