WCE & Sysinternals Psexec & Veil: Antivirüslere Yakalanmayan Uygulama ile Meterpreter Kabuğu Elde Etme

WCE & Sysinternals Psexec & Veil: Antivirüslere Yakalanmayan Uygulama ile Meterpreter Kabuğu Elde Etme

Elde edilen parola özetini kullanarak hedef sisteme Meterpreter ile bağlanmanın en kolay yollarından birisi MSF psexec modülünün kullanılmasıdır. Bu modülün kullanımı için bakınız.

Yazının devamı için bakınız:
http://www.siberportal.org/red-team/windows-operating-system-penetration-tests/acquiring-windows-command-line-of-remote-computer-using-password-hashes-via-wce-tool/
ve
http://www.siberportal.org/red-team/windows-operating-system-penetration-tests/obtaining-meterpreter-session-from-windows-command-line-via-sysinternals-psexec-tool-and-msf-multi-handler-exploit-module/

Kali pth-winexe aracı & Veil: Antivirüslere Yakalanmayan Uygulama ile Meterpreter Kabuğu Elde Etme

Kali pth-winexe aracı & Veil: Antivirüslere Yakalanmayan Uygulama ile Meterpreter Kabuğu Elde Etme

Önceki bir yazıda, Veil ile oluşturulan ve antivirüslere yakalanmayan bir zararlı yazılm oluşturularak Kali üzerindeki bir paylaşıma konulmuş ve MSF psexec_command modülü ile bu uygulama kurban Windows 7 makinesinde çağırılmıştı. Böylece uygulama çalışmış ve Kali'ye bir meterpreter bağlantı oluşturulmuştu.

Yazının devamı için bakınız:
http://www.siberportal.org/red-team/windows-operating-system-penetration-tests/obtaining-meterpreter-session-by-using-obtained-authentication-informations-via-pth-winexe-tool/

MSF psexec_command Modülü & Veil: Antivirüslere Yakalanmayan Uygulama ile Meterpreter Kabuğu Elde Etme

MSF psexec_command Modülü & Veil: Antivirüslere Yakalanmayan Uygulama ile Meterpreter Kabuğu Elde Etme

Önceki bir yazıda klasik MSF psexec modülü kullanılarak erişim bilgisi elde edilen kurban makineye meterpreter bağlantısı elde edilmişti. Ancak, bu bağlantı oluşturma sırasında kullanılan kodlar (payload) bir çok antivirüs tarafından yakalanmaktadır. Bu sebeple klasik MSF psexec modülü kullanışlılığını kaybetmiştir. "psexec_command" adlı bir başka MSF modülü ise antivirüslere yakalanmayacak şekilde hazırlanmış olan bir uygulama dosyasını kullanarak meterpreter bağlantısını sağlamaktadır.

Yazının devamı için bakınız:
http://www.siberportal.org/red-team/windows-operating-system-penetration-tests/obtaining-meterpreter-session-by-using-obtained-authentication-informations-via-msf-psexec-command-auxiliary-module/

AV Bypass: MsfVenom

AV Bypass: MsfVenom

Antivirüslerin atlatılması için, çok etkin bir yöntem olmasa da Metasploit tarafından sağlanan msfpayload ve msfencode modülleri kullanılabilir. Konu ile ilgili ayrıntılı bilgi için bakınız. Bu yazıda ise msfvenom aracı kullanılarak benzer işlemler gerçekleştirilecektir.

Yazının devamı içn bakınız:
http://www.siberportal.org/red-team/anti-virus-evasion-techniques/evading-anti-virus-detection-using-msfvenom-tool/

AV Bypass: MSF Üzerinde Payload Üretilmesi

AV Bypass: MSF Üzerinde Payload Üretilmesi

Antivirüslerin atlatılması için, çok etkin bir yöntem olmasa da Metasploit tarafından sağlanan msfpayload ve msfencode modülleri kullanılabilir. Konu ile ilgili ayrıntılı bilgi için bakınız. Bu yazıda ise msfconsole içerisindeki payload modüllerinden biri kullanılarak benzer işlemler gerçekleştirilecektir.

Yazının devamı için bakınız:
http://www.siberportal.org/red-team/anti-virus-evasion-techniques/evading-anti-virus-detection-using-payload-option-of-msfconsole-interface/

Cobalt Strike #6: Windows 7 Üzerinde İşletim Sistemi Zafiyetini Kullanarak Hak Yükseltme Saldırısı Gerçekleştirme

Cobalt Strike #6: Windows 7 Üzerinde İşletim Sistemi Zafiyetini Kullanarak Hak Yükseltme Saldırısı Gerçekleştirme

Bu yazıda Windows 7 32 bit işletim sistemine standart bir kullanıcı haklarıyla açılan Meterpreter oturumu kullanılarak, işletim sistemi zafiyeti (Windows EPATHOBJ::pprFlattenRec Local Privilege Escalation) istismar edilerek, SYSTEM yetkisiyle  yeni bir Meterpreter oturumu açılacaktır.


Senaryo 5 adımdan oluşacaktır:

1. Mevcut durum incelenecek ve "deneme" adlı yerel kullanıcı hesabına ait haklarla çok da fazla bir işlem yapılamadığı görülecektir.
2. MSF üzerindeki exploit modülü kullanılarak hak yükseltme işlemi gerçekleştirilmeye çalışılacaktır.
3. Exploit kodu yeniden derlenerek hak yükseltme amaçlı kullanılacak bir uygulama oluşturulacak ve Meterpreter oturumu açmak üzere yeni bir uygulama hazırlanacaktır.
4. Hazırlanan 2 uygulama kurban bilgisayarına ait disk sistemine yüklenecektir.
5. Disk sistemindeki 2 uygulama çalıştırılarak yüksek haklara sahip bir Meterpreter bağlantısı oluşturulacaktır.

1) Mevcut Durumun İncelenmesi

Bu senaryoda; "deneme" adlı standart bir kullanıcı, Windows 7 bilgisayarda Windows oturumu açmıştır. Bir şekilde (sosyal mühendislik vs) bu kullanıcının haklarıyla Meterpreter oturumu açılmıştır:

Ele geçirilen bu bilgisayarın Windows komut satırına düşülür:

Ele geçirilen kullanıcı haklarının bilgisayar üzerinde çok da fazla bir yetkisi olmadığı görülmektedir:

2) MSF Modülü İle Hak Yükseltme İşleminin Gerçekleştirilmesi

Windows 7 bilgisayarda tespit edilen zafiyeti sömüren exploit/windows/local/ppr_flatten_rec modülüne ait exploit kodu bulunur ve bilgisayarın üzerine sürüklenerek, ayarlamaların otomatik olarak yapılması sağlanır:

Modül çalıştırıldığında gerekli ayarlamaların otomatik olarak gerçekleştirildiği açılan sekmede görülmektedir:

Ancak bu modül bazı durumlarda çalışamayabilmektedir.

3) Exploit Koduna Ait Uygulamanın ve Meterpreter Bağlantısı Oluşturacak Uygulamanın Hazırlanması

MSF modülünün çalışmadığı durumda modüle ait kod internetten bulunmalıdır:

Bu kod manuel olarak derlenmeli, gerekli değişiklikler yapılıp kaydedilir:

Hak yükseltme işleminden sonra yeni bir Meterpreter oturumunun SYSTEM hakları ile açılması sağlanabilir. Bunun gerçekleştirmek için bir Windows Uygulaması oluşturulabilir:

Bu uygulamanın Meterpreter Reverse HTTPS bağlantısı oluşturması istenir.

Bir dizine kaydedilir:

Böylece, kayıt işlemi gerçekleşmiş olur:

Not: Oluşturulan uygulama bir çok AV tarafından tespit edilmektedir. Bu sebeple, AV'lere yakalanmayan bir uygulama oluşturulmalıdır. Ayrıntılı bilgi için bakınız.

4) Kurban Bilgisayarına İki Uygulamanın Yüklenmesi

Sonraki işlem olarak derlenen exploit koduna ait uygulama (HakYukseltme.exe) ve yeni bir Meterpreter bağlantısını oluşturacak uygulama (TersBaglantiYapanUygulama.exe), kurban bilgisayarına yüklenir.
Bu amaçla kurban sistemin diskine erişilir:

İki uygulama dosyasınn yüklenmesine başlanır:

İki uygulama seçilir ve yüklenir:

Böylece, kurban disk sistemine dosyalar yüklenmiş olur.

5) Yüksek Haklara Sahip Yeni (2.) Meterpreter Bağlantısının Oluşturulması

Açık olan Meterpreter oturumuna ait bir Windows komut satırı (cmd) açılır (Önceden açık olan komut satırı da kullanılabilirdi):

Bu komut satırında hak yükseltme işlemi gerçekleştirilir. <HakYukseltme.exe TersBaglantiYapanUygulama.exe> komutu çalıştırılarak, deneme kullanıcısının önce SYSTEM hakları alması sağlanır, sonra da bu haklarla Meterpreter bağlantısını gerçekleştiren uygulamayı çalıştırması sağlanır.

Böylece SYSTEM haklarıyla yeni bir Meterpreter oturumu ("Meterpreter 2") elde edilmiştir:

2. Meterpreter oturumunda SYSTEM haklarıyla Windows komut satırına (cmd) düşülür:

Bilgisayar üzerinde yetkiler görülebilir:

Cobalt Strike #3: MS Office Macro ile İstemci Taraflı Bir Saldırı Gerçekleştirme

Cobalt Strike #3: MS Office Macro ile İstemci Taraflı Bir Saldırı Gerçekleştirme

Bu yazıda Cobalt Strike ile üretilen bir macro MS Office Word içerisine eklenecek ve kurbana gönderilerek bu dosyanın çalıştırılması sağlanacaktır. Bu işlem 3 adımda gerçekleştirilecektir.

1) Makronun Cobalt Strike İle Hazırlanması

Öncelikle menüden Attacks > MS Office Macro adımları seçilir:

Daha önceki yazıda oluşturulan Listener seçilir:

Hangi adımların izlebneceğine dair bir mesaj kutusu ekrana çıkar:

Makro kopyalandığında aşağıdaki gibi bir mesaj ile karşılaşılır:

Bu mesaj kutusu kapatıldığında nelerin yapılacağını belirten macro adımlarına ait pencere geri gelir.

2) Word'e Makronun Eklenmesi

Öncelikle Word dosyası açılarak View > Macros adımları izlenerek yeni bir makro oluşturulur:

Gelen pencere aşağıdaki gibidir:

Kodun yazıldığı alandaki her şey silinir ve kopyalanan makro yapıştırılır ve sonrasında da makronun yazıldığı pencere kapatılır:

Not: Sarı renk ile gösterilen asıl işi gerçekleştirecek olan kod parçasıdır.

Word içeriği uygun bir şekilde doldurulur ve kapatılır:

Word'ün makro çalıştırması için yapılması gerekenler bir uyarı penceresi halinde çıkacaktır:

Dosya "docm" gibi bir uzantı ile Macro Enabled halde saklanır.

3) Kurbanın Saldırgan Bilgisayarına Bağlanması

Kurbana bir şekilde gönderilen bu dosya açıldığında bir uyarı ile karşılaşılır (eski sürümlerde karşılaşılmayabilir):

Makro çalıştırılmadan önce Cobalt Strike ekranında herhangi bir bilgisayar bulunmamaktadır:

Kurban, makroyu çalıştırdığında, saldırgan makinesine doğru bir bağlantı (Meterpreter Reverse HTTPS) oluşur:

Ek Not: Word Dosyasının Bir Link Üzerinden Kurbana Ulaştırılması

Oluşturulan Word dosyasının (veya herhangi bir payload'un) kurbana ulaştırılması için bir web sunucusu üzerinde saklanabilir. Bu amaçla KALI makine de kullanılabilir. Cobalt Strike ile bu işlem şu şekilde gerçekleştirilir:

Kurbana gönderilecek dosya, kurbanın göreceği link ayarlanır:

Link elde edilir:

Kurbana bu link gönderilir ve kurban bilgisayarında bu dokümana ulaşılmaya çalışılır:

Böylece döküman indirilir:

Kaynak:
http://www.youtube.com/playlist?list=PL9HO6M_MU2nesxSmhJjEvwLhUoHPHmXvz

Cobalt Strike #2: Beacon Kullanarak İstemci Taraflı Bir Applet Saldırısı Gerçekleştirme

Cobalt Strike #2: Beacon Kullanarak İstemci Taraflı Bir Applet Saldırısı Gerçekleştirme

Önceki yazıda W7 bir bilgisayarın üzerinde çalışan uygulamaları Cobalt Strike ile (Attacks > Web Drive-by > System Profiler) oluşturulan ve kullanıcının girdiği zararlı bir sayfa (tıkladığı bir URL,... vs) ile elde edilmişti. Sonrasında da yüklü uygulamalardan birisine (java) yönelik bir istismar/exploit modülü (exploit/multi/browser/java_jre17_provider_skeleton) kullanılmış, kullanıcının yeni oluşturulan sayfaya girmesi (URL'i tıklaması,... vs) sağlanmış ve kurban bilgisayarına meterpreter ile ters bağlantı (reverse connection) kurulmuştu.

Bu yazıda ise, Cobalt Strike Beacon kullanılarak kurbanın bir sayfaya girmesi sağlanacak ve beacon (bir çeşit botnet gibi düşünülebilir) ile istenildiği zaman meterpreter kabuğu açılması sağlanacaktır.

Bu saldırı 4 adımdan oluşmaktadır.

• Öncelikle 2 listener oluşturulacaktır. Daha sonraki adımlarda bir listener daha açılacaktır.
• Sonrasında kurbana gönderilecek olan URL hazırlanacaktır.
• Sonraki adımda kurban bilgisayardan bu URL'e girilecek ve Cobalt Strike arayüzünde bu bağlantı görülecektir.
• Daha sonra beacon'ın oluştuğu ve bu beacon aracılığıyla Meterpreter kabuğuna düşülebildiği görülecektir.

1) Listener Oluşturma

Menüden Listener oluşturulmasına başlanır:

Açılan alt sekmedeki "Add" butonu ile ilk Listener oluşturulur:

Listener bilgileri girilir:

Eğer birden fazla IP'ye bağlantı kurulması isteniyorsa ilgili domain isimleri veya IP adresleri girilebilir:

Böylece ilk Listener oluşmuş olur. İkinci Listener için de aynı işlemler gerçekleştirilir:

Yeni Listener için bililer girilir:

Sonuçta 2 Listener oluşmuştur:

İlk Listener, 80. porta gelen Reverse HTTP Beacon taleplerini dinleyecektir. İkinci Listener ise, 443. porta gelen Reverse HTTPS Meterpreter bağlantılarını dinleyecektir.

2) URL'in Hazırlanması

Saldırı amaçlı oluşturulacak URL için Attacks > Web Drive-by > Smart Applet Attacks adımları izlenir.

URL bilgileri girilir. Windows bilgisayarlar için oluşturulan Beacon veya Meterpreter Listener seçilebilir. Ancak senaryo gereği Beacon seçilecektir. Ayrıca Windows harici işletim sistemlerinde çalışabilecek bir Java Listener daha oluşturulacaktır:

Java Listener'a ait bilgiler girilir:

URL oluşturulur:

Böylece, URL elde edilmiştir:

Not: Bu URL bir iframe olarak ele geçirilen bir Web snunucuya da konulabilir ve kurbanın bu sayfaya girmesi de sağlanabilirdi:

3) URL'e Girilmesi ve Bağlantının Görülmesi

Kurban, önceki adımlarda hazırlanan URL'e girer:

Java ile ilgili herhangi bir uyarı gelirse (Java güncel olsaydı aşağıdaki uyarı gelmezdi. Ayrıca bu senaryo yine de çalışırdı) kabul edilir:

Uygulamanın çalışması sağlanır:

Cobalt Strike arayüzüne girildiğinde Kurban bilgisayarın URL'e girdiği görülmektedir. Ayrıca Listener sekmesinde "Refresh" butonuna basıldığında oluşturulan 3. Listener da görülmektedir:

Not: Bilgisayar gerçek anlamda henüz ele geçirilmediği için Mavi renkte (Windows olduğu için) gözükmektedir. Kurban bilgisayar ele geçirildiğinde etrafında kırmızı şimşekler (!) görülecektir.

4) Beacon Oluşması ve Meterpreter Kabuğunun Oluşturulması

Kurban linke tıkladığında Applet çalışmış, beacon kurban bilgisayarında çalışmaya başlamıştır. Beacon tarafından gerçekleştirilen talepler de KALI / Cobalt Strike üzerindeki Listener tarafından yakalanmıştır. Oluşan beacon'ı yönetmek için, menüden View > Beacons adımları takip edilir.

Yeni açılan sekmede beacon görülmektedir:

Not: Bu beacon varsayılan olarak dakikada bir komuta merkezine (KALI) HTTP üzerinden bağlanmakta ve komuta merkezinden emir istemektedir.

Beacon seçilerek "Spawn" denilerek bir emir verilecektir:

HTTPS üzerinden ters bir meterpreter bağlantısının (Meterpreter Reverse HTTPS) yapılması istenilecektir:

Emir verildikten sonra 60. saniyeye dek beklenir:

Sonraki dakikada Meterpreter bağlantısı oluşur.

Bu aşamadan sonra Meterpreter üzerinde yetkiler dahilinde işlemler gerçekleştirilir.

Beacon Özellikleri

Bunun yanında beacon ile iletişime de geçilebilir:

Açılan yeni sekmeden beacon yönetimi gerçekleştirilebilir (Meterpreter bağlantının gerçekleştirilmesine dair bir emir/görev görülmektedir):

İstenilirse meterpreter oturumu kapatılabilir:

Daha sonra yeniden emir gönderilebilir:

Meterpreter kabuğunun açılması istenebilir.

Bir süre sonra Meterpreter bağlantısı otomatik olarak açılır:

Kaynak: 
http://www.youtube.com/playlist?list=PL9HO6M_MU2nesxSmhJjEvwLhUoHPHmXvz