Metasploit - Kalıcılığı Sağlama
Bu konumuzda ele geçirilmiş bir sistemde kalıcılığı nasıl sağlayacağınızı göstereceğim.
Metasploite ait payloadlar (yada oluşturulan backdoorlar) sadece bir kez çalışabilmektedir. Hedef sistem yeniden başlatıldığında bağlantıyı yeniden alabilmeniz için hedefi tekrar exploit etmeniz gerekir.
Hedef sistemi defalarca exploit etmekten kurtulmak için ve istenilen zamanda hedef sisteme giriş sağlayabilmek için sisteme kalıcı bir backdoor yerleştirmeniz gerekir.
Bu konuya daha önceden de değinmiştik. Bu defa Metasploit içerisinde bulunan persistence isimli script yardımıyla hedef sistemde kalıcılığı sağlayacağız.
Persistence scripti için gereken parametreleri öğrenmek için persistence'ı -h parametresi ile çalıştırın.
A: Handler ile eşleşen bir backdoor hedefte çalıştığında bağlantının otomatik olarak alınabilmesini sağlar.
L: Backdoorun yerleştirileceği konum. Eğer parametre kullanılmazsa, geçici dosyaların saklandığı temp dizini kullanılacaktır. (Örneğin: "-L c:\\windows\\system32")
P: Kullanılacak payload. (Eğer bu parametreyi belirlemezseniz, varsayılan olarak meterpreter/reverse_tcp payload kullanılır.)
S: Backdoorun bir servis olarak başlatılmasını sağlar. Bu parametre, sistem ayrıcalıklarından yararlanılmasına olanak sağlamaktadır.
U: Eğer hedef sistemde tek bir kullanıcıyı hedef alıyorsanız, U parametresi ile sadece o kullanıcı logon olduğunda çalışacak bir backdoor kurulumu yapabilirsiniz. (örn: "-U DataMaN")
X:Kullanıcı bazlı olmayan ve sistem açılışında otomatik olarak çalıştırılacak bir backdoor kurulumu yapmak için kullanılır.
i : Sıradan bir payload sadece ilk çalıştırıldığı anda kendi sunucusuna bağlantı talebi gönderir. Başarılı olursa bağlanır, başarısız olursa tekrar bağlantı isteği göndermeden çalışmaya devam eder. Bu parametre ile kaç saniye aralıkla handler'a bağlantı isteği gönderileceğini ayarlayabilirsiniz.
Bu önemli bir parametredir. Bu parametre ile bilgisayarınızdan istediğiniz bir zamanda hedef sisteme giriş yapabilirsiniz.
p: Sunucu tarafında bağlantıları dinlemek için kullanılacak port.
r: Bağlantı isteklerinin gönderileceği, Metasploit çalıştıran sunucunun ip adresi.
Ben, örneğimde hedef sistemdeki "DataMaN" kullanıcısı için sistem açılışında otomatik olarak çalışacak bir backdooru sisteme yerleştireceğim.
Lokasyon belirtmediğim için vbs uzantılı script dosyası temp dizinine upload edildi ve bu scripti çalıştıracak kayıt anahtarı da HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run içerisine eklendi.
persistence scriptinin uyguladığı adımları msf console ekranından inceleyebilirsiniz.
persistence scripti tüm adımları tamamladığında upload edilen yeni backdoorda çalışmaya başlayacak ve yeni bir Meterpreter oturumu daha açılacaktır.
Backdoorun sistem açılışında otomatik olarak başlatılıp başlatılamayacağını gözlemlemek için hedef sistemi yeniden başlatabilirsiniz.
Ayrıca handler'ı kapatıp, hedef sistemin reboot edilmesinden sonra tekrar çalıştırarak istenilen bir zamanda bağlantı taleplerinin sunucuya ulaşıp ulaşmayacağını gözlemleyebilirsiniz.
Backdooru sistemden kaldırmak için kayıt defterinde oluşturulan kayıt anahtarını ve vbs uzantılı backdoor dosyasını yüklendiği konumdan silebilirsiniz.
Çok yararlı bir konu fakat kalıcılığı sağlamak için persistence veya metsvc scriptlerini çalıştırdığımızda antivirüs farkediyor ve siliyor bunun önüne nasıl geçebiliriz?
YanıtlaSilMerhabalar, Metasploit henüz persistence'ın encode edilmesini desteklemiyor. İlerleyen zamanlarda bunun önünü açarlar mı bilemiyorum :)
SilRegedite ekliyor fakat yeniden başlattığım zaman bağlantı gelmiyor neden acaba
YanıtlaSil