Post Exploitation Tricks

Windows post exploitation tricks

Pentest çalışmalarından biri olan dış testlerde web uygulamasında bulunan bir zafiyet sonucunda artık post exploitation süreci başlamış olur. Çoğu gerçek mimaride kritik yapıya sahip sunucular doğrudan internete/dışarıya erişimleri olmaz. Bu tür sunucular dışarıya erişimi olan başka sunucular üzerinden haberleşir. Bu durumda bir saldırganın yapacağı işlem ele geçirdiği sunucuyu bir pivot noktası olarak kullanıp burdan ele geçirdiği sunucunun bulunduğu networkdeki diğer makinelere sızması olacaktır.

Bu işlem için saldırgan öncellikle elde ettiği meterpreter oturumu üzerinden bir route tanımlaması gerekir. Ele geçirilen sunucunun haberleştiği diğer subnet bilgisine arp tablosu veya netstat komutuyla ulaşılabilir. route işlemi aşağıdaki komut ile yapılabilir

route add <dısardan-erisilmeyen-network> <subnet-mask> <meterpreter-session>

route eklendikten sonra artık belirlenen iç taraftaki subnette bulunan makinelere erişilebilir.

Ancak işi daha da ileriye taşıyarak rdp nmap vb araçları ele geçirilen makineyi pivot olarak kullanmak şartıyla dışardan erişilebilir hale getirilir. Bunu ise proxychain uygulaması ve metasploitde bulunan auxiliary/server/socks4a modülü ile yapılabilir. Yönergeler aşağıdadır.

Öncelikle mevcut metasploit oturumu üzerinden bir socks proxy başlatılır. Bunu socks4a auxiliary moduluyle yapmak mumkundur.

Daha sonra proxy chain uygulmasına socks proxy uygulamasının çalıştığı sunucucu ve ip bilgileri verilir. Bunun içinde /etc/proxtychains.conf dosyasının en alt kısmına aşağıdaki komut eklenir.

socks4a IP PORT

artık proxychain uygulaması ile beraber çalışan tcp temelli tüm uygulamalar öncellikle metasploitin çalıştığı makineye ordan da tanımlanan route sayesinde hedef sistemde dışarıya kapalı olan subnetteki bir makineye gönderilir.

Last updated