martes, 22 de marzo de 2016

Testeando NetRipper (la diversión de hookear)


Luego de ver la interesante entrada de Pablo González Pérez sobre NetRipper (publicada en el blog de Chema Alonso) me dispuse a investigar un poco mas sobre el funcionamiento de esta herramienta y a verla en acción (con muy buenos resultados).

La mencionada entrada podemos verla en:

http://www.elladodelmal.com/2016/03/metasploit-hookear-con-netripper-los.html

Conociendo NetRipper

NetRipper es una herramienta de post-explotación enfocada en sistemas Windows que nos permite realizar un hooking de ciertas API´s, permitiéndonos capturar tráfico en texto plano y cifrado (capturandolo antes que sea cifrado y después de ser descifrado).

La herramienta realiza el siguiente proceso:

1 - Realiza una Inyección de DLL Reflejada: Inyecta la DLL directamente en el proceso objetivo. Los contenidos de la DLL son copiados de la memoria a la memoria del proceso objetivo. Luego, una funcion exportada es llamada (ReflectiveLoader). Esto, a diferencia de la inyección común de DLL hace que la DLL no aparezca en los módulos del proceso y que no toque el disco, con lo cual pasa desapercibida.

2 - Hookea la API: Funciones específicas son interceptadas. NetRipper busca la dirección de la función, coloca una instrucción "call" llamando a una función genérica de hooking, restituye los bytes originales, llama a una función callback y luego a la función original

3 - Extrae los datos: Guarda los datos de forma local (en la carpeta Temp)

NetRipper puede descargarse de:https://github.com/NytroRST/NetRipper

La herramienta cuenta con un binario o un .EXE para Windows, con una versión para PowerShell y un módulo para Metasploit.

Para utilizarlo como módulo de Metasploit desde Linux, una vez descargado, debemos introducir las siguientes instrucciones:



En el siguiente video utilizaremos este módulo. Partiremos desde una sesión obtenida de meterpreter y realizaremos el hooking del navegador Google Chrome (atacando al proceso chrome.exe)


Espero que sea interesante,

Saludos y...

HAPPY HACKING!!!

No hay comentarios:

Publicar un comentario