Die bessere Windows-Shell: Meterpreter
Ein guter Anfang ist der Befehl »hash-dump«, der aus den Windows-Systemdateien (»SAM« und »system« in »C:WINDOWSsystem32config«) die Hashwerte und Benutzerkonten für die Rainbow Tables bereitstellt. Der Artikel [9] beschreibt, wie sich daraus Benutzerdaten extrahieren lassen.
Der eingebaute »db_nmap«-Befehl stellt aber nicht die einzige Möglichkeit zur Verfügung, um die aufgespürten Sicherheitslücken an das Autopwn-Modul zu übergeben. In dem folgenden Beispiel wird Openvas den Vulnerability-Check durchführen, wobei die gefundenen Informationen in der MySQL-Datenbank landen sollen.
Aus dem Scan entsteht ein Bericht, der sich in ein ».nbe«-Format exportieren lässt. Metasploit ist über die Funktion »db_import_nessus_nbe« in der Lage, diesen Bericht zu importieren und in der Datenbank für den anschließenden Autopwn-Exploit abzulegen. Dafür braucht es aber zunächst eine MySQL-Datenbank:
db_driver mysql db_create User:Password@localhost/pentest
Für den USB-Stick reicht es dem Admin, »User:Password« durch »root:linux« zu ersetzen Den Bericht importiert nun beispielsweise »db_import_nessus_nbe /tmp/openvasrep.nbe«. Wer dagegen einen LAMP-Server nutzt, kann die Metasploit-Tabellen auch über PHP Myad- min einsehen (Abbildung 2). Ermittler nutzen derartige Verfahren zur Überwachung von Verdächtigen und um wichtige Beweismittel zu sichern.
Abbildung 2: PHP Myadmin dokumentiert und präsentiert die Scanergebnisse der Langzeitverfolgung. Im Vordergrund die Meterpreter-Shell auf einem kompromittierten Windows.
Typischer Anwendungsfall: Keylogger
Für eine erfolgreiche Übernahme soll Metasploit nun einen Keylogger auf Softwarebasis installieren. Der von Linux bekannte Befehl »ps« zeigt die aktiven Prozesse auf dem Windows-Client, siehe Abbildung 2.
Der Anmeldemanager »winlogon.exe« be- sitzt beispielsweise die Prozess-ID 204. »migrate 204« zapft diesen Prozess an. »keyscan_start« startet den Keylogger, der ab sofort die Anmelde-Informationen mit Benutzername und Kennwort aufzeichnet. Zum Abrufen der Daten dient »keyscan_dump«.
Startet der Anwender einen Browser, lie- ßen sich so sämtliche Webaktivitäten in- klusive sensibler Transaktionen wie Ban- king oder auch der Versand verschlüssel- ter E-Mails aufzeichnen.
Diesen Artikel als PDF kaufen
Express-Kauf als PDF
Umfang: 4 Heftseiten
Preis € 0,99
(inkl. 19% MwSt.)
Als digitales Abo
Weitere Produkte im Medialinx Shop »
Versandartikel
Onlineartikel
Alle Rezensionen aus dem Linux-Magazin
- Buecher/07 Bücher über 3-D-Programmierung sowie die Sprache Dart
- Buecher/06 Bücher über Map-Reduce und über die Sprache Erlang
- Buecher/05 Bücher über Scala und über Suchmaschinen-Optimierung
- Buecher/04 Bücher über Metasploit sowie über Erlang/OTP
- Buecher/03 Bücher über die LPI-Level-2-Zertifizierung
- Buecher/02 Bücher über Node.js und über nebenläufige Programmierung
- Buecher/01 Bücher über Linux-HA sowie über PHP-Webprogrammierung
- Buecher/12 Bücher über HTML-5-Apps sowie Computer Vision mit Python
- Buecher/11 Bücher über Statistik sowie über C++-Metaprogrammierung
- Buecher/10 Bücher zu PHP-Webbots sowie zur Emacs-Programmierung
Insecurity Bulletin
Im Insecurity Bulletin widmet sich Mark Vogelsberger aktuellen Sicherheitslücken sowie Hintergründen und Security-Grundlagen. mehr...