Capturar tráfico desde Meterpreter

Siguiendo con la cadena de posts sobre las extensiones de Meterpreter, vamos a ver en funcionamiento “sniffer”, un módulo que permite capturar el tráfico de cualquier interfaz de red de la maquina víctima y volcarlo en un fichero “pcap” en la máquina atacante.

Sniffer puede almacenar hasta 200.000 paquetes en un buffer circular en memoria para después volcarlos en la máquina atacante, sin tocar el disco duro de la máquina víctima.

Vamos a ver una demo de la extensión en un Windows 8 de 64 bits.

En primer lugar partimos de una sesión de Meterpreter en la máquina víctima.

sniffer1

Como de costumbre migramos el proceso a otro proceso del usuario para evitar que se nos corte la sesión en caso de matar al proceso que ejecuta el meterpreter en la máquina víctima.

sniffer2

La extensión “sniffer” necesita acceder a recursos del sistema para poder capturar paquetes, con lo cual necesitamos elevar privilegios a “SYSTEM”. Como esto es un Windows 8, necesitamos hacer antes el “bypassuac”.

sniffer3

De nuevo migramos el proceso a un proceso de sistema que disimule la intrusión y cargamos la extensión “sniffer”.

sniffer4

La extensión añade 6 nuevos comandos a meterpreter. Con “sniffer_interfaces” podemos ver las interfaces de red que tiene la máquina víctima, para elegir por cual queremos capturar. Los comandos “sniffer_start” y “sniffer_stop” arrancan y paran la captura, “sniffer_dump” vuelca los paquetes de la cola en el fichero de la máquina atacante que se le indica y limpia la cola, “sniffer_stats” muestra las estadísticas de la captura en curso y “sniffer_release” limpia la cola sin volcar el contenido.

Si se desea capturar tráfico en más de una interfaz, podemos llamar varias veces a “sniffer_start” con los distintos id de interfaces y después volcar el contenido de cada una de ellas.

Veamos el funcionamiento.

sniffer5

Como puede verse hemos capturado el tráfico de la interfaz con id=3 y lo hemos volcado en “/tmp/demo.pcap”. En la imagen se observa que antes de volcar el buffer hemos parado la captura. Esto no es necesario, podemos ir volcando el buffer sin pararla.

Por defecto el buffer creado es de 50.000 paquetes, pero podemos utilizar un segundo parámetro opcional para especificar el tamaño del buffer, que puede ir de 1 a 200000 paquetes (Ej: sniffer_start 3 200000),

El fichero “pcap” descargado lo podemos después analizar con cualquier analizador de tráfico como “Wireshark”, “Tshark”, etc.

sniffer6

En este caso, el tráfico capturado son “pings” que hemos lanzado para generar tráfico, pero bien podrían ser paquetes más interesantes como el inicio de una sesión FTP, Telnet o tráfico web por http de donde podríamos extraer credenciales e información sensible directamente en claro.

Otra forma de capturar tráfico de la máquina víctima desde meterpreter es utilizando el script “packetrecorder” desarrollado por Carlos Perez (Darkoperator), pero eso ya queda fuera del ámbito de este post. El comando “run packetrecorder” proporciona ayuda sobre como utilizarlo.

Se puede encontrar mas Información sobre la captura de paquetes desde Meterpreter en Metasploit Unleashed.

Espero que os haya gustado.

Saludos.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*