A mostani videó is egy post exploit task. Egy keyloggert próbálok meg telepíteni a kompromittált gépre. Black-Box teszteknél ez alap, hogy a kompromittált gépeket minél jobban hatalmunkba tudjuk keríteni. (Mivel egy rosszindulatú behatoló is pont ugyanezt tenné...)
Tehát keylogger. A probléma csak az, hogy ez egy linux és nem hemzsegnek rá a keyloggerek. A videón a THC-vlogger-ét és a lkl keyloggert mutatom meg. Ezeket sikerült installálni (igaz, a vlogger még nem teljesen működik - utánanézek majd és lesz egy működőképes verzió is) A tcleo keyloggert is feltettem, de az csak szerver oldalra mysql adatbázisba tud logolni...Az egy pentestnél nem biztos, hogy praktikus. A mysql-el el kellett egy kicsit szórakozni, mire beindult (lehet csinálok erről is egy videót :) A logkeys keylogger-t sajnos nem tudtam lefordítani, mert valami "bus"-t hiányolt.
Ezek gyakorlatilag használhatatlanok, úgyhogy nem vesztegetem rá az időmet. Helyette viszont megnézem a rootsh-t és a sebek-et (Ha jól láttam ez a tcleo egy variánsa - a konfigja kísértetiesen hasonlít :) Egy penteszter kezében többféle eszköz kell legyen, mert nem lehet tudni, hogy a következő kompromittált gép-nél melyik használatára lesz lehetőség vagy melyiket érdemes alkalmazni. (Például régi gépeknél az új szoftverek nem mindig működnek és fordítva új gépeknél meg a régi szoftverek nem igazán működnek, tehát kellenek régi és új szoftverek egyaránt.)
Végülis az életben is egy hasonló ismeretlen gépen kell majd valamit alakítani.
Ha a keyloggerekkel végeztem megpróbálok egy rootkit-et is felinstallálni. Ha ez mind kész, utána pedig megnézem, hogy metasploit-tal milyen backdoorokat és keyloggereket lehet installálni a gépre.
Aztán még lesz szó a nyomok eltüntetéséről is majd később. Így lesz kerek a kép. Íme a videó:
Nincsenek megjegyzések:
Megjegyzés küldése
Megjegyzés: Megjegyzéseket csak a blog tagjai írhatnak a blogba.