Autostart w payload Metasploit (persistence)

Jeśli korzystałeś już kiedyś z pakietu Metasploit Framework, na pewno nie jest Ci obce pojęcie Meterpretera. Jest jedna znacząca wada tego narzędzia w domyślnej konfiguracji – nie uruchamia się automatycznie wraz z startem badanego systemu operacyjnego.

Jednak tą niedogodność można bardzo szybko naprawić, za pomocą dołączonego skryptu napisanego w Ruby o jakże znaczącej nazwie persistence.

Cyberprzestępca-„haker” może właśnie w ten sposób utworzyć sobie tylną furtkę (backdoor), umożliwiającą w przyszłości na powrót do zaatakowanego systemu operacyjnego.

Autostart Meterpretera

Do uruchomienia w meterpreterze zewnętrznych skryptów służy następujące polecenie:

Sprawdźmy sobie w swoim Kalim za pomocą argumentu pomocy -h, jakie argumenty opcjonalne może przyjmować  skrypt persistence.rb.

Oczywiście w przypadku, gdy przy argumencie występuje <opt> należy uzupełnić daną opcje dodatkową wartością argumentu.



Jak użyć persistence.rb w praktyce

Jeśli chciałbyś skorzystać z automatycznego startu meterpretera to sprawa jest bardzo prosta. Po uzyskaniu połączenia z meterpreterem wydaj w nim następujące polecenie:

Oczywiście ustawiliśmy automatyczne uruchomienie po starcie systemu operacyjnego lub w przypadku przelogowania się usera (-X, -U).

Za pomocą parametru -i wymusiliśmy cykliczną próbę łączenia się z naszym komputerem co 30 sekund. Oczywiście ustawiliśmy odpowiedni port i nasz adres IP za pomocą parametru -p i -r.

Powyższe polecenie jest dedykowane powłokom, które mają się z nami łączyć za pomocą odwrotnych połączeń (reverse_tcp). Warto się również pobawić pozostałymi parametrami.

To by było na tyle na dziś. Jeśli trafiłeś tutaj, a nie wiesz nadal o czym mowa, polecam zapoznać się Tobie z naszym poradnikiem o tworzeniu payload w systemie Kali Linux. Warto poznać to narzędzie, ponieważ programiści poświęcili multum czasu na implementacje olbrzymiej liczby przydatnych podczas testów bezpieczeństwa funkcji. Powodzenia!




8 myśli na temat “Autostart w payload Metasploit (persistence)

  1. Dzięki za pomoc. Ale takie małe pytanko. Jak zmienić kolor liter w terminalu, aby nie pokazywały się białe tylko np.:niebieskie lub żółte? Może to trochę odbiega od tematu, ale proszę o odpowiedź bo nigdzie nie mogę tego znaleźć.

    1. Prawy przycisk myszy w obszarze terminala, następnie profile i preferencje profilu. Tam znajdziesz wszystko np: w zakładce kolory :-).

    1. Do tego celu wykorzystuje się cryptery. Nawet pakiet Metaspolit miał kiedyś moduł MSFencode. Teraz został on zintegorwany z msfvenom. Logiczne jest, że gdy w dniu premiery pakietu coś jest niewykrywalne to po kilku tygodniach już jest znane dla sygnatur AV. Przestępcy piszą aktorski kod lub zlecają to zewnętrznym programistom, a nie wykorzystują do takich akurat celów publicznie dostępnych pakietów dla audytorów bezpieczeństwa. Taki pakiet ma sens tylko w przypadku zawodowych etycznych hakerów pracujących na etacie w branży Security IT.

    1. Pod warunkiem, że nie używa się cryptera lub nie jest to dopiero co nowa wersja Metaspolita. Szczerze mówiąc kilka sztuczek i można zejść praktycznie do poziomu FUD, jednak przy audycie bezpieczeństwa jest to zbędne. Sprawdza się wtedy czy potencjalny „amator” włamywacz da rade się włamać, a nie siłę włamuje. To tak jakby audytować hasła w firmie 15 znakowe co nie ma sensu.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *