Meterpreter Bağlantısı Elde Edilmiş Olan Windows Bilgisayarda MSF winscp Post Modülü ile Winscp Uygulamasındaki Erişim Bilgilerinin Elde Edilmesi

Sızma testleri sırasında Meterpreter ile bağlantı kurulabilmiş olan bir bilgisayarda kritik bilgi elde edilmeye çalışılır. Bu yazıda, Meterpreter erişimi elde edilmiş bir Windows istemcinin Winscp uygulamasında kayıtlı olan erişim bilgileri MSF winscp post modülü ile elde edilecektir.

W7 adlı bir bilgisayarda SYSTEM hakları ile Meterpreter bağlantısının elde edildiği görülmektedir. MSF winscp post modülü ile Winscp uygulamasının içerisinde kayıtlı olan erişim bilgilerinin elde edilmesi için modül seçilir ve seçenekleri incelenir.

sessions
search winscp
use post/windows/gather/credentials/winscp
show options

Modüle oturum ID değeri verilerek modül çalışıtırılır ve Winscp uygulamasında kayıtlı olan kimlik bilgileri ele geçirilir.

set SESSION 1
show options
run

Not: Winscp uygulamasında kayıtlı erişim bilgileri, Kayıt Defteri üzerinde “HKEY_USERS\<KullaniciSID>\Software\Martin Prikryl\Winscp 2\Sessions” anahtarı altındaki anahtarlarda kayıtlıdır. Bağlantı kurulacak IP değeri ve kullanıcı adı bilgisi açık olarak saklanırken, parola bilgisi ise şifreli olarak saklanır.

 

Şifreli olan bu parola değerini açık metin olarak elde edebilmek için şifre çözme anahtarı olarak “HKEY_USERS\<KullaniciSID>\Software\Martin Prikryl\Winscp 2\Configuration\Security” anahtarı altındaki REG_DWORD tipindeki UseMasterPassword değeri kullanılır.

Bu işlemler için Fireeye tarafından hazırlanmış SessionGopher betiğindeki DecryptWinSCPPassword metodu da kullanılabilir.

https://github.com/fireeye/SessionGopher/blob/master/SessionGopher.ps1

Powershell.exe -ExecutionPolicy Unrestricted
Import-Module .\SessionGopoher.ps1
Invoke-SessionGopher -Thorough