Windows 7 Migration and Persistence

Bugün sizlere  "Windows 7 Migration and Persistence" konusundan bahsedeceğim. Sizlere öncelikle "Migration" ve "Persistence" işlemlerini anlatacağım.

•  Amaç: Windows 7 sistemler için bir exploit yaratacağız ve bunu sisteme upload edeceğiz. Sistem içerisinde daha uzun ömürlü kalabilmek açısından programımızı çalışan process'ler içinden bir tanesine gömeceğiz. Sistem kapansa bile sistem başladığında bağlantı için çalışan bir servis oluşturacağız.
  
   
•  Gereksinimler: 
  
  
  1. Windows 7 işletim sistemi (Sanal veya harici sistem)
  2. Kali Linux 2018.1 
  3. Apache2 Web Server
  4. Metasploit Framework
   

• Migrate Nedir?

  Migrate işlemi kullanıcı taskmgr içinde çalışan işlemlere baktığı vakit sizin exploit dosyanızı görmesi yerine başka bir dosyayı görmesi ve onu windows dosyası sanma işlemidir. Bu şekilde kullanıcı migrate işleminde çalışan exploit dosyasını bir windows sistemi sanacaktır.
  
   

• Persistence Nedir?

  Persistence sisteme gönderdiğiniz exploit dosyasının boot işlemi esnasında açılıp size bağlanmasını sağlayan işleme denmektedir.
  
  

• Windows 7 Hacking İşlemi

   Kullanıcağımız Exploit: windows/meterpreter/reverse_tcp
  
  
  
  
  Gerekli parametreler ile web sunucumuz içine "cyberguilty.exe" adında bir exploit oluşturuyoruz.
  
  
  
  
   Dosya sunucu içerisinde başarılı bir şekilde gözüküyor.
  
  
  
  
   Metasploit framework içerisinde "multi/handler" modülü ile gerekli ayalar yapılır ve bağlantı sağlanıyor.
  
   

• Migrate İşlemi

  
  
  Görev yöneticisine bakıldığında exploit dosyamız aktif olarak gözüküyor ve bu kullanıcı tarafından göze çarpabilir.
  
  
  
  Windows dosya gezgini olarak bilinen "explorer.exe" içerisine exploit dosyamızı enjekte ettik.
  
  
  
  Process List içerisinde cyberguilty.exe başarıyla kayıp oldu.
  
  

• Persistence İşlemi

  Öncelikle ilk yapmamız gereken bağlatıyı arkaplan bir süreçe çevirmek.
  
  
  
  
  
  
  
  
  Modül Adı = windows/local/persistence
  
  1. EXE_NAME = Servis ismimiz
  2. SESSIONS = elde ettiğimiz sessions
  3. EXE::Custom = servisin çalıştıracağı ve sisteme upload edilecek exploit 
   
  Bu işlemlerin  ardından sistemi meterpreter ile reboot ettiğiniz zaman içinde bile sistem size otomatik olarak tekrar bağlanacak ve sistem içerisinde gizlice istediğiniz işlemleri yapabileceksiniz.