Uzak web sunuculara güvenlik açığından faydalanarak sızıldığında erişimin devam ettirilmesi için web tabanlı bir ajana ihtiyaç duyulur. Farklı dillerde (php, asp, java, .net, cgi vb.) yazılmış çeşitli yazılımlar mevcut. En popüler ve bilinen yazılımlar arasında, c99, r57, Aspxspy vb. scriptler bulunuyor. Hemen hemen hepsinin sorun yaşatan ortak yanı, Antivirus ve IPS ler tarafından tanınması ve çeşitli güvenlik ilkelerini (php disable_function gibi) bypass edememesi.

Daha önce buradaki yazımızda, meterpreter ile farklı web platformları için payload oluşturmakdan ve antivirusler tarafından tananınmamasını sağlamak üzere encoding tekniklerinden bahsetmiştik.
http://blog.bga.com.tr/beyaz-sapkali-hackerceh/asp-encode-ile-reverse-shell-msfencode
http://blog.bga.com.tr/beyaz-sapkali-hackerceh/php-reverse-shell-meterpreter

Bu yazıda, pratik olarak weevely php backdoor ile benzeri uygulamalar yer almaktadır.
weevely telnet benzeri bağlantı türünü destekleyen ve göze çarpmayan bir php backdoor ugulamasıdır. Web saldırılarında, erişimi sürdürmek ve sistemde ilerlemek için çeşitli post explotion tekniklerini içerir. Antivirusler tarafından tanınmamaktadır. Veri transferini HTTP Refferer değerleri üzerinden şifreli ilettiği için NIDS, IPS, WAF benzeri sistemler tanıyamamaktadır.

Desteklediği Moduller;

• :shell.sh Sistem komutlarını sh kabuğunda çalıştırır.
• :shell.php PHP komutlarını uzak sistemde çalıştırır.
• :file.upload Hedefin dosya sistemine dosya upload eder.
• :file.download Hedefin dosya sisteminden dosya download eder.
• :find.* Dosya adı, yetkiler, suid/sgid bayrakları bulur.
• :backdoor.reverse_tcp Reverse TCP shell açar.
• :enum.users Hedef sistemdeki kullanıcıları veya /etc/passwd içeriğini getirir.
• :enum.user_files home ve public_html dizinlerindeki dosyaları listeler
• :system.info Hedef  Hedef sistem hakkında bilgi toplar Read more

Backtrack 5 linux dağıtımını vmware aracılığı ile kullanıyorsanız, kullandığınız windows veya linux masaüstünden dosya işlemleri, kopyala yapıştır vb. işlemler için vmware tools kurulumuna ihtiyacınız olacaktır.

Vmware araç çubuğundan “VM > Install VMware Tools” seçeneğini seçtiğinizde, backtrack’de sanal bir cdroom oluşacaktır. Aşağıdaki komutlar ile kurulumu gerçekleştirebilirsiniz.

# cd /media/VMware\ Tools/
# tar zxvf VMwareTools-8.1.3-203739.tar.gz -C /tmp/
# cd /tmp/vmware-tools-distrib/

Bu aşamadan sonra kuruluma başlayabiliriz, kurulum sırasında sorduğu sorulara size uygun yanıtları verebilir veya tüm soruları enter ile onaylayarak geçebilirsiniz.

# ./vmware-install.pl
Creating a new VMware Tools installer database using the tar4 format.

Installing VMware Tools.

In which directory do you want to install the binary files?
[/usr/bin]

What is the directory that contains the init directories (rc0.d/ to rc6.d/)?
[/etc]

What is the directory that contains the init scripts?
[/etc/init.d]

In which directory do you want to install the daemon files?
[/usr/sbin]

Enjoy,

–the VMware team

Found VMware Tools CDROM mounted at /media/VMware Tools. Ejecting device
/dev/sr0 …

Kurulum işlemi başarıyla sonlandıkdan sonra, sisteminizi reboot etmeniz yeterli olur.

Yazar :
Ozan UÇAR