Sızma Testlerinde Laudanum ile Antivirüs Yazılımı Atlatma

Sizma testi uzmanlari için hedef sistemlerde güvenlik açigi bulmak her zaman isin bittigi anlamina gelmemektedir. Bazen hedef sistemde çok büyük bir güvenlik açigi bulursunuz fakat açiktan faydalanip sistemi ele geçirmek istediginiz de uzak sistemdeki veya önündeki güvenlik sistemlerine(waf, ips, antivirus vs.) takilirsiniz.
 

Hedef sistemde Ms08-067 açikligi buldugumuzu farzedelim, bu herzaman uzak sistem üzerinde kolaylikla bir oturum elde edilebilecegi anlamina gelmez. Uzak sistem üzerinde kurulu olan bir antivürüs yazilimi bize çelme atmak isteyecektir. Bu engeli atlatmak için çesitli yöntemler (encoding teknikleri) denenmesi gerekebilir. Veya bir web uygulamasinda bir Sql injection açikligi buldugumuzu farzedelim bunu exploit edip sistemden shell almak her zaman çok kolay olmamaktadir bazen mümkün dahi olmamaktadir. Özetle basarili pentest çalismalari çikarmak için güvenlik sistemlerini atlatma önem arzetmektedir.

 Bu blog girdisinde antivirus ile korunan bir sunucu üzerinde kurulu olan Tomcat uygulamasindaki açikliklik kullanilarak sisteme sizmaya deginecegiz. Sistem üzerinde kurulu olan antivirus yazilimi sisteme upload etmek istedigimiz zararli fonksiyonlar barindiran .war dosyalarini engelledigi görülmüstür.

 Çesitli .war uzantili ajan dosyalar yanisira metasploit tomcat_mgr_deploy  exploiti de denenmis fakat basarili olunamamistir. Her seferinde sistem üzerinde kurulu olan antivirus uygulamasi tarafindan upload ettigimiz ajan görevini icra edecek .war dosyasi engellenmistir ve http status 500 hatasi dönülmüstür.

 

Hedef sunucuda kurulu olan antivirus uygulamasi Laudanum ismi verilen uygulama ailesinden bir ajan upload edilerek ile geçilmistir. Laudanum isimli uygulama, pentest çalismalarinda karsilasilasilan çesitli güvenlik açiklarini (sqli, tomcat, jboss vs.) suistimal edip sistem üzerinde shell almak için gelistirilmistir. Uygulamalar kodlanirken çesitli güvenlik cihazlarini atlatma yöntemleride kullanilmistir. Farkli ortamlarda (linux,windows) ve çesitli uygulama dillerinde (php, asp, aspx, jsp vs.) çalisabilecek ajanlardan olusan bir kolleksiyonudur.


Laudanum kolleksiyonunda asagidaki uygulama dilleri için gelistirilmis ajan uygulamalar vardir.

 

Jsp için mevcut ajanlar;

 

Tomcat uygulaması kurulu olan sisteme  sızmak için öncelikle admin panele geçebilmemiz gerekmektedir. Çünkü sisteme webshell ajanı upload edebileceğimiz bölüm buradadır. Bu bölüm kaba kuvvet saldırısı ile veya ön tanımlı tomcat admin parolaları denenerek geçilebilir.

 

Admin panele ulaşmak için tomcat kurulu sistem üzerinde /html/manager URL path’i çağrılabilir. Burada admin panelden aşağıdaki bölümden yukarıda verilen cmd.war dosyası sisteme upload edilir.

Ilgili alandan cmd.war dosyasi upload edildikten sonra webshell’e ulasmak için http://192.168.10.5:8080/cmd/cmd.jsp URL’I çagrilarak ulaşılabilir. 






Bu arada sistemde kurulu olan antivirüsü de basarili bir sekilde atlatmis oluyoruz. Bu adimdan sonraki adim, daha rahat hareket edebilmek için komut satirindan bir kullanici olusturup sisteme remote desktop baglantisi kurmak olacaktir.

Komut satırından sisteme kullanıcı eklemek için; 

net user bga Passw0rd123 /add

İlgili kullanıcıyı administrator grubuna eklemek için; 

net localgroup Administrators bga /add

İlgili kullanıcı hesabını aktif etmek için; 

net user bga /active:yes

Ardından uzak sisteme remote desktop bağlantısı yapılabilir.

 

Sistem üzerinde olusturulan kullanici hesabi kullanilarak metasploit psexec modülü araciligiyla sistemde meterpreter oturumu alinip sistem üzerindeki kullanici hashleri ele geçirilebilir. Ilgili NTLM hash’leri kirilabilecegi gibi Pass The Hash yöntemi ile Administrator kullanicisi ve bu kullaniciya ait hash kirilmadan direct olarak sisteme baglanti kurulabilir. Bu konular bu makale için amaçlanmadigi için detaylarina girilmemistir.

Not:Laudanum uygulamasi indirmek için asagidaki baglanti kullanilabilir;

http://sourceforge.net/projects/laudanum/