Cobalt Strike #5: Winamp Zafiyetini Kullanarak İstemci Taraflı Bir Saldırı Gerçekleştirme

Cobalt Strike #5: Winamp Zafiyetini Kullanarak İstemci Taraflı Bir Saldırı Gerçekleştirme

Bu yazıda, işletim sistemi güncel olan Windows 8 bir bilgisayar, eski sürüm yüklü bir uygulama sayesinde (Winamp 5.12 yüklü) Cobalt Strike kullanılarak ele geçirilecektir.

Bu amaçla öncelikle KALI üzerinde istismar (exploit) modülü seçilir:

Modül seçenekleri otomatik olarak yüklenir:

Üst resimde gösterilen link kurbana gönderilir ve kurban bu linki tıklar:

Oluşturulan dosya indirilir ve iki kere tıklanır:

Kullanıcı Winamp'ında ilgili çalma listesi (playlist) başlatılır:

Ayn vakitte saldırgan tarafına da bir bağlantı oluşur:

Payload olarak Meterpreter seçildiği ve bu dosyayı çalıştıran kullanıcı yönetici olduğu için, meterpreter ile hedef sistemde tam yetki ile işlem gerçekleştirilebilir:

Ancak bir çok sistemde bu exploit kalıcı olmamaktadır. Winamp uygulaması hata vermektedir. Örnek bir durum şu şekildedir:

Ayrıca bir çok istemci taraflı saldırıda, kurban ilgili uygulamayı kapattığında bağlantı sonlanabilmektedir. Bu gibi durumlarda sistem üzerinde kalıcı olmak gerekir. Sistem üzerinde kalıcı olma konusu için bağlantıdaki yazı incelenebilir.

Cobalt Strike #4: Microsoft Tema Zafiyetini Kullanarak İstemci Taraflı Bir Saldırı Gerçekleştirme

Cobalt Strike #4: Microsoft Tema Zafiyetini Kullanarak İstemci Taraflı Bir Saldırı Gerçekleştirme

Bu yazıda MS13-071 Windows Tema zafiyeti kullanılarak, XP SP3 bir bilgisayarın Cobalt Strike yüklü KALI bilgisayarına bağlanması sağlanacaktır.

Bu senaryo 2 adımda incelenecektir. Öncelikle zafiyet kodu hazırlanacak, sonra da bu kod kurban tarafından çalıştırılacaktır. Zafiyet kodunun, kurbana gönderilmesi iki şekilde gerçekleştirilecektir. Bu kod, hem KALI paylaşımından gönderilecek, hem de KALI web servisi üzerinden aktarılacaktır.

1) Zafiyetin Hazırlanması

İlgili zafiyet seçilir ve ayarlanır:

Kullanıcıya gönderilecek paylaşım adresi elde edilir ve kurbana gönderilir:

2) Kurbanın Paylaşımdaki Dosyayı Çalıştırması

Kurban, KALI bilgisayarın diskindeki tema dosyasını çalıştıracaktır. Bu amaçla ilgili dosyaya paylaşım yolu ile erişilir:

İlgili dosya çalıştırılır:

Böylece ilk Meterpreter kabuğu açılmıştır:

3) Kurbana Temayı Web Üzerinden Göndermek

İlk adımda zafiyeti ayarlandıktan sonra, paylaşım yerine bir URL üzerinden de tema dosyası kurbana gönderilebilir. Bu amaçla "/root/.msf4/local" dizinindeki "msf.theme" dosyası web sunucunun kök dizinine ("/var/www/") kopyalanır.

Web sayfasının kök dizinine kopyalanan bu dosya, sıkıştırılır (İndirirken browser tarafından açılmasın diye):

Not: Web servisi çalışmıyorsa başlatılmalıdır. Ör: "service apache2 start"

4) Kurbanın Bağlantıdaki Dosyayı Çalıştırması

Kurban bilgisayarından web sunucusunun ilgili adresine gidilerek bu tema dosyası indirilir:

Tema dosyası, sıkıştırılmış dosyadan çıkartılır:

Tema dosyası 2 kere tıklanarak çalıştırılır. Açılan pencereden "Screen Saver" sekmesine gelinir:

İlgili sekmeye (Screen Saver) tıklandığında, ikinci meterpreter bağlantısı oluşmuş olur:

Kaynak:
www.youtube.com/playlist?list=PL9HO6M_MU2nesxSmhJjEvwLhUoHPHmXvz
http://www.exploit-db.com/exploits/28482/

Cobalt Strike #3: MS Office Macro ile İstemci Taraflı Bir Saldırı Gerçekleştirme

Cobalt Strike #3: MS Office Macro ile İstemci Taraflı Bir Saldırı Gerçekleştirme

Bu yazıda Cobalt Strike ile üretilen bir macro MS Office Word içerisine eklenecek ve kurbana gönderilerek bu dosyanın çalıştırılması sağlanacaktır. Bu işlem 3 adımda gerçekleştirilecektir.

1) Makronun Cobalt Strike İle Hazırlanması

Öncelikle menüden Attacks > MS Office Macro adımları seçilir:

Daha önceki yazıda oluşturulan Listener seçilir:

Hangi adımların izlebneceğine dair bir mesaj kutusu ekrana çıkar:

Makro kopyalandığında aşağıdaki gibi bir mesaj ile karşılaşılır:

Bu mesaj kutusu kapatıldığında nelerin yapılacağını belirten macro adımlarına ait pencere geri gelir.

2) Word'e Makronun Eklenmesi

Öncelikle Word dosyası açılarak View > Macros adımları izlenerek yeni bir makro oluşturulur:

Gelen pencere aşağıdaki gibidir:

Kodun yazıldığı alandaki her şey silinir ve kopyalanan makro yapıştırılır ve sonrasında da makronun yazıldığı pencere kapatılır:

Not: Sarı renk ile gösterilen asıl işi gerçekleştirecek olan kod parçasıdır.

Word içeriği uygun bir şekilde doldurulur ve kapatılır:

Word'ün makro çalıştırması için yapılması gerekenler bir uyarı penceresi halinde çıkacaktır:

Dosya "docm" gibi bir uzantı ile Macro Enabled halde saklanır.

3) Kurbanın Saldırgan Bilgisayarına Bağlanması

Kurbana bir şekilde gönderilen bu dosya açıldığında bir uyarı ile karşılaşılır (eski sürümlerde karşılaşılmayabilir):

Makro çalıştırılmadan önce Cobalt Strike ekranında herhangi bir bilgisayar bulunmamaktadır:

Kurban, makroyu çalıştırdığında, saldırgan makinesine doğru bir bağlantı (Meterpreter Reverse HTTPS) oluşur:

Ek Not: Word Dosyasının Bir Link Üzerinden Kurbana Ulaştırılması

Oluşturulan Word dosyasının (veya herhangi bir payload'un) kurbana ulaştırılması için bir web sunucusu üzerinde saklanabilir. Bu amaçla KALI makine de kullanılabilir. Cobalt Strike ile bu işlem şu şekilde gerçekleştirilir:

Kurbana gönderilecek dosya, kurbanın göreceği link ayarlanır:

Link elde edilir:

Kurbana bu link gönderilir ve kurban bilgisayarında bu dokümana ulaşılmaya çalışılır:

Böylece döküman indirilir:

Kaynak:
http://www.youtube.com/playlist?list=PL9HO6M_MU2nesxSmhJjEvwLhUoHPHmXvz

Cobalt Strike #2: Beacon Kullanarak İstemci Taraflı Bir Applet Saldırısı Gerçekleştirme

Cobalt Strike #2: Beacon Kullanarak İstemci Taraflı Bir Applet Saldırısı Gerçekleştirme

Önceki yazıda W7 bir bilgisayarın üzerinde çalışan uygulamaları Cobalt Strike ile (Attacks > Web Drive-by > System Profiler) oluşturulan ve kullanıcının girdiği zararlı bir sayfa (tıkladığı bir URL,... vs) ile elde edilmişti. Sonrasında da yüklü uygulamalardan birisine (java) yönelik bir istismar/exploit modülü (exploit/multi/browser/java_jre17_provider_skeleton) kullanılmış, kullanıcının yeni oluşturulan sayfaya girmesi (URL'i tıklaması,... vs) sağlanmış ve kurban bilgisayarına meterpreter ile ters bağlantı (reverse connection) kurulmuştu.

Bu yazıda ise, Cobalt Strike Beacon kullanılarak kurbanın bir sayfaya girmesi sağlanacak ve beacon (bir çeşit botnet gibi düşünülebilir) ile istenildiği zaman meterpreter kabuğu açılması sağlanacaktır.

Bu saldırı 4 adımdan oluşmaktadır.

• Öncelikle 2 listener oluşturulacaktır. Daha sonraki adımlarda bir listener daha açılacaktır.
• Sonrasında kurbana gönderilecek olan URL hazırlanacaktır.
• Sonraki adımda kurban bilgisayardan bu URL'e girilecek ve Cobalt Strike arayüzünde bu bağlantı görülecektir.
• Daha sonra beacon'ın oluştuğu ve bu beacon aracılığıyla Meterpreter kabuğuna düşülebildiği görülecektir.

1) Listener Oluşturma

Menüden Listener oluşturulmasına başlanır:

Açılan alt sekmedeki "Add" butonu ile ilk Listener oluşturulur:

Listener bilgileri girilir:

Eğer birden fazla IP'ye bağlantı kurulması isteniyorsa ilgili domain isimleri veya IP adresleri girilebilir:

Böylece ilk Listener oluşmuş olur. İkinci Listener için de aynı işlemler gerçekleştirilir:

Yeni Listener için bililer girilir:

Sonuçta 2 Listener oluşmuştur:

İlk Listener, 80. porta gelen Reverse HTTP Beacon taleplerini dinleyecektir. İkinci Listener ise, 443. porta gelen Reverse HTTPS Meterpreter bağlantılarını dinleyecektir.

2) URL'in Hazırlanması

Saldırı amaçlı oluşturulacak URL için Attacks > Web Drive-by > Smart Applet Attacks adımları izlenir.

URL bilgileri girilir. Windows bilgisayarlar için oluşturulan Beacon veya Meterpreter Listener seçilebilir. Ancak senaryo gereği Beacon seçilecektir. Ayrıca Windows harici işletim sistemlerinde çalışabilecek bir Java Listener daha oluşturulacaktır:

Java Listener'a ait bilgiler girilir:

URL oluşturulur:

Böylece, URL elde edilmiştir:

Not: Bu URL bir iframe olarak ele geçirilen bir Web snunucuya da konulabilir ve kurbanın bu sayfaya girmesi de sağlanabilirdi:

3) URL'e Girilmesi ve Bağlantının Görülmesi

Kurban, önceki adımlarda hazırlanan URL'e girer:

Java ile ilgili herhangi bir uyarı gelirse (Java güncel olsaydı aşağıdaki uyarı gelmezdi. Ayrıca bu senaryo yine de çalışırdı) kabul edilir:

Uygulamanın çalışması sağlanır:

Cobalt Strike arayüzüne girildiğinde Kurban bilgisayarın URL'e girdiği görülmektedir. Ayrıca Listener sekmesinde "Refresh" butonuna basıldığında oluşturulan 3. Listener da görülmektedir:

Not: Bilgisayar gerçek anlamda henüz ele geçirilmediği için Mavi renkte (Windows olduğu için) gözükmektedir. Kurban bilgisayar ele geçirildiğinde etrafında kırmızı şimşekler (!) görülecektir.

4) Beacon Oluşması ve Meterpreter Kabuğunun Oluşturulması

Kurban linke tıkladığında Applet çalışmış, beacon kurban bilgisayarında çalışmaya başlamıştır. Beacon tarafından gerçekleştirilen talepler de KALI / Cobalt Strike üzerindeki Listener tarafından yakalanmıştır. Oluşan beacon'ı yönetmek için, menüden View > Beacons adımları takip edilir.

Yeni açılan sekmede beacon görülmektedir:

Not: Bu beacon varsayılan olarak dakikada bir komuta merkezine (KALI) HTTP üzerinden bağlanmakta ve komuta merkezinden emir istemektedir.

Beacon seçilerek "Spawn" denilerek bir emir verilecektir:

HTTPS üzerinden ters bir meterpreter bağlantısının (Meterpreter Reverse HTTPS) yapılması istenilecektir:

Emir verildikten sonra 60. saniyeye dek beklenir:

Sonraki dakikada Meterpreter bağlantısı oluşur.

Bu aşamadan sonra Meterpreter üzerinde yetkiler dahilinde işlemler gerçekleştirilir.

Beacon Özellikleri

Bunun yanında beacon ile iletişime de geçilebilir:

Açılan yeni sekmeden beacon yönetimi gerçekleştirilebilir (Meterpreter bağlantının gerçekleştirilmesine dair bir emir/görev görülmektedir):

İstenilirse meterpreter oturumu kapatılabilir:

Daha sonra yeniden emir gönderilebilir:

Meterpreter kabuğunun açılması istenebilir.

Bir süre sonra Meterpreter bağlantısı otomatik olarak açılır:

Kaynak: 
http://www.youtube.com/playlist?list=PL9HO6M_MU2nesxSmhJjEvwLhUoHPHmXvz