Local File İnclusion ve Analizi

Bu uygulamamızda LFI kullanarak RCE elde ederek ve wiresharkta analizini gerçekleştireceğiz.Öncelikle Local File İnclusion nedir ? LFI bir web uygulamasının bir saldırganın sunucu üzerindeki yerel dosyalara erişmesine ve çalıştırmasına izin veren bir güvenlik açığıdır.

Öncelikle page parametresinde include.php sayfasının görüntülenmesinden ötürü bir LFI zaafiyeti olduğu düşünülmüştür.Şimdi ise bir /etc/passwd komutu çalıştırmayı deneyelim

SALDIRI AŞAMASI
/etc/passwd komutumuz çalıştı ve şimdi de /var/log/auth.log çalıştırmayı deneyelim ardından ssh bağlantısında kullanıcı adı yerine bir shell.php kodu girerek bir log poisoning işlemi gerçekleştirelim.
Şimdi ise auth.log dosyasına giderek gönderdiğimiz kullanıcı adı olarak belirtilen php kodunu tespit edelim sonrasında bir cmd komutu çalıştırmayı deneyelim
cmd = id komutunu çalıştırdık ve çıktıyı gözlemleyelim ve bir reverse shell için nc komutunu gönderelim ve bağlantıyı oluşturalım

WİRESHARK AŞAMASI

http filtrelemesi yazarak gerçekleştirilen istekleri gözlemledik ve 1099 numaralı pakette gönderdiğimiz shell php aracılığı ile bir nc komutu çalıştırılarak reverse shell alındığı tespit edilmiştir.Şimdi ise reverse shell alındıktan sonra çalıştırılan komutları görmek için tcp.flags.ack == 1 and tcp.flags.push==1 filtrelemesi gerçekleştirelim.
PSH,ACK flagleri set edilmiş olan paketleri incelemeye başladığımızda çalıştırılan komutları aşağıdaki görselde görmekteyiz.
reverse shell alındıktan sonra whoami,cat /etc/passwd komutlarını çalıştırıldığını görmekteyiz ve aşağıdaki gibi de paketin içeriğini açıp da bakabiliriz.

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir