Merhaba arkadaşlar, bugünkü konumuz kali linuxta kurulu olarak gelmekte olan ve payload oluşturmamıza yarayan MSFVENOM aracı olacak. Peki nedir bu araç, ne işe yarar?
Eskiden kalide “msfpayload” ve “msfencode” vardı. Bunlar kaldırılıp yerine ikisinin bir birleşimi olan msfvenom geldi. MSFVENOM payload (backdoor) üretmemizi sağlayan bir araçtır. Sızma testlerinde sosyal mühendislik ile hedefe bunu yedirdiğimizde hedefte oturum elde ederiz. Payload oluşturulurken msfvenom bizden bir kaç parametre istiyor ve bu parametreler nelermiş onlara değinelim. Bu parametreleri ve ne işe yaradıkları görmek için kali linux terminalimize “msfvenom -h” yazabilirsiniz.
-p ile msfvenomda kullanacağınız payloadın seçimini yapabilirsiniz.
-l ile kullanabileceğiniz payloadları listeleyebilirsiniz.
-f ile oluşturacağımız payloadın formatını belirleyebilirsiniz. Mesela “-f exe” gibi.
a- ile oluşturacağımız payloadın mimarisini belirleyebilirsiniz. Mesela “-a x64” gibi
–platform ile payloadın hangi platformda çalışacağını belirleriz. Mesela “–platform windows” gibi
-o ile oluşturacağımız payloadın nereye kaydediceğimizi belirleriz. Mesela “-o /root/Desktop/Sample” gibi
-e ilede encoder işlemini yapabilirsiniz. Payloadımızı antivirüslerden kaçırmak istiyorsak encoder işlemini kullanabiliriz. Yani oluşturduğumuz payloadımızın kodlarını gizleriz. Mesela “-e x86/shikata_ga_nai” gibi.
-i ilede encoder işleminin kaç kere yapılacağını belirleriz. Burada dikkat edilmesi geren husus bu sayıyı çok yüksek tutmamanız çünkü ne kadar fazla encoder ederseniz oluşturacağınız payloadın boyutuda o kadar artacaktır. Mesela “-i 20” gibi
NOT : Sızma testlerinde genelde en çok tercih edilen payload “meterpreter” payloadıdır. Kendini bellek üzerine yükleyerek harddisk üzerinde iz bırakmaz. Tespit edilmeside bir hayli zordur.
-x ile payloadımızı bir programın içine gömmek istediğimizi söyleriz. Mesela “-x /root/Desktop/putty.exe” gibi
-k ilede gömdüğümüz programın fonksiyonlarının bozulmaması düzgün çalışması için kullandığımız parametredir. “-x /root/Desktop/putty.exe -k ” gibi
Şimdi bir payload nasıl oluşturulur ona bakalım.
Yazdığımızı inceleyelim.
-p ile windows için meterpreter payloadının reverse tcp bağlantısını kullanacağımızı belirttik. LHOST ve LPORT olarak kendi ip adresimizi verdik çünkü bağlantı bizim ip adresimize ve 443 portumuza yapılacak. -f parametresi payloadımızın “exe” formatında oluşturacağını belirtir. -a parametresi payloadın hangi mimariye göre oluşturulacağını belirtir. -o parametreside payloadın hangi dosyaya kaydedileceğini belirtir. –platform parametresi hangi platformu etkileyeceğini belirtir. -e parametresi hangi encoder işlemini kullanacağımızı belirtir ve -i ilede payloadı kaç kere encode edeceğimizi belirtiyoruz. “okankurtulus.exe” olarak payloadımızı oluşturmuş olduk.
Evet bundan sonrası sosyal mühendislik ile hedefe payloadı yedirmeniz için size kalıyor. Ben sizin payloadı yedirdiğinizi varsayıyorum ve devam ediyorum.
Payloaddan gelecek bağlantıyı karşılamamız için metasploit’in içerisinde bulunan handler exploitini kullanacağız. Bu exploite burada değinmeyeceğim araştırıp bulabilirsiniz. Portu dinleyeme aldık ve hedefte payloadı çalıştırıyoruz.
Evet bu yazımı burada bitiriyorum bir sonraki yazımda meterpreter komutları, meterpreter ile neler yapabiliriz ve Migrate komutu ile hedef sistemde çalışan bir işleme meterpreteri sıçratmayı anlatacağım. İyi günler dilerim.
NOT: MSFVENOM tool’u çok fazla kişi tarafından kullanılır ve herkes oluşturduğu payloadı virustotal gibi online virüs tarama sitelerine gönderip analiz ettirir. Virustotal ve benzeri sitelerin log tutmasından dolayı oluşturduğunuz payloadın antivirüsler tarafından tanınması söz konusu olacaktır. Yani toparlayacak olursak MSFVENOM ile oluşturacağınız payloadların çoğu antivirüsler tarafından tanınabilir. Bunun için oluşturduğunuz payloadın üzerine başka işlemlerde yapmanız gerekebilecek.