Metasploit - Hedef Sistemdeki Silinmiş Verileri Ele Geçirme
Bu konuda Metasploit ile hedef sistemin sabit disklerinden silinmiş verileri nasıl kurtarabileceğinizi göstereceğim.
Hedef sistem üzerinde daha önceden kullanılmış ve sistemden silinmiş değerli bilgiler içeren dosyalar olabilmektedir.
Exploit edilen sistemden elde edilen bilgiler, karşı tarafta maddi-manevi kayıplara sebebiyet verebilir. Özellikle ticari kurum ve kuruluşların işlemlerinin yürütüldüğü bilgisayarlarda veri güvenliğinin yeteri derecede sağlanamamış olması büyük bir risk oluşturmaktadır.
Hedef sistemin sabit disk yapısını detaylı olarak öğrenebilmek için Metasploit içerisinde bulunan post/windows/gather/forensics/enum_drivers modülünü kullanabilirsiniz.
Modülü seçtikten sonra modülün uygulanacağı aktif Metasploit oturumunu belirtmeniz gerekmektedir. set session [Uygulanacak Oturum] komutu ile gerekli tanımlamayı yaptıkran sonra run komutu ile modülü çalıştırın.
Bu işlemin sonucunda hedef sistemin fiziksel diskleri ve bu disklerdeki partisyonlar ekranınızda gözükecektir.
Hedef sistemin disk yapısını öğrendikten sonra post/windows/gather/forensics/recover_files isimli modülü seçin. Modül ayarlarını gözlemlemek için show options komutunu kullanın.
set session [Uygulanacak Oturum] komutuyla hedef sistemi belirtin. Drive isimli parametrede varsayılan olarak c: sürücüsü belirtilmiştir. Eğer analiz işlemini farklı bir disk bölümüne uygulamak istiyorsanız, bu kısımda değişiklik yaparak işlemin yapılmasını istediğiniz disk bölümünü belirleyebilirsiniz.
Timeout süresi saniye değeriyle ifade edilmektedir. Varsayılan olarak 3600 değeri ile gelmektedir. Bu parametrenin uzun tutulması başarı oranını arttırmaktadır.
Gerekli ayarları tamamladıktan sonra run komutu ile modülü çalıştırın.
Bir süre geçtikten sonra hedef sistemde tespit edilen silinmiş dosyaların listesi ekranınızda çıkmaya başlayacaktır. Bu dosyalar için otomatik olarak ID numarası verilmektedir. ID numarası dosyaları kendi bilgisayarınıza alabilmeniz için gereklidir.
Yaptığım uygulamada PAROLA~.DOC isimli dosyayı kurtarmak istemekteyim. Modül tarafından atanan ID numarasını set FILES [ID] komutuyla belirleyebilirsiniz.
Bir defada birçok dosyayı aynı anda sisteminize download edebilirsiniz. Bunun için FILES isimli parametreye yüklenecek ID numaralarını virgül ile ayırabilir ve böylece bir defada birkaç dosyayı aynı anda alabilirsiniz.
(Örnek: set files 54234,234235,645323)
run komutunu uyguladığınızda ID numaralarını belirttiğiniz dosyalar sisteminize çekilecektir.
0 Yorum:
Yorum Gönder