Meterpreter Bağlantısı Elde Edilmiş Windows İşletim Sisteminde MSF multi_post Modülü ile İstismar Sonrası Modüllerin Çalıştırılması

0
809
views
Sızma testleri sırasından Windows işletim sisteminde bir takım yetkiler ile Meterpreter bağlantısı elde edildikten sonra, bu sistem üzerinde bir çok istismar sonrası modül kullanmak gerekebilir. Bu yazıda, Meterpreter oturumu elde edilmiş Windows bilgisayarda MSF multi_post istismar sonrası modülü ile birden çok post modül merkezi olarak çalıştırılacak ve erişilen sistem hakkında yetkiler dahilinde bigi elde edilecektir.

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

Mevcut durumda 64 bit mimarideki Windows 7 işletim sistemi kullanan bir bilgisayarda SYSTEM yetkisi ile Meterpreter bağlantısı elde edilmiştir.

getuid
getpid
sysinfo
background
sessions

 

Uyarı: İşletim sisteminin mimarisi 64 bit olduğu sistemlerde Meterpreter bağlantısını sağlayan prosesin de 64 bit olması tavsiye edilmektedir. Aksi halde bazı modüller çalışmayabilir.

Kali üzerinde istismar sonrasında kullanılmak için hazırlanmış bir çok post modül bulunmaktadır. Bu modüller /usr/share/metasploit-framework/modules/post/ dizini altında bulunmaktadır.

ls
ls windows/
ls windows/gather/
ls windows/gather/credentials/

 

Bu modüllerin tamamı veya belirlenen bir kısmı ile erişim sağlanan bilgisayarda otomatik olarak bilgi toplanabilir. Bu amaçla belirlenen istismar sonrası modüller bir dosyaya yazılarak MSF multi_post adlı post modül ile çalıştırılabilir.

wc -l WindowsIstismarSonrasiModuller.rc
head -15 WindowsIstismarSonrasiModuller.rc
tail -15 WindowsIstismarSonrasiModuller.rc

 

MSF multi_post adlı post modülü temel olarak bir post modüller listesi (MACRO) ve bir oturum ID (SESSION) değeri almaktadır.

use post/multi/manage/multi_post
show options
set MACRO /root/Desktop/WindowsIstismarSonrasiModuller.rc
set SESSION 1
show options

 

Modül çalıştırıldığında mevcut yetkiler ile belirtilen istismar sonrası modüller yüklenmekte ve çalıştırılmaktadır. Böylece yerel kullanıcıların parola özetleri, oturum açan kullanıcıların parolaları, yüklü programlar, hak yükseltme zafiyetleri, yamalar, paylaşımlar, web browser uygulamaları gibi bir çok uygulama üzerinden kayıtlı kimlik bilgileri, yamalar,… vb. listelenebilir.

run

 

Not: Yukarıdaki işlemlerin gerçekleşmesi için Meterpreter erişiminin SYSTEM yetkisi elde edilmesine gerek yoktur. Ancak bazı modüllerin çalışması için SYSTEM yetkisine ihtiyaç duyulmaktadır. Bunun yanında bazı modüller çalışırken kullanıcı yetkilerine ihtiyaç duyabilir ve sonrasında otomatik olarak (rev2self kullanmak gibi) önceki yetkiye geçiş sağlamada sıkıntı yaşanabilir. Bu sebeple kulanıcı prosesine sıçramak için gereken modüllerin sonlara saklanması tavsiye edilmektedir.

 

Bu yazıda kullanılan WindowsIstismarSonrasiModuller.rc dosyasının içeriği yazının sonda belirtildiği gibi oluşturulmuştur. Dosya içeriğine ilgili modüllerin seçenekleri virgüller ile ayrılarak satırlar güncellenebilir. Örneğin; “post/windows/gather/enum_files FILE_GLOBS=*.bat,SEARCH_FROM=C:\Users” satırı ile varsayılan dizindeki (“C:\”) varsayılan uzantılı (“*.config”) dosyaların araştırılması yerine “C:\Users” altındaki “*.bat” uzantılı dosyalar aranır
Bunun yanında MSF istismar sonrası modüller ile tespit edilemeyen bilgilerin de manuel olarak araştırılması, Windows komutlarının kullanılması tavsiye edilmektedir. Örnek bir liste aşağıdaki gibi sıralanabilir.

systeminfo
arp -A
route print
netsh firewall show state
netsh firewall show config
net localgroup Administrators
net localgroup “Remote Desktop Users”
net accounts
net user xxx
net use
schtasks /query /fo LIST /v > schtask.txt
cat schtask.txt | grep “SYSTEM\|Task To Run” | grep -B 1 SYSTEM

 

WindowsIstismarSonrasiModuller.rc İçeriği

 

 

Kaynak:

https://www.darkoperator.com/blog/2011/12/16/running-multiplepost-modules.html
https://www.darkoperator.com/blog/2011/7/13/automating-post-modules-and-meterpreter-across-sessions.html

 

 

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

CEVAP VER

Yorumunuzu giriniz
İsminizi giriniz

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.