Metasploit Framework 6.4, Kerberos kimlik doğrulamasında önemli iyileştirmeler sunuyor. Aux/admin/kerberos/forge_ticket modülü artık altın ve gümüş biletlerin yanı sıra elmas ve safir tekniklerini de destekliyor ve Windows Server 2022 ile uyumlu.
Yeni bir post/windows/manage/kerberos_tickets modülü, Rubeus'un klist/dump'ına benzer şekilde Kerberos biletlerinin ele geçirilen sistemlerden atılmasına olanak tanır.
Aux/gather/windows_secrets_dump modülü artık DCSync ile bilet geçiş kimlik doğrulamasını destekliyor ve geçerli bir Kerberos bileti kullanarak etki alanı kimlik bilgilerinin boşaltılmasına olanak tanıyor.
Metasploit, belirli etki alanlarını (örneğin *.lab.lan) potansiyel olarak belirlenmiş bir oturum (örneğin oturum 1) aracılığıyla erişilen seçilmiş bir ad sunucusu aracılığıyla çözümlemek için kuralların tanımlanabildiği pivot senaryoları için DNS çözümlemesinin gelişmiş yapılandırmasına olanak tanır.
DNS isteklerinin nereden kaynaklandığını kontrol etmenize, statik ana bilgisayar eşlemeleri oluşturmanıza veya diğer tüm etki alanları için belirli ad sunucularını kullanmak üzere bir geri dönüş kuralı tanımlamanıza olanak tanır ve DNS sorgularının sızma testi sırasında gerektiği gibi yönlendirilmesini sağlar.
Metasploit 6.4, SMB paylaşımlarıyla doğrudan etkileşime olanak tanıyan yeni SMB oturum türlerini tanıttı. Belirli modüllerde CreateSession seçeneği ayarlanarak oturumlar başlatılabilir.
Bir oturum oluşturulduktan sonra dizinlerde gezinilebilir ve dosyalar yüklenip indirilebilir.
Oturum boyunca gizli boşaltma ve PsExec gibi diğer işlevlerden yararlanılabilir.
Bu oturumlar için Kerberos kimlik doğrulaması da desteklenerek, penetrasyon testçilerine güvenliği ihlal edilmiş SMB sunucularından yararlanma ve bunları yönetme konusunda daha akıcı bir yaklaşım sunulur.
Yeni SQL Oturum Türleri Örnekleri
SMB oturumlarına benzer şekilde PostgreSQL, MSSQL ve MySQL dahil farklı türde veritabanı oturumları kurabilen yeni yardımcı modülleri tanıttı. Bu oturumlar CreateSession seçeneği kullanılarak başlatılabilir.
Örneğin, tarayıcı/mssql/mssql_login yardımcı modülü, başarılı kimlik doğrulamanın ardından yeni bir MSSQL oturumu oluşturabilir.
Bir oturum oluşturulduktan sonra “sessions” komutu tüm aktif oturumları listelemek için kullanılabilir ve “sessions -i
Etkileşimli oturumda kullanıcılar, “query” komutunu kullanarak SQL sorguları yürütebilir veya “query_interactive” komutunu kullanarak etkileşimli bir SQL kabuğu başlatabilir; bu, bir sistemin güvenliği ihlal edildikten sonra kullanım sonrası veritabanı etkileşimine izin verir.
Metasploit 6.4'teki yeni özellikler, modülün keşfedilebilirliğini artırır, Windows Meterpreter için bellek aramasına olanak tanır ve EDR/AV algılamasını atlamak için dolaylı sistem çağrıları uygular.
Teknik, ntdll.dll içindeki sistem çağrısı talimatına atlayarak sistem çağrısını gizler.
Karşılık gelen yerel API fonksiyonunun bellekteki konumu, sıfırdan başlayarak sıralı atama varsayılarak sistem çağrı numarasını belirler.
Diğer bir gelişme ise modül eylemlerine ve takma adlara dayalı aramayı içeren hiyerarşik aramadır.
Buna karşılık, yeni bir API, belirli veri kalıpları için bir süreç içinde bellekte arama yapılmasına olanak tanır ve potansiyel olarak hassas bilgilerin açığa çıkmasına olanak tanır.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & heyecan.