Ruby Kod ile Yazılmış bir İstismar Kodunu Metasploit Ortamına Aktarma

Bir sızma testçisi olarak Exploit-db.com adresinde yayınlanan son istismar kodlarını incelemek ve bunları test etmek en büyük eğlencelerden biri. Tabi yüklemiş olduğumuz Kali Linux Metasploit ortamına bu kodu nasıl aktarıp kullanabileceğimiz burada ortaya çıkan bir husus oluyor.

Söz gelimi bugün Google Hack Veritabanını incelerken şu Google örnek araması ilgimi çekti. Google ortamında “inurl:courier/web/ inurl:wmLogin.html filetype:html” metnini arayınca birçok site karşımıza çıkmakta.

Üstelik söz konusu istismar kodu bir Metasploit modülü olarak bile burada hazırlanmış durumda. Peki, bunu kendi Kali Linux ortamımda nasıl deneyebilirim?

Metasploit exploit klasörüne aşağıdaki komutlarla girince;

cd /usr/share/metasploit-framework/modules/exploits/

ls

Mevcut tüm istismar kodlarını en üst düzey hiyerarşik yapısıyla görebilirim. Burada kendi istismar kodlarımı kullanacağım bir klasör yaratıyorum ve şu istismar kodunu bir ruby dosyası olarak kaydediyorum:

mkdir sphinx

nano remote.rb

Importing Exploit into Metasploit

İstismarımı yarattıktan sonra, tek yapmam gereken msfconsole yazılını yeniden başlatmak ya da reload_all komutu ile yeniden yüklemek:

reload_all

use exploit/sphinx/remote

Gördüğünüz gibi, ardık rahatlıkla eklemiş olduğum istismara Metasploit içinden ulaşıp kullanabiliyorum. Üstelik bazı örnek hedefler üzerinde (tabi ki yasal olmayan bir harekete asla girmeden) başarılı bir şekilde sonuç alarak.

Exploit Running

Tebrikler :)

Mehmet İnce’den geri besleme:

Harici modülleri yüklerken özellikle $HOME/.msf4/folder klasörünü kullanmanızı öneririm. Henüz test edilmemiş harici bir modülü Metasploit temel kodundan ayrı tutmakta her zaman için fayda vardır: https://github.com/rapid7/metasploit-framework/wiki/Loading-External-Modules