Post Exploitation: MSF Persistence Post Modülü

Post Exploitation: MSF Persistence Post Modülü

Bir sisteme girildikten bir süre sonra bilgisayar ile bağlantı kesilebilmektedir. Bu durumda o bilgisayarı tekrar exploit etmek gerekebilir. Bunun yerine bilgisayar arka kapı da bırakılabilir. Bu yazıda, Metasploit Framework içerisindeki Persistence modülü kullanılarak arka kapı bırakılması incelenecektir.

Yazının devamı için:
http://www.siberportal.org/red-team/windows-operating-system-penetration-tests/obtaining-permanent-meterpreter-session-on-windows-by-using-meterpreter-persistence-script/

İpucu: Kapalı Oturumda Yapışkan Tuşlar ile Yerel Yönetici Kullanıcısı Oluşturma

Yapışkan Tuşlar ile Komut Satırına Geçme

Tehdit
Yerel yönetici hesabı kullanan bir kullanıcının oturumunu açık bırakılması durumunda bu makinede bir arka kapı bırakılarak makinede tam kontrol sağlanabilir.

Senaryo
Yönetici oturumu açık kalmış olan birmakinede kayıt defterine aşağıdaki gibi bir kayıt girilir:
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe" /v Debugger /t REG_SZ /d "C:\windows\system32\cmd.exe"

Otumunun kapatıldığını varsayalım. Bu makinenin başına geçen kullanıcı 5 kere SHIFT tuşuna basarak komut satırına geçiş yapabilir. Daha sonra SYSTEM hakları ile bir yönetici kullanıcısı oluşturabilir:

Kaynak site:
http://security.ege.edu.tr/istemciguvenligi/17-kritik-windows-acigi.html