The Ethical Hacker Security Platform

 Uzak web sunuculara güvenlik açığından faydalanarak sızıldığında erişimin devam ettirilmesi için web tabanlı bir ajana ihtiyaç duyulur. Farklı dillerde (php, asp, java, .net, cgi vb.) yazılmış çeşitli yazılımlar mevcut. En popüler ve bilinen yazılımlar arasında, c99, r57, Aspxspy vb. scriptler bulunuyor. Hemen hemen hepsinin sorun yaşatan ortak yanı, Antivirus ve IPS ler tarafından tanınması ve çeşitli güvenlik ilkelerini (php disable_function gibi) bypass edememesi.

Daha önce buradaki yazımızda, meterpreter ile farklı web platformları için payload oluşturmakdan ve antivirusler tarafından tananınmamasını sağlamak üzere encoding tekniklerinden bahsetmiştik.
http://blog.bga.com.tr/beyaz-sapkali-hackerceh/asp-encode-ile-reverse-shell-msfencode
http://blog.bga.com.tr/beyaz-sapkali-hackerceh/php-reverse-shell-meterpreter

Bu yazıda, pratik olarak weevely php backdoor ile benzeri uygulamalar yer almaktadır.
weevely telnet benzeri bağlantı türünü destekleyen ve göze çarpmayan bir php backdoor ugulamasıdır. Web saldırılarında, erişimi sürdürmek ve sistemde ilerlemek için çeşitli post explotion tekniklerini içerir. Antivirusler tarafından tanınmamaktadır. Veri transferini HTTP Refferer değerleri üzerinden şifreli ilettiği için NIDS, IPS, WAF benzeri sistemler tanıyamamaktadır.

Desteklediği Moduller;

• :shell.sh Sistem komutlarını sh kabuğunda çalıştırır.
• :shell.php PHP komutlarını uzak sistemde çalıştırır.
• :file.upload Hedefin dosya sistemine dosya upload eder.
• :file.download Hedefin dosya sisteminden dosya download eder.
• :find.* Dosya adı, yetkiler, suid/sgid bayrakları bulur.
• :backdoor.reverse_tcp Reverse TCP shell açar.
• :enum.users Hedef sistemdeki kullanıcıları veya /etc/passwd içeriğini getirir.
• :enum.user_files home ve public_html dizinlerindeki dosyaları listeler
• :system.info Hedef  Hedef sistem hakkında bilgi toplar Read more

SNMP (Simple Network Management Protocol) , aktif ağ cihazları hakkında bilgi toplamak için kullanılır. Switch, Router, Firewall ve hatta işletim sistemleri SNMP ile monitor edilebilir. Network uzmanları SNMP servisi ile, uzak sistemin network trafiği, canlı bağlantılar, config bilgileri, port durumları vs. görüntüleyerek yönetim kolaylığı sağlarlar.

Daha fazla bilgi için, cacti, nagios vb. araçlar incelenebilir.

SNMP v1 ve SNMP v2 protokolleri bir topluluk anahtarı (community string) ile sorgulama yapar ve varsayılan olarak “public” dir. SNMP v3′de ise daha güvenlidir ve kimlik doğrulama seçenekleri mevcuttur. SNMP servisi, varsayılan olarak UDP port 161 den çalışır.

Pentest Çalışmalarında SNMP Servisinin Keşfi

UDP 161 varsayılan portundan çalışan snmp servislerine yönelik keşif çalışması, hedef ip adresinin udp 161 portu sorgulanarak tespit edilebilir.

$ sudo nmap -sU -sV 6.6.6.0/24 -p 161
Starting Nmap 5.21 ( http://nmap.org ) at 2011-10-25 10:41 EEST
Nmap scan report for 6.6.6.100
Host is up (0.0063s latency).
PORT    STATE         SERVICE VERSION
161/udp open|filtered snmp

MAC Address: 00:0C:29:CF:A1:67 (VMware)
Nmap scan report for 6.6.6.104
Host is up (0.062s latency).
PORT    STATE SERVICE VERSION
161/udp open snmp SNMPv1 server (public)
MAC Address: 00:1E:8F:AF:AB:23 (Canon)
Service Info: Host: MF4500 Series

- 6.6.6.104 snmp servisi açık ve community string ise “public“. Nmap port scanner yazılımı “public” olduğunu tespit edebildi ve bununla SNMP versiyon bilgisinide aldı.

-Fakat, 6.6.6.100 ip adresi için udp 161 açık veya filtrelenmiş olabilir dedi, neden ?

UDP, TCP protokolü gibi durum korumalı bir protokol değildir.Hata mekanizması ICMP ile yapılır. Açık bir UDP portuna bağlantı kurulduğunda, herhangi bir cevap dönmez bağlantı kurmuşsunuzdur. Kapalı bir UDP portuna bağlantı kurmak istediğinizde ise ICMP Port Unreachable mesajı döner. Peki hedef sistemin önünde bir firewall var ve bağlantıları drop ediyorsa ?  bu durumda da portun açık yada filtreli olduğunu belirtir nmap.

Bir diğer özel durum ise, hedef snmp servisine ait topluluk anahtarı (community string) bilinmediğinden servisden bilgi alınamıyor.

SNMP Brute Force Saldırıları

SNMP servisine yönelik community string’i brute force saldırısı ile deneme-yanılma yaparak öğrenebiliriz. Brute force saldırısı öncesi, hedefe deneme yapacağımız , tahmin edilebilir snmp community string değerlerini bir text dosyasına girerek saldırıyı başlatabiliriz. Read more