Bir Windows 7 bilgisayarda Kerem adlı hesabın masaüstündeki Deneme.txt adlı bir dosyaya erişimler sadece bu hesaba izinli olsun. Yani, bu dosya erişm için gerekli NTFS izni ve bu dosyanın sahipliği sadece Kerem hesabında olacak şekilde ayarlanmış olsun:
Deneme.txt dosyasına erişim izni sadece Kerem hesabında olduğu için, bu hesabın kimliğine bürünmek gerekmektedir. Bu yazıda da Meterpreter migrate eklentisi ile Deneme.txt dosyasına erişilebildiği görülecektir.
Windows 7 işletim sistemi SYSTEM hakları ile ele geçirilmiş olsun. İlk durumda prosese ait ID değerinin 320 olduğu görülmektedir.
getuid
getpid
ps
SYSTEM hakları ile MSF hashdump post modülünün çalıştırılabildiği ve yerel hesaplara ait parolaların elde edilebildiği görülmektedir:
run hashdump
Ancak SYSTEM hesabının Deneme.txt dosyasını okuma izni olmadığı görülmektedir.
shell
whoami
cd C:\Users\Kerem\Desktop
type Deneme.txt
Meterpreter kabuğunda iken, “ps” komutu ile mevcut bilgisayarda Kerem adlı bir yerel hesabın prosesleri olduğu görülebilir. Bu durumda iken Meterpreter migrate komutu ile Kerem hesabının prosesine sıçranabilir ve böylece Kerem hesabına ait token verisinin ele geçirilebilir. Kerem hesabının prosesine geçiş yapıldığında yeni bir proses oluşturulmadığı görülmektedir. Bunun yanında, Meterpreter migrate komutu ile mevcut bir prosese sıçrandığı ve bu sebeple proses ID değerinin değiştiği görülmektedir. Sonuç olarak da Kerem hesabının kimliğine bürünüldüğü görülmektedir.
migrate 2144
getuid
getpid
Yeni kimlikte (Kerem) parola özetlerinin elde edilemediği görülmektedir. Çünkü, artık SYSTEM olarak değil, Kerem adlı yerel yönetici hesabı olarak “hashdump” post modülü çalıştırılmaktadır.
run hashdump
Bunun yanında, yeni kimlikte (Kerem) Deneme.txt dosyasının okunabildiği görülmektedir.
shell
whoami
cd C:\Users\Kerem\Desktop
type Deneme.txt
Eğer eski kimliğe (SYSTEM) geri dönülmek isteniyorsa, yine Meterpreter migrate komutunun çalıştırılması gerekmektedir. Böylece, Kerem hesabının jetonu bırakılarak, SYSTEM hesabına ait eski token geri alınır. Ancak, Kerem kullanıcısının başka bir prosese atlama yetkisi yok ise (örneğin yerel yönetici hakları yok ise), SYSTEM haklarına geri dönülemeyeceği göz önünde bulundurulmalıdır.
migrate 2540
getuid