MSF psexec_loggedin_users Auxiliary Modülü ve Elde Edilen Kimlik Bilgileri ile Erişim Sağlanabilecek Windows Bilgisayarlarda Jetonu Bulunan Hesapların Tespit Edilmesi

Sızma testleri sırasında, bir şekilde elde edilen kimlik bilgileri (kullanıcı adı ve parola / parola özeti) kullanılarak erişim sağlanabilecek bilgisayarlarda oturumu açık olan veya bir şekilde prosesi olan hesapların listesi elde edilebilir. Kurum içinde gerçekleştirilen sızma testleri sırasında – kurum ağındaki Windows makinelerin (TCP/445. portu açık olan) IP listesi, elde edilen bir hesabın kullanıcı adı ve bu hesabın parolaları (veya parola özetleri) elde edilmişse – bu bilgilerle ağdaki hangi Windows bilgisayarlarda hangi kullanıcıların jetonu (token) olduğu MSF psexec_loggedin_users auxiliary modülü ile tespit edilecektir.

MSF psexec_loggedin_users auxiliary modülünün genel seçenekleri aşağıdaki gibi listelenebilir.

search psexec_loggedin_users
use auxiliary/scanner/smb/psexec_loggedin_users
show options

Yerel yönetici haklarına sahip bir hesabın (Levent) parolasının açık hali (veya parola özeti) ile MSF psexec_loggedin_users auxiliary modülü aşağıdaki gibi ayarlanabilir:

set RHOSTS 192.168.100.120
set SMBUSER Levent
set SMBPASS Ll123456
show options

Modül çalıştırıldıktan sonra, 192.168.100.120 IP adresli bilgisayarda Zeynep adlı etki alanı kullanıcısının ve Halit adlı yerel kullanıcısının oturumu (prosesi) olduğu görülmektedir:

run