Meterpreter portfwd Komutunu Kullanılarak Meterpreter Bağlantısı Elde Edilen Bilgisayar Üzerinden Başka Bir Ağa Erişimin Sağlanması

Sızma testleri sırasında Meterpreter ile bağlantı kurulabilmiş olan bir bilgisayarın farklı ağlara olan erişimi olup olmadığı kontrol edilirek yeni ağlara erişim sağlanır. Bu yazıda, Meterpreter portfwd komutu kullanılarak, Meterpreter erişimi elde edilmiş bir Windows istemci üzerinden başka bir ağa yerel port yönlendirme (local port forwarding) yöntemi ile erişim sağlanacak ve mevcut Meterpreter oturumu üzerinden uzak masaüstü bağlantısı gerçekleştirilecektir.

Bu yazıda saldırgana ait olan Kali bilgisayarın tek bir IP adresi olup bu adres 10.0.0.50’dir. Meterpreter ile erişim elde edilen Windows bilgisayarın ise, 2 ayrı ağa ait olan iki IP değeri vardır. Birincisi, saldırganın istismar ederken erişebildiği 10.0.0.25 IP adresidir. İkincisi ise, saldırgan tarafından direk olarak erişim sağlanamayan 192.168.0.80 IP adresidir.

ifconfig

pivoting-by-using-meterpreter-portfwd-command-01

Mevcut durumda, 192.168.0.75 IP adresli bilgisayara uzak masaüstü bağlantısı gerçekleştirilememektedir.

netstat -nlpt | grep 12345
rdesktop 192.168.0.75

pivoting-by-using-meterpreter-portfwd-command-02

Windows istemci üzerinden 192.168.0.0/24 ağına erişim sağlamak için Meterpreter portfwd komutu kullanılabilir. Bu amaçla, komutun seçenekleri incelenir, yerel port yönlendirme işlemi gerçekleştirilir. Örnek olarak, Kali bilgisayarın 12345. portuna gelen taleplerin, Meterpreter bağlantısı üzerinden 192.168.0.75 IP adresli bilgisayarın 3389. portuna yönlendirilmesi sağlanabilir. Sonuçta da, yerel port yönlendirme tablosuna yeni bir girdi eklenmiş olur.

portfwd -h
portfwd list
portfwd add -l 12345 -r 192.168.0.75 -p 3389

pivoting-by-using-meterpreter-portfwd-command-03

Meterpreter oturumunda yerel port yönlendirme tablosuna yeni girdi eklenmesiyle, Linux bilgisayar üzerindeki bir araç (rdesktop gibi) tarafından yerel bilgisayarın 12345. portuna yapılan talepler, Meterpreter bağlantısı üzerinden, 192.168.0.75 IP adresli bilgisayarın 3389. portuna gider.

netstat -nlpt | grep 12345
rdesktop 127.0.0.1:12345

pivoting-by-using-meterpreter-portfwd-command-04

 

Erişim sağlandıktan sonra port yönlendirmeyi kaldırmak için “delete” seçeneği kullanılabilir.

portfwd delete -l 12345 -r 192.168.0.75 -p 3389

Bunun yanında mevcut durumu görmek için “list”, tüm yönlendirmeleri kaldırmak için de “flush” kullanılabilir.

portfwd list
portfwd flush

 

 

Yazarın Bilgileri

Ertuğrul BAŞARANOĞLU
Ertuğrul BAŞARANOĞLU

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Kullanabileceğiniz HTLM etiketleri ve özellikleri: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

Bu sayfada incelenen konulardan doğacak sorunlar kişinin kendi sorumluluğundadır.