Meterpreter Keyscan Komutu ile Windows Oturum Açma Penceresindeki Klavye Hareketlerini Elde Etme

Sızma testleri sırasında Meterpreter ile bağlantı kurulabilmiş olan bir bilgisayarda klavye hareketleri gibi kullanıcının gerçekleştirdiği aktiviteler izlenerek bilgi toplanmaya çalışılır. Bu yazıda, Meterpreter bağlantısı kurulan bir bilgisayardaki klavye hareketleri dinlenerek, oturum açma ekranında gerçekleştirilen klavye hareketleri listelenecek ve kullanıcıya ait parola elde edilecektir.

Windows 7 bir işletim sistemine SYSTEM yetkileri ile Meterpreter kabuğuna erişim sağlanmış olsun.

Klavye üzerinden elde edilebilecek bilgilerden ilki kimlik doğrulama bilgisidir. Kimlik doğrulama işlemi Windows işletim sisteminde “winlogon.exe” adlı bir proses tarafından gerçekleştirilmektedir. Bu sebeple, kimlik doğrulama işleminde yazılan kimlik bilgilerini elde edebilmek için bu prosese sıçranması gerekmektedir. “winlogon.exe” prosesine sıçrandıktan sonra, “keyscan_start” komutu ile bilgi alma işlemi başlatılır, “keyscan_dump” ile de bu bilgiler kaydedilir. Aşağıdaki ekran görüntüsünde de görüldüğü gibi kullanıcı adı olarak “deneme”, parola olarak da “Aa123456?” ifadesi yazılmış, daha sonra da başka bir parola denenmiştir. Bunun sebebi parolanın hatalı girilmiş olmasıdır. Parola tekrar girildiğinde “Aa?123456” ifadesi (parolada hatalı karakter girişi gerçekleştirilmiş) ise, başarılı bir şekilde oturum açıldığı görülmüştür.

 

[1] http://www.offensive-security.com/metasploit-unleashed/Keylogging
[2] http://www.hacking-tutorial.com/hacking-tutorial/5-step-using-metasploit-meterpreter-keylogger-keylogging
[3] https://www.bilgiguvenligi.gov.tr/microsoft-guvenligi/windows-isletim-sisteminde-oturum-acma-islemi-winlogon.html