Articles

Meterpreter

On novembre 8, 2021 by

Meterpreter est une charge utile d’attaque Metasploit qui fournit un shell interactif à partir duquel un attaquant peut explorer la machine cible et exécuter du code. Meterpreter est déployé en utilisant l’injection de DLL en mémoire. Par conséquent, Meterpreter réside entièrement en mémoire et n’écrit rien sur le disque. Aucun nouveau processus n’est créé car Meterpreter s’injecte dans le processus compromis, à partir duquel il peut migrer vers d’autres processus en cours d’exécution. Par conséquent, l’empreinte forensique d’une attaque est très limitée.

Meterpreter a été conçu pour contourner les inconvénients de l’utilisation de charges utiles spécifiques, tout en permettant l’écriture de commandes et en assurant une communication chiffrée. L’inconvénient de l’utilisation de charges utiles spécifiques est que des alarmes peuvent être déclenchées lorsqu’un nouveau processus démarre dans le système cible.

Meterpreter a été écrit à l’origine pour Metasploit 2.x par Skape, un surnom de hacker utilisé par Matt Miller. Les extensions communes ont été fusionnées pour 3.x et fait actuellement l’objet d’une refonte pour Metasploit 3.3.

Comment fonctionne Meterpreter ?

Meterpreter est une charge utile d’attaque Metasploit qui fournit un shell interactif à l’attaquant à partir duquel il peut explorer la machine cible et exécuter du code. Meterpreter est déployé en utilisant l’injection de DLL en mémoire. Par conséquent, Meterpreter réside entièrement en mémoire et n’écrit rien sur le disque. Aucun nouveau processus n’est créé car Meterpreter s’injecte dans le processus compromis, à partir duquel il peut migrer vers d’autres processus en cours d’exécution.

Quels sont les objectifs de Meterpreter ?

Meterpreter a été conçu pour contourner les inconvénients de l’utilisation de charges utiles spécifiques, tout en permettant l’écriture de commandes et en assurant une communication chiffrée. L’inconvénient de l’utilisation de charges utiles spécifiques est que des alarmes peuvent être déclenchées lorsqu’un nouveau processus démarre dans le système cible. Idéalement, une charge utile devrait éviter la création d’un nouveau processus et contenir toute l’activité dans la portée de la charge utile elle-même. Il devrait permettre d’écrire des scripts, mais sans créer de nouveaux fichiers sur le disque, car cela pourrait déclencher le logiciel antivirus.

Qu’est-ce que Meterpreter Reverse_tcp ?

Meterpreter utilise un shell reverse_tcp, ce qui signifie qu’il se connecte à un listener sur la machine de l’attaquant. Il existe deux types populaires de shells : bind et reverse. Un shell bind ouvre un nouveau service sur la machine cible et demande à l’attaquant de s’y connecter pour démarrer une session. Un shell reverse (également connu sous le nom de connect-back) nécessite que l’attaquant configure d’abord un listener auquel la machine cible peut se connecter.

Que signifie Payload ?

Un module d’exploitation, un des trois types (singles, stagers, stages) utilisés par le framework Metasploit.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.