Embed Size (px)
Citation preview
Ethical HackingParte 04a
Sesión 01
PoC: Persistence y la conexión inversa• En este prueba de concepto se utilizara el script persistence para
conseguir que la maquina vulnerada sea la que ce conecte al usuario
atacante o auditor. Este es un ejemplo sencillo de conexión inversa
para evitar que los sistemas de protección del usuario victima eviten
la conexión con su maquina.• El script persistence dispone de varios parámetros los cuales aportan
potencia y flexibilidad a esta característica. A continuación se muestra una tabla con los parámetros y una breve descripción de ellos.
PoC: Persistence y la conexión inversa
Parámetro Descripción-A Automáticamente se configura
multi/handler para conectar con el agente
-S Automáticamente arranca el agente como un servicio al iniciar el sistema.
-U El agente intenta conectar cuando se inicia sesión
-X El agente intenta conectar cuando se inicia el sistema
-P Especifica el payload que se va a utilizar, por defecto es windows/meterpreter/reverse_tcp
-T Especifica la plantilla del ejecutable para utilizar
-i Especifica el numero de segundos que se deben pasar entre cada intento de conexión por parte del agente.
-p Especifica el puerto de la maquina del atacante donde se esperara a recibir la conexión.
-r Especifica la dirección IP a la que se conectará el agente, es decir la dirección IP del atacante.
PoC: Persistence y la conexión inversaConfiguración del modulo exploit/multi/handler para recibir conexiones de persistence
PoC: Persistence y la conexión inversa
PoC: Persistence y la conexión inversa
PoC: Persistence y la conexión inversa• En la imagen se puede visualizar como se lanza el script
persistence con la siguiente configuración:• El agente instalado en la maquina vulnerable intentará conectar
cuando se inicie el sistema y cuando se inicie la sesión.• Realizara intentos de conexión cada 60 segundos• Intentará conectarse al puerto 4444 en la dirección
192.168.0.110
PoC: Persistence y la conexión inversa• ¿Cómo se recibe la conexión por parte del agente? Se
utilizara exploit/multi/handler tal y como se ha realizado en casos anteriores. La configuración del modulo es la habitual, es decir payload Windows/Meterpreter/reverse_tcp o el que se haya configurado al agente con el parámetro –P, la dirección IP de la maquina del atacante asignada a la variable LHOST y el puerto en la variable LPORT
PoC: Persistence y la conexión inversa
PoC: Persistence y la conexión inversa
PoC: Persistence y la conexión inversa
PoC: Persistence y la conexión inversa• Ahora toca esperar a que la maquina vulnerada se
encienda, en el caso de que se encontrase apagada, o
de que transcurran los segundos de reintento de
conexión facilitados en el parámetro –i en la
configuración del agente.
