La recopilación de información en la postexplotación consiste en el hecho de consultar información que pueda resultar útil para el auditor en posteriores pasos. No siempre podremos averiguarlo todo, pero eso no impide que el empeño cese. En Metasploit contamos con módulos post que nos automatizarán este proceso. Un ejemplo de estos es el llamado hashdump, el cual vuelca la información del fichero SAM de Windows, o el fichero shadow en los sistemas de Linux. El funcionamiento es semejante al comando getsystem, ya que en la sesión de Meterpreter tenemos que escribir el comando hashdump.
Otra instrucción que podemos ejecutar desde meterpreter para recopilar información es winenum:
Este comando hará una recopilación de información de un sistema Windows y nos lo dejará en el directorio:
/home/$USER/.msf3/logs/winenum
Sin embargo, como hemos dicho antes, no siempre vamos a poder contar una conexión remota gracias a una sesión de meterpreter. En esos casos, el auditor debe hacer uso del comando cat en Linux o edit en Windows, los cuales son editores de texto plano que vienen implementados en sus sistemas operativos y permiten la lectura de ficheros a los que podamos acceder.
Tenemos que tener en cuenta que el fichero shadow generalmente suele estar muy protegido. En cambio, el fichero passwd no contiene contraseñas pero sí usuarios, lo cual puede ser útil para realizar otro tipo de ataques.
