File Upload İstismarı ve Analizi

Bu yazımızda bir file upload zaafiyetinden faydalanmak için saldırı gerçekleştireceğiz ve wiresharkta analizini yapacağız. 
İlk olarak kullanacak olacağımız php kodunu oluşturalım ve ardından gerekli alana yükleyelim.

SALDIRI AŞAMASI

Kodumuzu oluşturduk ve yükleme aşamasına geçelim.

Kodumuzu yükledik ve belirtilen dizine gidelim ardından istediğimiz komutu çalıştıralım
whoami komutu çalıştırdık ve çıktıyı görüntüledik ve şimdi bir bağlantı noktası için netcat komutunu çalıştırıyoruz bir önceki yazımızda bahsettiğimiz komutu gönderdik diğer yandan da terminalden dinleme işlemi başlattık.
Bağlantı geldi ve whoami, etc/passwd komutlarını çalıştırdık

WİRESHARK AŞAMASI

Bu işlemleri yaparken aynı zamanda wireshark arkada açıktı , şimdi analiz aşamasına geçelim ve dosya yüklemeyi ve alınan reverse shell bağlantısı tespit etmeye çalışalım.

Öncelikle http.request.method == POST filtresi ile dosya yükleme aşamasına bakalım.
POST paketini açıp HTTP Stream seçeneğine girip birkaç adım sayfayı ilertlettiğimiz taktirde yüklenen kodunu görmekteyiz ve filename kısmında dosya adını da görmekteyiz şimdi dosya adı ile bir filtreleme gerçekleştirebiliriz.
Dosya adı ile bir arama yaptığımızda çalıştırılan komutları görebilmekteyiz ve burada bir nc ile revershell komutu tespit edilmiştir.Şimdi reverse shell alındıktan sonra çalıştırılan komutları görmemizi sağlayalım
tcp.flags.ack == 1 and tcp.flags.push ==1 filtrelemesi ile reverse shell sonrası çalıştırılan komutları tespit edebiliriz ve 969 numaralı paketi açtığımız taktirde çalıştırılan komutları aşağıda görebilmekteyiz.

Saldırı Analiz Formu

Saldırı Türü: File Upload
Saldırı Durumu: True Positive
Kaynak IP: 192.168.10.131
Kaynak Port: 42416
Hedef IP: 192.168.10.132
Hedef Port: 80
Varsa Payload: shell.php
MITRE ATT&CK: T1199
Cyber Kill Chain: Execution
APT Grupları: APT 29

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir