Scan&Enumaration Genel Notlar

Burada en çok dikkatimizi çeken mod_ssl/2.8.4 oluyor bununla ilgili bir buffer overflow exploiti olabilir sonucunu taramadan çıkartmışız. Öyleyse googledan mod_ssl/2.8.4 exploit yazıp araştırıyoruz.

 

Exploit db de karşımıza hazır kodu çıktı. Bir de github sayfasında güzel bir örnek var. Bu exploit-db deki outdated olduğu için çalışmıyor bu yüzden github linkindekini alıyoruz.

https://github.com/heltonWernik/OpenLuck

 

Ayrıca listemizde yer alan diğer Apache httpd 1.3.20 bilgisini de Apache httpd 1.3.20 exploit yazarak arayabiliriz. Buradan da cvedetails.com sitesinden kritik exploitlere vs bakabiliriz. Kırmızı olanlar kritik demektir.

Daha sonra da Samba 2.2.1a exploitine bakabiliriz. Buradan da rapid7 sitesinden exploiti araştırabiliriz ve bunun için de exploit indirebiliriz.

https://www.rapid7.com/db/modules/exploit/linux/samba/trans2open

Bunları not aldıktan sonra lokalde de istediğimiz gibi arama yapabiliriz. Bunun için searchsploit komutunu çalıştırabiliriz. searchsploit Samba yazıp exploitlere bakabiliriz.

Notların genel durumu şu şekilde olabilir :

 

 

Enumaration SSH

nmap taramamız esnasında OpenSSH 2.9p2 verisine ulaşmıştık. Şimdi de bu porta bağlanıp ne olup bittiğine bakmaya çalışacağız.

ssh <ip> komutunu yazıyoruz. Doğru bir key bulamadık hatası aldık.

ssh <ip> -oKexAlgorithms=+ diffie-helman-group1-sha1 yazıyoruz. diffie-helman-group1-sha1 bu kısım ilk ssh bağlantı denememizde karşımıza çıkmıştı. Şimdi bir error daha aldık o da cipher hatası son olarak komutu şöyle düzenliyoruz :

ssh <ip> -oKexAlgorithms=+ diffie-helman-group1-sha1 -c aes128-cbc Şimdi bağlanmak istediğimizde bağlanabiliyoruz. Buraya bağlanmak istediğimizde bazen banner ile birkaç bilgi verilebiliyor. Şu kişi tarafından geliştirildi vs diye. Öyle birşey olursa diye bu bağlanmayı denedik. Daha sonra brute force amacıyla da kullanacağız.

Enumaration SMB

ÖZET :

443 portunda SMB bulunur. SMB network file sharing için kullanılır. nmap taramamızda bu portun açık olduğunu görmüştük. Şimdi bu port üzerine gidip bunu exploit etmeye çalışıyoruz. 

Bu portu exploit etmek için msfconsole komutunu yazararak metsploit frameworke erişiyoruz. Bu frameworkten search smb  komutunu yazarak smb ile ilgili exploitleri listeliyoruz. auxiliary/scanner yazan kısımda ikinci kısım bize o exploitin yapacağı aksiyonu gösterir. Bunların arasında kodu 60 olan auxilary/scanner/smb/smb_version exploitini seçiyoruz. Bu exploiti seçip çalıştırdıktan sonra options komutunu çalıştırarak seçeneklerini görebiliriz. Seçeneklerden RHOSTS=>remote hosts seçeneğini set RHOSTS 192.168.57.134 şeklinde kurbanın ip’sini girerek belirliyoruz. Daha sonra da run diyoruz. SMB => Unix  (Samba 2.2.1a) bize bu bilgileri veriyor ve bunu recon notlarımıza ekliyoruz.

Daha sonra da smbclient  -L \\\\192.168.57.134\\  ==> -L List out files komutunu çalıştırarak başarılı olursak bütün kullanıcıları görebiliriz ve workarea’ya ulaşabiliriz. Bu komuttan sonra önce admini sonra  da kullanıcıları deneyebiliriz.

smbclient  -L \\\\192.168.57.134\\ IPC$ bu şekilde de kullanıcıyı denemiş oluyoruz.

 

Bu derste de 443 portuna bakacağız. Bu portta smb bulunur. Bu port genelde file sharing için kullanılır. Özellikle work environment tarafından kullanılır. “The Server Message Block (SMB) protocol is a network file sharing protocol that allows applications on a computer to read and write to files and to request services from server programs in a computer network”

nmap taramamızda smb2 ile ilgili bir bilgi almıştık. Şimdi bunun üzerine gideceğiz ve 443 portunda zaafiyet arayacağız.

Bu açığı araştırmak için msfconsole komutunu çalıştıracağız. Bu komut metasploit frameworküne erişmemizi sağlar.

Buradaki auxilary modülleriyle her türlü port taramalarını ve information gathering yapabiliriz. Post exploitation için postları kullanabiliriz.

Komutu çalıştırdıktan sonra artık metasploit konsolunu aktif hale getirdik.

search smb komutunu çalıştırdığımızda karşımızda 121 modül çıkıyor.

Bu çıkan sonuçlarda auxilary/fuzzers/smb.. gibi bir yapı var. Birinci kısım bunun auxilary olduğunu sonra gelen -fuzzers,scanner,gather vs- gibi yazan kısım yaptığı işlemi gösteriyor.

Burada auxilary/scanner/smb/smb_version exploitini kullanacağız. Numarası da 60.

msf5> use 60 veya use auxilary/scanner/smb/smb_version  komutunu yazıyoruz. Daha sonra karşımıza gelen şöyle oluyor

msf5> auxiliary(scanner/smb/smb_version) > info

yazarsak basit seçenekleri ve kullanım biçimine dair bilgiler geliyor.

msf5> auxiliary(scanner/smb/smb_version) > options 

yazarsak seçenekleri görebiliyoruz.

 

Bu seçeneklerde RHOSTS = Remote Hosts anlamına gelir. Daha sonra gelecek LHOST iste localhost anlamına gelir. RHOST seçeneği yerine saldıracağımız adresi gireriz. Buraya bir makine verebileceğimiz gibi belli bir ip aralığı port aralığı vs de verebiliriz. Eğer biliyorsak SMBDomain, pass user gibi verileri de girebiliriz.

set RHOSTS 192.168.57.139 yazarak bu seçeneği aktif hale getirebiliriz. Daha sonra da run komutunu çalıştırıyoruz.

Örnekte çok fazla bilgi vermemiş gibi görünüyor ama orada SMB => Unix  (Samba 2.2.1a) yazıyor bu bilgiyi de recon notlarımıza ekliyoruz.

 

smbclient  -L \\\\192.168.57.134\\  ==> -L List out files

Server EXTENDED_SECURITY desteklemiyormuş ve anonim girişimiz başarılı oldu. Enter dediğimizde anomin giriş başarılı oluyor ve bize kullanıcıları listeliyor. Kullanıcılardan admini denediğimizde hata alabiliriz ama IPC$ deneyince kioptrix makinede başarılı oluyoruz.

smbclient  -L \\\\192.168.57.134\\ IPC$ yazıp enter diyince anonim olarak bu porttan giriş yapmış oluyoruz. ls yaptığımızda  Access denied oluyor ve dead ende çıkıyoruz. Ama bu giriş ileride işimize yarayacak.

Enumarating Http/Https Part-2

ÖZET :

Bu derste 3 farklı tool inceledik. Bu toolar gobuster,dirb ve dirbuster toolarıdır. Biz burada dirbuster& komutuyla bu toolu kullandık. Bunların amacı web directoryleri bulmaktır. Bu amaç için de wordlistleri kullanır. Tool için wsi seçtikten sonra file extension olarak sitenin yapıldığı teknolojiye bağlı php,pdf gibi uzantılar girebiliriz. Daha sonra bu taramanın sonuçlarından dönen verileri inceleyip burp suite ile request atıp responselarını inceleyebilir repeater ile farklı requestler gönderip sonuçlarını inceleyebiliriz. Buradan edindiğimiz verileri de recon notlarımıza ekleyebiliriz. Ayırca burp suite de target belirleyip sadece o scopeda çalışmayı da sağlayabiliriz.

 

Şimdi kullanabileceğimiz 3 farklı tool var. Bunlar gobuster,dirb ve dirbuster. dirbuster& çalıştırdığımızda şöyle bir ekran çıkıyor karşımıza :

Buradan Browse kısmına tıklayıp  (/ ile gösterilen ) base foldera gidiyoruz. Oradan usr ve oradan da share klasörlerine gidiyoruz. Buradan da wordlisti seçiyoruz ve onun içinden dirbuster klasörüne giriyoruz. Burada directory listeleri var. Small list var medium list var. Deneme amacıyla small list seçiyoruz. Burada yapmaya çalıştığımız şey web directory’leri bulmaya çalışıyoruz. Bu yüzden wordlist kullanıyoruz. Örnek olarak abc.com/admin , abc.com/admin123 gibi directoryleri wordlist yardımıyla tarayıp bulmaya çalışıyoruz. Bu wordlistlerde yüzlerce binlerce yaygın directory isimleri bulunuyor.

Ayrıca buradaki file extension kısmından php,txt,pdf,docx,zip gibi uzantılar girebiliriz. Böylece sitede bu uzantılarla arama yapar. Bu yüzden sitenin hangi teknolojiyle yazıldığını bilmek oldukça faydalıdır. Buraya çok fazla uzantı girmek tarama süresini uzatır. Bu yüzden ne aradığını bilmek önemlidir.

Daha sonra result sekmesinde sonuçları görebiliriz.

Bilgi edinme için dikkat edeceğimiz bir diğer konu da sayfanın source kodudur. Burada commentlere vs bakıp bilgi edinebiliriz.

Sonrasında Burp Suite geçip oradan requesti gönderebiliriz. Ayrıca requesti repeater’a aktardığımızda oradan istediğimiz değeri değiştirip gönderme ve sonucunu gözlemle imkanımız oluyor.

Burp Suite de target sekmesine gelip filter kısmına tıklayarak sadece o sitenin kaynakları üzerinde çalışmayı sağlayabiliriz. Daha sonra response bakınca bunun apache server olduğunu görebiliyoruz server headerda. Nikto taramamızda da böyle bir sonuçla karşılaşmıştık. Bunu da not alıyoruz.

dirbuster çalışması biraz sürecektir. Çünkü yüzlerce binlerce request atıyor ve bunların sonuçlarını topluyor. Daha sonra buradan 200 status kodlu sayfaları dolaşıp ne olduğuna ne işe yaradığına requestlere ve get,post cevaplarına bakıp exploit edebileceğimiz birşeyler var mı ona bakacağız. Buradan edindiğimiz bilgileri de recon notlarımıza ekleyebiliriz. kioptrix level 1 de bir usage sayfasının 200 status koduyla döndüğünü gördük ve bunun en altında webalyzer kullanıldığını gördük. Bunu da notlarımıza ekliyoruz.