TR | Armitage&Meterpreter Kullanımı
METERPRETER : UYGULAMALI SIZMA SENARYOSU
Bu yazıda armitage aktif olarak nasıl kullanılabilir, sistemlere nasıl sızılabilir ve en önemlisi Post Exploitation olarak neler yapılabilir bunlar incelenecektir ve uygulamalı olarak gösterilecektir. Biz bu senaryoyu kendi okulumuzda B.İ.M (Bilgi İşlem Merkezi) departmanına uyguladık. Öncelikle saldırdığımızın ağın topolojisini çıkardık ve adımlara başladık.
Senaryonun Açıklaması;
BİM(Bilgi işlem merkezi) sunucu bilgisayarlarından Endüstüri Müh. Proje Yönetimi sunucusu bulunmaktadır. Bu sunucu bilgisayarı güncellemelerden uzaktır. Üzerinde BİM’e dair bir program çalışmadığı için güvenlik önlemleri ihmal edilmiştir. Bu sunucu bilgisayarı daha önce açılmış olup şu an kullanılmadığı için bilgisayar üzerinde bulunan kullanıcı hesaplarından bir tanesini aynı zamanda diğer bilgisayarlarda kullanmaktadır. BİM’in işlerin yoğunluğundan dolayı hızlı bir şekilde ulaşabilme amacıyla BİM ağındaki bilgisayarlara ait varsayılan (başlangıç) değerlerini masaüstünde tutmaktadır. Daha önce bilgisayarı yenilenen BİM (okulun veri tabanı yöneticisi) önem vermediği giriş bilgilerini değiştirmemiştir. Bu sayede oradan alınan Administrator bilgileri ile diğer bilgisayara giriş sağlanmak amaçlanmıştır.
Amaç; Veri tabanı sunucusu bilgilerine erişmek, dolayısı ile veri tabanında bulunan verilere erişmek, fakat önce sunucu erişim bilgilerinin edinilmesi gerekmektedir.
İzlenecek Adımlar;
- Ağı taranacak, hangi cihazların ayakta olduğu ve hangi işletim sistemlerinin kullanıldığı tespit edilecek.
- Bazı işletim sistemlerinin bilinen açıklıkları bulunabilir, bu açıklıklar denenecek.
- Sızılan bilgisayarlardan kullanıcılara ait hesap özetleri (hash) alınacak
- Alınan hash’ler diğer sistemlerde denenecek.
- Başarılı girişlere, oturum açma denenecek ve bilgi toplanmaya çalışılacak.
Senaryonun Uygulanması
Bilgisayar Kali Linux işletim sistemi ile başlatılır.
- Gerekli olan servisler başlatılır;
service postgresql start
service metasploit start
Armitage
- Hangi ağda bulunulduğu tespit edilir, IP adresine bakılarak bu bilgi edinilebilir.
Saldırgan İP Adresi
IP adresi ETH(Kablolu ağ) 10.10.208.85, WLAN(Kablosuz ağ) 10.10.122.202, taranması gereken ağ 10.10.20/24(BİM Sunucu Bilgisayarları) olacaktır.
- Armitage ara yüzünden faydalanarak ağda hangi IP’lerin ayakta olduğu ve hangi işletim sistemi ile çalıştığı tespit edilir.
Quick Scan (OS detect) seçildiğinde, ekrana gelecek olan pencerede taranmak istenilen ağ bilgisi girilir.
Armitage Saldırılacak Ağ Taraması – 2
Ve sonucunun ekran alıntısı;
Armitage Saldırılacak Ağın Bilgisayarları – 1
Tarama sonucu elde edilen hedefler böyle üst üste görünür ise, hedef panelinde sağ tıklanıp Layout -> Stack seçeneği tıklanır.
Armitage Saldırılacak Ağın Bilgisayarları – 2
Artık hedefler bir dizi halinde görünecektir.
- Hedeflerin üzerlerine gelerek işletim sistemlerini belirten bildirim yazısını görülmeye çalışılır, aranılan şey eski bir işletim sistemi. Mesela XP.
Armitage Saldırılacak Ağın Bilgisayarları – 3
- Bu işletim sisteminin IP değeri; 10.10.2.249 şimdi bu hedef tıklanıp, Armitage menüsünden Attacks -> Find Attacks seçenekleri takip edilir.
Armitage Saldırılacak Ağ’a Otomatik Exploit Bulma – 1
Hedefin işletim sistemi ve Service Pack değeri göz önüne alınarak bir takım exploitler önerilecektir. Bu arama işlemi devam ederken ki ekran görüntüsü.
Armitage Saldırılacak Ağ’a Otomatik Exploit Bulma – 2
Ve tarama bittiğinde ekrana bastırılacak olan bildirim penceresi.
Armitage Saldırılacak Ağ’a Otomatik Exploit Bulma – 3
- Şimdi hedefe sağ tıklanıp, Attack menüsünden başarı oranı yüksek bir expoit seçilir.
Armitage Saldırılacak Ağ’ın Açığını Kullanma
Bu exploit seçildiğinde ekrana bastırılacak olan pencere.
Armitage Saldırılacak Ağ’ın Ayarları
Bu exploit için genelde bir ayarlama yapmak zorunda kalınmaz, çünkü başarılı bir exploit olarak tanınmaktadır. Ama her expoit için aynı şey geçerli değildir. Bazen dinleme portunun, bazen kullanılan payload’ın değiştirilmesi gerekir. Exploit çalıştırılır. Başarılı bir exploit sonrası exploit için açılan konsolda görülmesi gerekenler ve hedefin simgesindeki değişiklik.
Armitage Saldırılacak Ağa Başarılı Giriş
- Artık hedefe sızılmış, meterpreter oturumu açılmıştır. Şimdi sızılan sistemden veri toplamaya çalışılacaktır. Hedefle daha iyi etkileşim için meterpreter oturumu etkinleştirilir.
Sağ tık -> Meterpreter 1 -> Interact -> Meterpreter Shell
Armitage Saldırılan Ağ’da İşlemler
Hedefe sağ tık -> Meterpreter 1 -> Access -> Dump Hashes Isass method (Her işletim sistemi için Dump Hashes Isass method başarı ile sonuçlanmayabilir)
Armitage Saldırılan Ağ’da Şifre Bulma
Ve kullanıcı hesaplarına ait özetlerin görüntüsü
Armitage Saldırılan Ağ’da Bulunan Kullanıcı ve Şifresi
Burada kırmızı çerçeve içerisine alınan kullanıcı bilgileri genel bir kullanıcıya benziyor. Buradaki kullanıcı adıyla diğer bilgisayarlara giriş yapılabilir.
Not: Buradan sonra kullanıcı hesapları üzerinden ilerlemek adına birbirinden farklı yollar mevcut,
- Şifreleri kırılmaya çalışılabilir
- Elde edilen bilgiler, tüm ağdaki bilgisayarlara girmek için kullanılabilir.
Sızılan bilgisayarda bulunan dosyalar incelenmeye başlanır. Bunun için izlenilecek yol
Hedefe sağ tık -> Meterpreter 1->Explore -> Browse Files
Sonrasındaki ekran çıktısı ile birlikteki alıntı.
Armitage Saldırılan Ağ’da Dosya Gezintisi – 1
Daha sonra “C:\Documents and Settings\” dizinine geçilir. İlgi çeken bir dosya olursa sağ tıklanıp indirilir.
Armitage Saldırılan Ağ’da Dosya İndirme – 1
İndirme tamamlandığındaki ekran alıntısı
Armitage Saldırılan Ağ’da Dosya İndirme – 2
İndirilenlere ulaşmak için;
Armitage Saldırılan Ağ’da İndirilen Dosyaları Görüntüleme
- Bu bilgisayardan kullanıcı hesap özetlerinden başka bir şey çıkmadı. Şifreler kırılmaya çalışılır. Toplanılan kullanıcı bilgilerinin özetlerini görüntülemek için,
Armitage Saldırılan Ağ’da Hashlenmiş Şifreyi Çözme – 1
Armitage Saldırılan Ağ’da Hashlenmiş Şifreyi Çözme – 2
Armitage Saldırılan Ağ’da Hashlenmiş Şifreyi Çözme – 3
Administrator:12Qwaszx şifre alınmıştır.
10- Şimdi 10.10.2.52(EBABİL) sunucuna metasploit psexec oturumu açmayı deneyip, başarılı olunduğunda meterpreter oturumu açılmaya çalışılacak. Hedefe sağ tıklayıp
Login -> psexec modülü seçilir.
Armitage Bulunan Şifre İle Başka Ağlara Sızma – 1
Armitage Bulunan Şifre İle Başka Ağlara Sızma – 2
Uyarı: “User everse connection” seçeneğini tıklanmaz ise payload oluşturulur ve karşıya gönderilir, sizin için çalıştırılır. Fakat, gelen bağlantı isteğini dinleyip yorumlayacak bir modül çalışmadığı için bu istek paketleri düşürülür.
Şimdi modüler çalıştırılır. Girişim başarılı olduğunda modül konsoluna dökülecek bildirim.
Armitage Bulunan Şifre İle Başka Ağlara Sızma – 3
Şimdi sızılan bilgisayar incelenmeye başlanır. Direk olarak E:// sürücüsüne gidip dosyalarına bakılabilir.
Armitage Bulunan Şifre İle Ebabil’e Erişim – 1
Armitage Bulunan Şifre İle Ebabil’e Erişim – 2
- Artık son hamleyi yapmanın zamanı geldi. Eğer veri tabanı yöneticisi yani 10.10.2.35(ORACLE_HHO) bilgisayarına sızıp veri tabanına erişim bilgilerini elde edilebilirse senaryo tamamlanmış olacak. 10.10.2.52 Ebabil sunucusuna yapılan işlemler tekrarlanıp gerekli olan dosyalar indirilir. Son olarak indirilen dosyalar aşağıda görüldüğü gibidir.
Saldırılan Ağlardan İndirilen Veritabanları
Saldırılan Ağlardan İndirilen Mail Veritabanı
Saldırılan Ağlardan İndirilen Kütüphane Günlük Kayıtları
Saldırılan Ağlardan İndirilen Veritabanları – 2
Saldırılan Ağlardan İndirilen Log Kayıtları
Saldırılan Ağlardan İndirilen Ebabil Dosyaları