Kısa süre önce meterpreter payloadına yeni kodlar eklendi.Yeni özellikler kazandırılan meterpreter payloadı ile klavye girişlerini yakalamak (sniff etmek) mümkün.
“migrate” komutu ile istenilen uygulamaya enjekte olunarak “keyscan_start” ve “keyscan_dump” komutları ile klavye girişleri yakalanabiliniyor.
Örnek bir kullanım için, Windows XP SP3 sisteme Ms08-067 exploiti ile meterpreter payloadını karşıya yükleyip komut satırını aldığımızı varsayalım.
Oturum Açma Bilgilerini Yakalama
Oturum elde edildikden sonra “ps” komutu ile hedef sistemde çalışan uygulamalar ile PID değerlerleri listelenir.
Windows sistemlerde kimlik doğrulama winlogon.exe (Microsoft Windows Logon Process) aracılığıyla yapılır. (bknz:resim 1)
“migrate” komutu ile bu uygulamaya enjekte olup, “keyscan_start” komutu ile klavye girdilerini yakalama işlemini başlatalım.Sisteme herhangi bir girişyapıldığında bu bilgileri “keyscan_dump” komutu ile elde edebiliriz. (bknz: resim 2)
Klavye Girişlerini Yakalama
Oturum açma sonrası, “migrate” komutu ile explorer.exe’ye enjekte olunarak “keyscan_start” komutu ile klavye girdileri dinlenir ve “keyscan_dump” ile yakalanan veriler okunur. (bknz: resim3 ve resim 4)
yukarıdaki resimde görüldüğü üzre, tüm klavye girdileri yakanlanmış …
