در این سناریو قصد داریم ترافیک های ارسالی و دریافتی کارت شبکه های سیستم قربانی را که مهاجم دارای دسترسی Meterpreter بر روی آن است، ذخیره و بررسی کنیم. اما قبل از آن پیشنهاد می کنیم ابتدا مقاله امنیت سایبری را خوانده و از اهمیت آن مطلع شوید سپس به خواندن این مقاله مشغول شوید.
سیستم مهاجم دارای آدرس IP: 192.168.1.13، سیستم قربانی دارای آدرس IP:192.168.2.25 می باشد.
برای پیاده سازی سناریو مذکور، فرض می کنیم که مهاجم دارای دسترسی Meterpreter بر روی سیستم قربانی می باشد. برای اینکه مهاجم بتواند از دسترسی خود استفاده کند تا ترافیک های کارت شبکه های موجود بر روی سیستم قربانی را شنود کند، می بایست از Module موجود در Metasploit با نام sniffer استفاد کند.
نکته ای که در خصوص اجرای Module مذکور وجود دارد این است که مهاجم می بایست از سطح دسترسی NT AUTHORITY\SYSTEM بر روی سیستم قربانی برخوردار باشد. بنابراین در صورتی که مهاجم از دسترسی پایین تری برخوردار است، ابتدا می بایست از روش های گوناگونی که برای ارتقا سطح دسترسی وجود دارد بهره ببرد. در این سناریو، مهاجم برای ارتقا سطح دسترسی خود، از Module موجود در Metasploit با نام bypassuac_injection استفاده می کند.
مشابه آنچه در تصویر زیر مشاهده می شود، مهاجم Session دسترسی Meterpreter خود را به background منتقل کرده و exploit/windows/local/bypassuac_injection را اجرا می کند. سپس شماره ی Session مرتبط با دسترسی Meterpreter، آدرس IP سیستم خود، شماره ی Port مورد نظر سیستم خود، نوع سیستم عامل سیستم قربانی (32 یا 64 بیتی) و نوع Payload مورد نظر را وارد می کند و Module را اجرا می کند. در نهایت بعد از ایجاد شدن Session جدید، از دستور getsystem برای ارتقا سطح دسترسی خود استفاده می کند.
حال که مهاجم دارای سطح دسترسی بالایی می باشد، Module مربوط به شنود ترافیک های کارت شبکه را مطابق دستور زیر Load و اجرا می کند.
use sniffer
همانطور که در تصویر زیر قابل مشاهده می باشد، با استفاده از دستور sniffer_interfaces لیست تمامی کارت شبکه های موجود بر روی سیستم قربانی، اعم از فعال و غیر فعال را نمایش می دهد.
در این مرحله مهاجم با استفاده از دستور زیر، نسبت به شروع نمودن شنود کارت شبکه مورد نظر که شماره Interface_ID آن را پیشتر شناسایی نموده بود، اقدام می کند (تصویر زیر).
sniffer_start <Interface-ID> <Packet-Buffer 1-200000>
با اجرای دستور قبلی، عمل شنود کردن بسته های ارسالی و دریافتی کارت شبکه ی مشخص شده توسط مهاجم، شروع می شود و تا زمانی که از دستور sniffer_stop مطابق تصویر زیر استفاده نشود، شنود ادامه پیدا می کند.
sniffer_stop <Interface-ID>
پس از متوقف نمودن شنود، می بایست مهاجم از دستور sniffer_dump مطابق تصویر زیر استفاده کند تا ترافیک های شنود شده را در یک فایل ذخیره نماید.
sniffer_dump <Interface-ID> <Name.pcap>
حال مهاجم می تواند فایل ذخیره شده را با ابزار Wireshark یا ابزار های Monitoring مشابه، مورد بررسی قرار دهد:
همانطور که ملاحظه شد، ترافیک های مربوط به ارتباط Telnet، بین سیستم قربانی با یک دستگاه دیگر توسط مهاجم به دست آمده است که با بررسی دقیق تر، مهاجم می تواند مقادیر Username و Password مورد استفاده قرار گرفته در این ارتباط را به صورت cleartext کشف نماید (تصویر زیر). مقدار Username برابر "admin" و Password برابر "" (Blank) می باشد.
- شایان ذکر است که مهاجم این امکان را نیز دارا می باشد که به صورت موازی چندین کارت شبکه ی سیستم قربانی را شنود کند.