Autostart w payload Metasploit (persistence)

Jeśli korzystałeś już kiedyś z pakietu Metasploit Framework, na pewno nie jest Ci obce pojęcie Meterpretera. Jest jedna znacząca wada tego narzędzia w domyślnej konfiguracji – nie uruchamia się automatycznie wraz z startem badanego systemu operacyjnego.

Jednak tą niedogodność można bardzo szybko naprawić, za pomocą dołączonego skryptu napisanego w Ruby o jakże znaczącej nazwie persistence.

Cyberprzestępca-“haker” może właśnie w ten sposób utworzyć sobie tylną furtkę (backdoor), umożliwiającą w przyszłości na powrót do zaatakowanego systemu operacyjnego.

Autostart Meterpretera

Do uruchomienia w meterpreterze zewnętrznych skryptów służy następujące polecenie:

Sprawdźmy sobie w swoim Kalim za pomocą argumentu pomocy -h, jakie argumenty opcjonalne może przyjmować  skrypt persistence.rb.

Oczywiście w przypadku, gdy przy argumencie występuje <opt> należy uzupełnić daną opcje dodatkową wartością argumentu.

Jak użyć persistence.rb w praktyce

Jeśli chciałbyś skorzystać z automatycznego startu meterpretera to sprawa jest bardzo prosta. Po uzyskaniu połączenia z meterpreterem wydaj w nim następujące polecenie:

Oczywiście ustawiliśmy automatyczne uruchomienie po starcie systemu operacyjnego lub w przypadku przelogowania się usera (-X, -U).

Za pomocą parametru -i wymusiliśmy cykliczną próbę łączenia się z naszym komputerem co 30 sekund. Oczywiście ustawiliśmy odpowiedni port i nasz adres IP za pomocą parametru -p i -r.

Powyższe polecenie jest dedykowane powłokom, które mają się z nami łączyć za pomocą odwrotnych połączeń (reverse_tcp). Warto się również pobawić pozostałymi parametrami.

To by było na tyle na dziś. Jeśli trafiłeś tutaj, a nie wiesz nadal o czym mowa, polecam zapoznać się Tobie z naszym poradnikiem o tworzeniu payload w systemie Kali Linux. Warto poznać to narzędzie, ponieważ programiści poświęcili multum czasu na implementacje olbrzymiej liczby przydatnych podczas testów bezpieczeństwa funkcji. Powodzenia!

11 thoughts to “Autostart w payload Metasploit (persistence)”

    1. Pod warunkiem, że nie używa się cryptera lub nie jest to dopiero co nowa wersja Metaspolita. Szczerze mówiąc kilka sztuczek i można zejść praktycznie do poziomu FUD, jednak przy audycie bezpieczeństwa jest to zbędne. Sprawdza się wtedy czy potencjalny “amator” włamywacz da rade się włamać, a nie siłę włamuje. To tak jakby audytować hasła w firmie 15 znakowe co nie ma sensu.

    1. Do tego celu wykorzystuje się cryptery. Nawet pakiet Metaspolit miał kiedyś moduł MSFencode. Teraz został on zintegorwany z msfvenom. Logiczne jest, że gdy w dniu premiery pakietu coś jest niewykrywalne to po kilku tygodniach już jest znane dla sygnatur AV. Przestępcy piszą aktorski kod lub zlecają to zewnętrznym programistom, a nie wykorzystują do takich akurat celów publicznie dostępnych pakietów dla audytorów bezpieczeństwa. Taki pakiet ma sens tylko w przypadku zawodowych etycznych hakerów pracujących na etacie w branży Security IT.

  1. Dzięki za pomoc. Ale takie małe pytanko. Jak zmienić kolor liter w terminalu, aby nie pokazywały się białe tylko np.:niebieskie lub żółte? Może to trochę odbiega od tematu, ale proszę o odpowiedź bo nigdzie nie mogę tego znaleźć.

    1. Prawy przycisk myszy w obszarze terminala, następnie profile i preferencje profilu. Tam znajdziesz wszystko np: w zakładce kolory :-).

  2. Witam.
    Po wpisaniu komendy: run persistence -h pojawia sie błąd–> Error in script: RangeError bignum too big to convert into `long’. Mozna to jakos ominąć.

  3. Czy ten skrypt można rowniez dolaczyc do pliku z wygenerowanym exploitem? Tak, żeby uruchomienie zakażonego pliku na komputerze ofiary od razu uruchomiło skrypt autostartowy

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *