METERPRETER : UYGULAMALI SIZMA SENARYOSU

Bu yazıda armitage aktif olarak nasıl kullanılabilir, sistemlere nasıl sızılabilir ve en önemlisi Post Exploitation olarak neler yapılabilir bunlar incelenecektir ve uygulamalı olarak gösterilecektir. Biz bu senaryoyu kendi okulumuzda B.İ.M (Bilgi İşlem Merkezi) departmanına uyguladık. Öncelikle saldırdığımızın ağın topolojisini çıkardık ve adımlara başladık.

Senaryonun Açıklaması;

BİM(Bilgi işlem merkezi) sunucu bilgisayarlarından Endüstüri Müh. Proje Yönetimi sunucusu bulunmaktadır. Bu sunucu bilgisayarı güncellemelerden uzaktır. Üzerinde BİM’e dair bir program çalışmadığı için güvenlik önlemleri ihmal edilmiştir. Bu sunucu bilgisayarı daha önce açılmış olup şu an kullanılmadığı için bilgisayar üzerinde bulunan kullanıcı hesaplarından bir tanesini aynı zamanda diğer bilgisayarlarda kullanmaktadır. BİM’in işlerin yoğunluğundan dolayı hızlı bir şekilde ulaşabilme amacıyla BİM ağındaki bilgisayarlara ait varsayılan (başlangıç) değerlerini masaüstünde tutmaktadır. Daha önce bilgisayarı yenilenen BİM (okulun veri tabanı yöneticisi) önem vermediği giriş bilgilerini değiştirmemiştir. Bu sayede oradan alınan Administrator bilgileri ile diğer bilgisayara giriş sağlanmak amaçlanmıştır.
Amaç; Veri tabanı sunucusu bilgilerine erişmek, dolayısı ile veri tabanında bulunan verilere erişmek, fakat önce sunucu erişim bilgilerinin edinilmesi gerekmektedir.

İzlenecek Adımlar;

• Ağı taranacak, hangi cihazların ayakta olduğu ve hangi işletim sistemlerinin kullanıldığı tespit edilecek.
• Bazı işletim sistemlerinin bilinen açıklıkları bulunabilir, bu açıklıklar denenecek.
• Sızılan bilgisayarlardan kullanıcılara ait hesap özetleri (hash) alınacak
• Alınan hash’ler diğer sistemlerde denenecek.
• Başarılı girişlere, oturum açma denenecek ve bilgi toplanmaya çalışılacak.

Senaryonun Uygulanması

Bilgisayar Kali Linux işletim sistemi ile başlatılır.

•  Gerekli olan servisler başlatılır;

service postgresql start

service metasploit start

Armitage

• Hangi ağda bulunulduğu tespit edilir, IP adresine bakılarak bu bilgi edinilebilir.

Saldırgan İP Adresi
IP adresi ETH(Kablolu ağ) 10.10.208.85, WLAN(Kablosuz ağ) 10.10.122.202, taranması gereken ağ 10.10.20/24(BİM Sunucu Bilgisayarları) olacaktır.

• Armitage ara yüzünden faydalanarak ağda hangi IP’lerin ayakta olduğu ve hangi işletim sistemi ile çalıştığı tespit edilir.

Quick Scan (OS detect) seçildiğinde, ekrana gelecek olan pencerede taranmak istenilen ağ bilgisi girilir.

Armitage Saldırılacak Ağ Taraması – 2

Ve sonucunun ekran alıntısı;

Armitage Saldırılacak Ağın Bilgisayarları – 1

Tarama sonucu elde edilen hedefler böyle üst üste görünür ise, hedef panelinde sağ tıklanıp Layout -> Stack seçeneği tıklanır.

Armitage Saldırılacak Ağın Bilgisayarları – 2

Artık hedefler bir dizi halinde görünecektir.

• Hedeflerin üzerlerine gelerek işletim sistemlerini belirten bildirim yazısını görülmeye çalışılır, aranılan şey eski bir işletim sistemi. Mesela XP.

Armitage Saldırılacak Ağın Bilgisayarları – 3

• Bu işletim sisteminin IP değeri; 10.10.2.249 şimdi bu hedef tıklanıp, Armitage menüsünden Attacks -> Find Attacks seçenekleri takip edilir.

Armitage Saldırılacak Ağ’a Otomatik Exploit Bulma – 1

Hedefin işletim sistemi ve Service Pack değeri göz önüne alınarak bir takım exploitler önerilecektir. Bu arama işlemi devam ederken ki ekran görüntüsü.

Armitage Saldırılacak Ağ’a Otomatik Exploit Bulma – 2

Ve tarama bittiğinde ekrana bastırılacak olan bildirim penceresi.

Armitage Saldırılacak Ağ’a Otomatik Exploit Bulma – 3

• Şimdi hedefe sağ tıklanıp, Attack menüsünden başarı oranı yüksek bir expoit seçilir.

Armitage Saldırılacak Ağ’ın Açığını Kullanma

Bu exploit seçildiğinde ekrana bastırılacak olan pencere.

Armitage Saldırılacak Ağ’ın Ayarları

Bu exploit için genelde bir ayarlama yapmak zorunda kalınmaz, çünkü başarılı bir exploit olarak tanınmaktadır. Ama her expoit için aynı şey geçerli değildir. Bazen dinleme portunun, bazen kullanılan payload’ın değiştirilmesi gerekir. Exploit çalıştırılır. Başarılı bir exploit sonrası exploit için açılan konsolda görülmesi gerekenler ve hedefin simgesindeki değişiklik.

Armitage Saldırılacak Ağa Başarılı Giriş

• Artık hedefe sızılmış, meterpreter oturumu açılmıştır. Şimdi sızılan sistemden veri toplamaya çalışılacaktır. Hedefle daha iyi etkileşim için meterpreter oturumu etkinleştirilir.
  Sağ tık -> Meterpreter 1 -> Interact -> Meterpreter Shell

Armitage Saldırılan Ağ’da İşlemler

Hedefe sağ tık -> Meterpreter 1 -> Access -> Dump Hashes Isass method (Her işletim sistemi için Dump Hashes Isass method başarı ile sonuçlanmayabilir)

Armitage Saldırılan Ağ’da Şifre Bulma

Ve kullanıcı hesaplarına ait özetlerin görüntüsü

Armitage Saldırılan Ağ’da Bulunan Kullanıcı ve Şifresi

Burada kırmızı çerçeve içerisine alınan kullanıcı bilgileri genel bir kullanıcıya benziyor. Buradaki kullanıcı adıyla diğer bilgisayarlara giriş yapılabilir.
Not: Buradan sonra kullanıcı hesapları üzerinden ilerlemek adına birbirinden farklı yollar mevcut,

• Şifreleri kırılmaya çalışılabilir
• Elde edilen bilgiler, tüm ağdaki bilgisayarlara girmek için kullanılabilir.

Sızılan bilgisayarda bulunan dosyalar incelenmeye başlanır. Bunun için izlenilecek yol

Hedefe sağ tık -> Meterpreter 1->Explore -> Browse Files
Sonrasındaki ekran çıktısı ile birlikteki alıntı.

Armitage Saldırılan Ağ’da Dosya Gezintisi – 1

 Daha sonra “C:\Documents and Settings\” dizinine geçilir. İlgi çeken bir dosya olursa sağ tıklanıp indirilir.

Armitage Saldırılan Ağ’da Dosya İndirme – 1

İndirme tamamlandığındaki ekran alıntısı

Armitage Saldırılan Ağ’da Dosya İndirme – 2

İndirilenlere ulaşmak için;

Armitage Saldırılan Ağ’da İndirilen Dosyaları Görüntüleme

• Bu bilgisayardan kullanıcı hesap özetlerinden başka bir şey çıkmadı. Şifreler kırılmaya çalışılır. Toplanılan kullanıcı bilgilerinin özetlerini görüntülemek için,

Armitage Saldırılan Ağ’da Hashlenmiş Şifreyi Çözme – 1

Armitage Saldırılan Ağ’da Hashlenmiş Şifreyi Çözme – 2

Armitage Saldırılan Ağ’da Hashlenmiş Şifreyi Çözme – 3

Administrator:12Qwaszx şifre alınmıştır.
10- Şimdi 10.10.2.52(EBABİL) sunucuna metasploit psexec oturumu açmayı deneyip, başarılı olunduğunda meterpreter oturumu açılmaya çalışılacak. Hedefe sağ tıklayıp
Login -> psexec modülü seçilir.

Armitage Bulunan Şifre İle Başka Ağlara Sızma – 1

Armitage Bulunan Şifre İle Başka Ağlara Sızma – 2

Uyarı: “User everse connection” seçeneğini tıklanmaz ise payload oluşturulur ve karşıya gönderilir, sizin için çalıştırılır. Fakat, gelen bağlantı isteğini dinleyip yorumlayacak bir modül çalışmadığı için bu istek paketleri düşürülür.
Şimdi modüler çalıştırılır. Girişim başarılı olduğunda modül konsoluna dökülecek bildirim.

Armitage Bulunan Şifre İle Başka Ağlara Sızma – 3

Şimdi sızılan bilgisayar incelenmeye başlanır. Direk olarak E:// sürücüsüne gidip dosyalarına bakılabilir.

Armitage Bulunan Şifre İle Ebabil’e Erişim – 1

Armitage Bulunan Şifre İle Ebabil’e Erişim – 2

• Artık son hamleyi yapmanın zamanı geldi. Eğer veri tabanı yöneticisi yani 10.10.2.35(ORACLE_HHO) bilgisayarına sızıp veri tabanına erişim bilgilerini elde edilebilirse senaryo tamamlanmış olacak. 10.10.2.52 Ebabil sunucusuna yapılan işlemler tekrarlanıp gerekli olan dosyalar indirilir. Son olarak indirilen dosyalar aşağıda görüldüğü gibidir.

Saldırılan Ağlardan İndirilen Veritabanları

Saldırılan Ağlardan İndirilen Mail Veritabanı

Saldırılan Ağlardan İndirilen Kütüphane Günlük Kayıtları

Saldırılan Ağlardan İndirilen Veritabanları – 2

Saldırılan Ağlardan İndirilen Log Kayıtları

Saldırılan Ağlardan İndirilen Ebabil Dosyaları

TR | Armitage&Meterpreter Kullanımı CanYouPwnMe

Merhaba,

“Pass-the-Hash” saldırısı, saldırganın açık parola yerine şifre özetini kullanarak uzak sunucu/servise bağlanmasını sağlar.
Bu saldırı ilk defa 1997 yılında araştırmacı Paul Ashton tarafından yayınlanmıştır

Saldırgan, hedef sisteme yetkili erişim sağladıktan sonra bellekte tutulan LM ya da NTLM şifre özetini ele geçirerek saldırıyı gerçekleştirir. Şifre özetlerini elde etmek için farklı yöntemler mevcuttur (bkz:mimikatz).
Uzun bir geçmişe sahip olsa da Pass-The-Hash saldırıları günümüz sızma testlerinde hala aktif olarak kullanılmaktadır. Yazımızın devamında Metasploit çatısı altındaki PsExec modülü ile anlatım yapılacaktır.

Uygulamaya geçmeden önce ufak bilgiler;

LM
Windows sistemlerdeki domain yapısı sebebiyle yeni işletim sistemleri ile eski işletim sistemleri arasında uyum sağlanması için günümüzde aktif kullanılmasa da hala desteklenmektedir. SAM dosyasında saklanır.

NTLM
Domain yapısının gelişmesiyle birlikte LM’in zayıflıkları telafi edilmiş ve istemcilerin şifre özetleri sadece DC’lerde saklanmaya başlamıştır.

SAM
Yerel bilgisayarladaki kullanıcı hesaplarını ve kullanıcılara yönelik güvenlik politikalarını tutan veritabanıdır. İşletim sistemi çalışırken kilitli durumdadır bu nedenle SAM dosyasının içindeki verilere erişebilmek için önce ele geçirip ardından kırmak gerekir.

LSASS
Windows sistemlerde şifre özetleri LSASS(Local Security authority subsystem service) sürecinde tutulur. Yalnızca yetkili kullanıcıların çeşitli araçlar ile erişim sağlayarak şifre özetlerini ele geçirebildiği bu süreç üzerinde yetkili kullanıcı ile bile değişiklik yapılmasına izin verilmez.
LSASS sürecinin görevi belirlenen güvenlik politikaları çerçevesinde kullanıcı oluşturma/değiştirme, kimlik doğrulama gibi işlemleri yerine getirmektir.

Test ortamı;

• 192.168.20.10  – Kurban1 – MS08-067 zafiyetli Windows XP
• 192.168.15.13  – Kurban2 – Güvenlik açığı bulunmayan Windows 7 Ultimate
• 192.168.1.159  – Saldırgan

Test ortamında Domain yapısı bulunmamaktadır. Her iki hedef makinede de güvenlik duvarı kapalıdır

Pass-The-Hash saldırısı yapan PsExec modülü, genellikle Windows sistemlerde yazıcı,dosya paylaşımı işlevlerini yerine getiren SMB servisini kullanmaktadır.

Saldırıyı gerçekleştirebilmek daha önce ele geçirilmiş bir şifre özeti, Domain kullanıcısı ya da yerel bir kullanıcı, hedefin IP adresi ve eğer öntanımlı değilse yönetimsel paylaşım bilgisine(ADMIN$,C$ vb.) ihtiyaç duyulmaktadır.

Test ortamımızda önce MS08-067 zafiyetli Windows XP’ye sızılıp, Administrator kullanıcısına ait hash ele geçirilerek bu hash ile Windows 7 makinesine sızılacaktır.

• SMB servisi için script kullanarak Kurban1’e yapılan nmap taramasının sonucu aşağıdaki gibidir.

• Metasploit içinde bulunan ms08_067_netapi modülü ile sisteme sızıldıktan sonra yetki yükseltilerek(test ortamımızda yetki yükseltmek şart değildir zira bu zafiyet ile sisteme en yetkili kullanıcı olarak bağlanılır. Yine de unutulmaması gerekir ki şifre özetlerine yalnızca yetkili kullanıcılar erişebilir, bu sebeple duruma göre yetki yükseltme saldırıları yapmak gerekir.) mevcut kullanıcılar ve şifre özetleri ele geçirilir.

• PsExec modülünün ihtiyacı olan SMBDomain bilgisi enum4linux aracı ile elde edilebilir.

  enum4linux 192.168.15.13

• Komutunun çıktısında Domain/Workgroup değeri için WORKGROUP sonucunun dönüldüğü görülecektir.

• Bu aşamaya kadar ele geçirilen bilgiler ile PsExec modülünü kullanarak Kurban2’ye Administrator yetkileri ile sızılır.

Ayrıca bknz:

LM ve NTLM için,
https://technet.microsoft.com/tr-tr/magazine/2006.08.securitywatch(en-us).aspx
https://en.wikipedia.org/wiki/LM_hash
https://en.wikipedia.org/wiki/NT_LAN_Manager

PsExec için,
https://www.offensive-security.com/metasploit-unleashed/psexec-pass-hash/
https://community.rapid7.com/community/metasploit/blog/2013/03/09/psexec-demystified

Pass-The-Hash için,
https://www.sans.org/reading-room/whitepapers/testing/pass-the-hash-attacks-tools-mitigation-33283
https://en.wikipedia.org/wiki/Pass_the_hash

TR | Pass The Hash with PsExec Mücahit Emin Karadağ