Luego de ver la interesante entrada de Pablo González Pérez sobre NetRipper (publicada en el blog de Chema Alonso) me dispuse a investigar un poco mas sobre el funcionamiento de esta herramienta y a verla en acción (con muy buenos resultados).
La mencionada entrada podemos verla en:
http://www.elladodelmal.com/2016/03/metasploit-hookear-con-netripper-los.html
Conociendo NetRipper
NetRipper es una herramienta de post-explotación enfocada en sistemas Windows que nos permite realizar un hooking de ciertas API´s, permitiéndonos capturar tráfico en texto plano y cifrado (capturandolo antes que sea cifrado y después de ser descifrado).
La herramienta realiza el siguiente proceso:
1 - Realiza una Inyección de DLL Reflejada: Inyecta la DLL directamente en el proceso objetivo. Los contenidos de la DLL son copiados de la memoria a la memoria del proceso objetivo. Luego, una funcion exportada es llamada (ReflectiveLoader). Esto, a diferencia de la inyección común de DLL hace que la DLL no aparezca en los módulos del proceso y que no toque el disco, con lo cual pasa desapercibida.
2 - Hookea la API: Funciones específicas son interceptadas. NetRipper busca la dirección de la función, coloca una instrucción "call" llamando a una función genérica de hooking, restituye los bytes originales, llama a una función callback y luego a la función original
3 - Extrae los datos: Guarda los datos de forma local (en la carpeta Temp)
NetRipper puede descargarse de:https://github.com/NytroRST/NetRipper
La herramienta cuenta con un binario o un .EXE para Windows, con una versión para PowerShell y un módulo para Metasploit.
Para utilizarlo como módulo de Metasploit desde Linux, una vez descargado, debemos introducir las siguientes instrucciones:
En el siguiente video utilizaremos este módulo. Partiremos desde una sesión obtenida de meterpreter y realizaremos el hooking del navegador Google Chrome (atacando al proceso chrome.exe)
Espero que sea interesante,
Saludos y...
HAPPY HACKING!!!