MSF autoroute Post Modülü, MSF socks4a Auxiliary Modülü ve Linux ProxyChains Uygulaması Kullanılarak Meterpreter Bağlantısı Elde Edilen Bilgisayar Üzerinden Başka Bir Ağa Erişimin Sağlanması

Sızma testleri sırasında Meterpreter ile bağlantı kurulabilmiş olan bir bilgisayarın farklı ağlara olan erişimi olup olmadığı kontrol edilirek yeni ağlara erişim sağlanır. Bu yazıda, MSF autoroute post modülü, MSF socks4a auxiliary modülü ve Linux ProxyChains uygulaması kullanılarak, Meterpreter erişimi elde edilmiş bir Windows istemci üzerinden başka bir ağa erişim sağlanacak ve mevcut Meterpreter oturumu bir tünel olarak kullanılarak Nmap aracıyla ağ taraması gerçekleştirilecektir.

Bu yazıda saldırgana ait olan Kali bilgisayarın tek bir IP adresi olup bu adres 10.0.0.50’dir. Meterpreter ile erişim elde edilen Windows bilgisayarın ise, 2 ayrı ağa ait olan iki IP değeri vardır. Birincisi, saldırganın istismar ederken erişebildiği 10.0.0.25 IP adresidir. İkincisi ise, saldırgan tarafından direk olarak erişim sağlanamayan 192.168.0.80 IP adresidir.

ifconfig

 

 

1) MSF Autoroute Post Modulü

Windows istemci üzerinden 192.168.0.0/24 ağına erişim sağlamak için MSF autoroute post modülü kullanılabilir. Bu amaçla, modül seçilir ve seçenekleri incelenir.

background
route print
search autoroute
use post/windows/manage/autoroute
show options

Modüle oturum ID değeri ve erişim sağlanacak ağın bilgisi verilerek modül çalışıtırılır ve yönlendirme tablosuna yeni bir girdi eklenmiş olur.

set SESSION 1
set SUBNET 192.168.0.0/24
show options
run
route print

Meterpreter oturumunda yönlendirme tablosuna yeni girdi yapılmasıyla, mevcut msfconsole prosesi üzerinde 192.168.0.0/24 ağına gidecek taleplerin mevcut Meterpreter bağlantısı üzerinden gitmesi sağlanmıştır. Ancak, başka bir msfconsole üzerindeki oturum veya MSF haricindeki bir araç (Nmap, Nessus gibi) elde edilen Meterpreter bağlantısı üzerinden işlem gerçekleştiremez. Harici araçlar ile diğer ağa (192.168.0.0/24) erişim sağlanabilmesi için, elde edilen Meterpreter bağlantısına vekil sunucu özelliği kazandırılmalıdır.

 

2) MSF Socks4A Auxiliary Modülü

Meterpreter bağlantısının vekil sunucu olarak ayarlanması için, MSF socks4a auxiliary modülü kullanılabilir. Bu amaçla, modül seçilir ve seçenekleri incelenir.

use auxiliary/server/socks4a
show options

Varsayılan port başka bir uygulama tarafından kullanılmıyorsa, modül varsayılan ayarları ile çalıştırılabilir. Böylece, modül seçeneklerinde belirtilen port üzerinde (1080) bir vekil sunucu hizmet görmeye başlar.

run
netstat -nlpt | grep 1080

 

3) Linux ProxyChains Komutu

SOCKS desteği olmayan uygulamaları çalıştırabilmek için, Linux ProxyChains uygulaması kullanılır. Böylece, Linux işletim sistemindeki bir aracın, mevcut vekil sunucu üzerinden geçerek çalışması sağlanır. Bu amaçla, ProxyChains yüklü değilse kurulur, sonra da konfigürasyon dosyasında (Kali için /etc/proxychains.conf) SOCKS4 sunucusunun erişim bilgileri yazılır.

socks4 127.0.0.1 1080

Böylece, Meterpreter üzerinden başka bir ağda tarama işlemi gerçekleştirilebilir.

proxychains nmap -sT -Pn -n –open -p445 192.168.0.0/24

Not: Tek bir ekran görüntüsü almak için IP aralığı filtelenmiştir.