Armitage Nedir? Armitage, metasploit veritabanını kullanan grafiksel bir test / saldırı araçlarından bir tanesidir. Armitage metasploit veritabanlarını kullanması nedeniyle hedef sistemin bilgilerine göre grafiksel olarak açık taraması yapabilir ve o sistemin özelliğine göre açıkların tespitini kolaylaştırır. Kullanım Öncesi Armitage programının ilk açılışında karşınıza yukarıdaki gibi bir kullanıcı adı, şifre alanı gelecektir. Burada isterseniz mevcut "msf" kullanıcı adı ve şifresi "test" ile giriş yapabilirsiniz. İsterseniz bu bilgileri kendi isteğinize göre değiştirebilirsiniz. Bunun için Terminal komut satırından ; msfrpcd -U Kullanici -P Sifre -f -S -a 127.0.0.1 olarak güncelleyebilirsiniz. Yardım için ; http://www.fastandeasyhacking.com/start Not: Armitage Backtrack 5 içerisinde kurulu olarak gelmektedir. Yazılımı Alt+F2 tuş kombinasyonuyla açılan ekrana yazılım ismini girerek çalıştırabilirsiniz. Yada komut satırından terminal arayüzünü kullanarak armitage tam adıyla giriş yaparak programı çalıştırabilirsiniz. Armitage Nedir? - 1
Start Metasploit Diğer bir adımda Connect butonuna basıldıktan sonra karşınıza gelecek alanda Yes butonuna basmalısınız. Bu alanda size Metasploit sunucusunun çalışmadığını sizin için çalıştırabileceğini onaylamanızı istemektedir. Armitage Nedir? - 2
Armitage Grafiksel Arayüz İnceleme Bağlantı başarılı bir şekilde gerçekleştikten sonra karşınıza yukarıdaki gibi bir ekran gelecektir. Kısaca tanışalım ; 1. Taranan sistemin zaafiyetlerine yönelik açıkların belirlenmesinde kullanılan exploitler, sisteme ve kullanılan programlara özel açıkların tespiti, sızılan sistemler üzerinde çalıştırılması muhtemel komutların / yardımcıların bulunduğu alan yeralmaktadır. 2. Armitage programının kullanılması için tarama yapılacak sunucuların girişini yapmak, tarama yapılan sunucunun işletim sistemini belirlemek gibi fonksiyonlar bulunduğu yerdir. 3. Workspace ekranıdır. Bu ekranda grafiksel olarak sunucunun hangi işletim sistemine sahip olduğu eğer istenirse bulunduğu network de bağlı olduğu sistemlerde çıkartılabilir. 4. Console ekranında genelde sızılan sistemlere komut üretme haricinde bilgi alma amaçlıda yararlanılmaktadır. Armitage Nedir? - 3
Şimdi örnek bir tarama ve zaafiyet tespiti yapalım sonrasında açık bulunan sisteme neler yapabiliyoruz bir inceleyelelim. Saldırı Öncesi Öncelikle bilmeliyizki bir saldırgan sisteme saldırmadan önce sistemler hakkında bilgi toplar. Bu veriler saldırıya başlamadan önce saldırının yapıtaşlarını oluşturacaktır. Saldırgan yada tester whois sorgularından, dns sorgularına, alan adı kayıtlarına, lokasyon bilgilerinden kişilere kadar veri toplar. Armitage Nedir? - 4
Adım Adım Saldırı Seneryosu - Host Ekleme Host ekleme ile test saldırısı yapacağınız sistem belirtilir. Armitage Nedir? - 5
Host Ekleme Add Hosts kısmında kurban ip adresini ekledik. Bu alana birden fazla ip adresinide eklememiz mümkündür. Armitage Nedir? - 6
Eklenen host adresinin hangi işletim sistemi olduğu tespiti ve açık olan portlarını bulmak için nmap aracını kullanacağız. Armitage Nedir? - 7
NMAP Taraması Yukarıdaki adımları sırayla izleyerek Nmap aracından "Quick Scan (OS detect)" seçerek port taramasını gerçekleştireceğiz. Sonrasında Host üzerinde Scan butonunu kullanarak taramayı tamamlanıyız. Böylece açık olan portları ve hostun hangi işletim sistemi olduğunu öğrenmiş olacağız. Armitage Nedir? - 8
Tarama Sonrası Tarama işleminden sonra yukarıdaki gibi bir ekran karşınıza gelecektir. Burada taramanın bittiğini ve açık olan portlara, işletim sistemine göre ve ayrıca program zaafiyetlerine göre atakları bulmak için ; Use Attacks -> Find Attacks adımını gerçekleştirelim. Armitage Nedir? - 9
Burada görmüş olduğunuz atak türlerine göre karşı zaafiyetlerini kurban hostumuzda deneme yapacağız. Örneğin yukarıda gördüğünüz gibi ms08_067_netapi açığını kullanarak kurban sisteme sızacağız. Eğer sistemin bu açığa karşı zaafiyeti varsa sistem zehirlenmiş olacak ve içeriye exploit imizi gönderebileceğiz. Böylece sistemi control altında almış olacağız. Armitage Nedir? - 10
Yukarıda görümüş olduğunuz parametreleri özetlemek gerekirse; 1. LHOST : Buradaki parametrede kendi ip adresimiz yeralmaktadır. 2. LPORT : Burada kendi açık portumuz bulunur. 3. RHOST : Kurban ip adresinin olduğu alan. 4. RPORT : Hostun açık olan port numarası. 5. SMBPIPE : Görüntüleme adı. Armitage Nedir? - 11
Console Görünümü Çalıştırıldıktan sonra yukarıdaki gibi Console ekranı yanında exploit tabı belirir ve girilen parametler sırasıyla komut dizesi olarak çalıştırılır. Böylece sistem tarafındaki zaafiyet taranır. Burada kurban ip adresinde Windows 2003 R2 - Service Pack 2 bir sistem olduğunu ve bu açığın olmadığını gördük.açık exploit edilmedi. Armitage Nedir? - 12
Açığın Exploit Edilmesi Sistemde açık tespiti yaptınız ve zaafiyeti exploit ederek sistemi ele geçirdiniz. Yukarıdaki gibi bir ekranda sistemi ele geçirdiğinize dair bir görüntü belirir. Armitage Nedir? - 13
Yapılabilecekler Açılan Meterpreter session ile zehirlenen hostun komut satırı ekranını açabilirsiniz. Ayrıca VNC açabilir, dosya sistemine ulaşabilir, klavye komutlarını kaydedebilir, kurban hosttan screenshot alınabilir, çalıştırılan işlemlerini kapatabilir daha birçok işlevi yapabilirsiniz. Armitage Nedir? - 14
Komut Satırını Kullanma Yukarıdaki adımları izleyerek hostun komut satırını ekranınızda çalıştırabilirsiniz. Örneğin; Armitage Nedir? - 15
Meterpreter session ile açmış olduğumuz komut satırında "systeminfo" komutunu çalıştırdık ve sistem hakkında bize bilgi verdi. Bu yöntem ile komut satırından birçok aksiyonu alabilirsiniz. Bu sizin bilginize kalmış bir durumdur. Ama örnek verecek olursam, bir uygulamayı karşı bilgisayara yükletebilirsiniz. Script yazıp bilgisayarda istediğiniz uygulamayı silebilir, kullanıcı oturum açtığında mail attırabilirsiniz. Buna benzer hayal gücünüze ve yazılım bilginizede kalmış birçok aksiyon alınabilir. Armitage Nedir? - 16
Dosya / Klasör Meterpreter session ile yukarıdaki adımlar ile açmış olduğumuz kurban hostun dosya ve klasörlerini görebiliriz. Armitage Nedir? - 17
Host un dosyalarını ve klasörlerini açılan oturum ile görebilirsiniz, yeni dosya yükleyebilir veya silebilirsiniz. Birkaç örnek vermek gerekirse açılan oturum bilgisi ile klavye komutlarını kaydedebilirsiniz. Armitage Nedir? - 18
Keystrokes Kullanımı (Klavye Komutlarını Kaydetme) Yukarıdaki adımları izleyerek oturumda klavye komutlarını kaydedebilirsiniz. Örneğin ; Armitage Nedir? - 19
Klavye kaydetme işlemi karşıda bir oturumun aktif olarak kullanılması ile olur. Her bir oturumda "explorer" uygulaması kullanıcıya has çalışmaktadır. Böylece klavye hareketleri explorer.exe uygulamasına kanca atılarak yapılır. Meterpreter Shell Kullanımı Yukarıdaki adımları uygulayarak "Meterpreter Shell" ekranına ulaşılabilir. Örnek komutlara ulaşmak için açılan shell ekranında "?" kullanarak yardım bilgisini alabilirsiniz. Armitage Nedir? - 20
Örnek birkaç komut ekrandaki gibidir. Mesela "clearev" komutu ile event log'ları silebilirsiniz :). Bu şekilde tüm aksiyonlara değinmeyeceğim. Diğer aksiyonlara kişisel çalışmalarınızla değinmelisiniz. Bir başka makalede görüşmek dileğiyle. Birkan DALKILIÇ Microsoft Certified Trainer Armitage Nedir? - 21