Sızma Testlerinde ve Denetimlerde En Çok Karşılaşılan Servisleri Değerlendirme: FTP, SSH, Telnet

0
491
views
Sızma testleri ve denetimler sırasında çeşitli servisler ile karşılaşılır. Bu servislerin keşfi, incelenmesi, güvenlik denetimlerinin gerçekleştirilmesi, istismarı, yapılandırma dosyalarının incelenmesi gibi bir çok adım bulunmaktadır. Bu yazıda FTP, SSH ve Telnet servisleri için temel bilgiler verildikten sonra, sızma testleri ve denetimlerde işletilebilecek adımlar incelenecektir.

İncelenecek olan servislerde hedeflenen amaca ulaşmak için Nmap *.nse betikleri, Metasploit modülleri, Exploit-DB & SearchSploit kodları ve çeşitli araçlar kullanılabilir.

Not: Nmap betikleri kullanılırken sürüm bilgisinin (“-sV“) kontrolü de tavsiye edilmektedir.

 

FTP: File Transfer Protocol [TCP/21]

Dosya transferi için kullanılan servistir. Açık metin bir protokoldür. Bu sebeple araya girme saldırıları gerçekleştirilebilir. Ayrıca, bu servis ile olan ağ trafik paketi ele geçirilirse, doğrudan kimlik bilgileri veya komutlar okunabilir.

 

Servise ait banner okunabilir.

  • telnet HedefIP HedefPort
  • nc -nv HedefIP HedefPort
  • Nmap: banner

 

Bazı FTP banner çıktıları:

  • Alfresco Document Management System ftpd
  • D-Link Printer Server ftpd
  • FreeBSD ftpd 6.00LS
  • HP JetDirect ftpd
  • HP LaserJet P4014 printer ftpd
  • Konica Minolta bizhub printer ftpd
  • Microsoft ftpd
  • National Instruments LabVIEW ftpd
  • NetBSD lukemftpd
  • Nortel CES1010E router ftpd
  • oftpd
  • OpenBSD ftpd 6.4 Linux port 0.17
  • PacketShaper ftpd
  • ProFTPD 1.3.3
  • Pure-FTPd
  • Ricoh Aficio MP 2000 printer ftpd 6.15
  • Ricoh Aficio MP 2000 printer ftpd 6.17
  • Ricoh Aficio MP 2352 printer ftpd 10.67
  • Ricoh Aficio MP 4002 printer ftpd 11.103
  • Ricoh Aficio MP W3600 printer ftpd 6.15
  • Ricoh Aficio SP 3500SF printer ftpd 75905e
  • vsftpd
  • vsftpd 2.0.4+ (ext.3)
  • vsftpd 2.0.5
  • vsftpd 2.0.8 or later
  • vsftpd 2.2.2
  • vsftpd 3.0.2
  • vsftpd (before 2.0.8) or WU-FTPD
  • WU-FTPD or MIT Kerberos ftpd 5.60
  • WU-FTPD or MIT Kerberos ftpd 6.00L

 

Bu servise bağlantı kurmak için çeşitli yöntemler vardır.

  • Linux: ftp HedefIP
  • Filezilla
  • Winscp

 

Bu servisi başlatmak için çeşitli yöntemler kullanılabilir.

  • Linux Paketi (apt-get install)
    • vsftpd
    • python-pyftpdlib
      • python -m pyftpdlib -p HedefPort
  • MSF: auxiliary/server/ftp

 

Servisin sürümü öğrenilebilir.

  • MSF: auxiliary/scanner/ftp/ftp_version
  • Nmap: ftp-syst

 

Servisin anonimliği kontrol edilebilir.

  • MSF: auxiliary/scanner/ftp/anonymous
  • Nmap: ftp-anon

 

Geçerli kullanıcılar veya parolalar tespit edilebilir.

  • MSF: auxiliary/scanner/ftp/ftp_login
  • Nmap: ftp-brute –script-args userdb=Kullanicilar.liste,passdb=Parolalar.liste
  • Kaba kuvvet araçları
    • hydra -t 2 -L Kullanicilar.liste -P Parolalar.liste -M HedefIPler.liste -s HedefPort ftp
    • medusa -t 2 -T 2 -U Kullanicilar.liste -P Parolalar.liste -H HedefIPler.liste -n HedefPort -M ftp
    • ncrack -g CL=2 -U Kullanicilar.liste -P Parolalar.liste -iL HedefIPler.liste -p ftp:HedefPort -oA Sonuc
    • Brutus
    • patator ftp_login host=HedefIP user=FILE0 password=FILE1 0=Kullanicilar.liste 1=Parolalar.liste -x ignore:mesg=’Login incorrect.’ -x ignore,reset,retry:code=500

 

Bounce saldırısı ile ilgili sunucu üzerinden (proxy) işlem gerçekleştirilebilir:

  • MSF: auxiliary/scanner/portscan/ftpbounce
  • Nmap: ftp-bounce

 

DOS zafiyeti tespit edilebilir.

  • OPIE <= 2.4.1-test1 @ FreeBSD 6.4 – 8.1-PRERELEASE [CVE-2010-1938]
    • Nmap: ftp-libopie

 

Bu servisi kullanan çeşitli zafiyetli uygulamalar tespit edilebilir.

  • VSFTPD 2.3.4 [CVE-2011-2523]
    • Nmap: ftp-vsftpd-backdoor
  • ProFTPd 1.3.3c [OSVDB 69562]
    • Nmap: ftp-proftpd-backdoor
  • ProFTPD 1.3.2rc3 – 1.3.3b [CVE-2010-4221]
    • Nmap: ftp-vuln-cve2010-4221
  • Titan FTP Server <= 8.10.1125 – Dizin Gezinimi [CVE-2010-2426]
    • MSF: auxiliary/scanner/ftp/titanftp_xcrc_traversal
  • PCMan FTP Server 2.0.7 – Dizin Gezinimi [CVE-2015-7601]
    • MSF: auxiliary/scanner/ftp/pcman_ftp_traversal
  • Konica Minolta FTP Utility 1.00 – Dizin Gezinimi [CVE-2015-7603]
    • MSF: auxiliary/scanner/ftp/konica_ftp_traversal
  • BisonFTP Server 3.5 – Dizin Gezinimi [CVE-2015-7602]
    • MSF: auxiliary/scanner/ftp/bison_ftp_traversal
  • ColoradoFTP Server <= 1.3 Build 8 – Dizin Gezinimi [EDB-40231]
    • MSF: auxiliary/scanner/ftp/colorado_ftp_traversal
  • Easy File Sharing FTP Server <= 3.6 – Dizin Gezinimi [CVE-2017-6510]
    • MSF: auxiliary/scanner/ftp/easy_file_sharing_ftp

 

Bu servisi kullanan çeşitli zafiyetli uygulamalar da bulunmaktadır.

  • VSFTPD 2.3.4 [CVE-2011-2523]
    • MSF: exploit/unix/ftp/vsftpd_234_backdoor
  • ProFTPD 1.3.2rc3 – 1.3.3b [CVE-2010-4221]
    • MSF: exploit/linux/ftp/proftp_telnet_iac
  • ProFTPD 1.3.3c [OSVDB-69562]
    • MSF: exploit/unix/ftp/proftpd_133c_backdoor
  • ProFTPd 1.3.5 [CVE-2015-3306]
    • Exploit-DB: 36742.txt

 

Servise ait temel temel yapılandırma dosyaları aşağıdaki gibidir.

  • /etc/vsftpd.conf –> Kullanıcı veya parola dosyasının yolu bulunabilir.
  • /etc/pure-ftpd/proftpd.conf
  • /etc/pure-ftpd/pureftpd.passwd
  • ftp.conf

Not: Oturum açıldıktan sonra dosya yükleme (PUT DosyaAdi.exe) veya indirme (GET DosyaAdi.txt; mget DosyaAdlari.txt) işlemleri gerçekleştirilebilir. Yüklenecek dosyanın bozulmadan eklenebilmesi için, bu dosya binary formatında ise “binary”, ASCII formatında ise “ascii” komutları ile mod değiştirilmelidir.

 

 

SSH: Secure Shell [TCP/22]

Uzaktan sunucu bağlantısı ve dosya transferi için kullanılan servistir. Şifreli bir protokoldür. Bu sebeple araya girme saldırıları gerçekleştirilememesi beklenir. Bu servis ile olan ağ trafik paketi ele geçirilirse, doğrudan kimlik bilgileri veya komutlar elde edilemez.

 

Servise ait banner okunabilir.

  • telnet HedefIP HedefPort
  • nc -nv HedefIP HedefPort
  • Nmap: banner
  • scanssh -p -r -e excludes HedefIP/24 (https://www.monkey.org/~provos/scanssh/)

 

Bu servise bağlantı kurmak için çeşitli yöntemler vardır.

  • Linux:
    • ssh KullaniciAdi@HedefIP -p HedefPort -i OzelAnahtarDosyasi
    • IPv6: ssh KullaniciAdi@HedefIPv6%EternetArayuzu -p HedefPort -i OzelAnahtarDosyasi
  • Putty
  • Filezilla
  • Winscp

 

Bu servisi başlatmak için çeşitli yöntemler kullanılabilir.

  • Linux Paketi (apt-get install)
    • sshd

 

Servisin sürümü öğrenilebilir.

  • MSF: auxiliary/scanner/ssh/ssh_version
  • Nmap: sshv1
  • MSF: auxiliary/scanner/ssh/detect_kippo

 

Desteklenen algoritmalar listelenebilir.

  • Nmap: ssh2-enum-algos

 

Desteklenen kimlik doğrulama yöntemleri (parola, özel anahtar gibi) listelenebilir.

  • Nmap: ssh-auth-methods –script-args ssh.user=KullaniciAdi

 

Anahtar çifti oluşturulabilir.

  • ssh-keygen
    • “*.pub” dosyasi hedef bilgisayarın “~/.ssh/authorized_key” dosyasının içerisine eklenir.

 

Genel anahtarlar listelenebilir.

  • Nmap: ssh-hostkey –script-args ssh_hostkey=all
  • Statik bazı Host ve Authentication anahtarların listesi: https://github.com/rapid7/ssh-badkeys

 

Ele geçirilen bilgisayarda daha önceden bağlantı kurulan sunuculara ait anahtarlar listelenebilir.

  • ssh-keyscan -t rsa,dsa,ecdsa,ed25519 -p HedefPort HedefIP

 

Geçerli kullanıcılar veya parolalar tespit edilebilir.

  • MSF: auxiliary/scanner/ssh/ssh_login
  • Openssh User Enumeration via Covert Timing Channel [CVE-2006-5229]
    • MSF: auxiliary/scanner/ssh/ssh_enumusers
  • Nmap: ssh-brute –script-args userdb=Kullanicilar.liste,passdb=Parolalar.liste
  • OpenSSH 7.2p2 SSH Username Enumeration [CVE-2016-6210]
    • Exploit-DB: 40136.py
  • Github [c0r3dump3d]: ./osueta.py -H HedefIP -p HedefPort -d 15 -v yes –dos no -L Kullanicilar.liste
  • Kaba kuvvet araçları:
    • hydra -t 2 -L Kullanicilar.liste -P Parolalar.liste -M HedefIPler.liste -s HedefPort ssh
    • medusa -t 2 -T 2 -U Kullanicilar.liste -P Parolalar.liste -H HedefIPler.liste -n HedefPort -M ssh
    • ncrack -g CL=2 -U Kullanicilar.liste -P Parolalar.liste -iL HedefIPler.liste -p ssh:HedefPort -oA Sonuc
    • patator ssh_login host=HedefIP user=FILE0 password=FILE1 0=Kullanicilar.liste 1=Parolalar.liste -x ignore:mesg=’Authentication failed.’
    • ./guess-who -l KullaniciAdi -h HedefIP -p HedefPort -2 < Parolalar.liste (https://packetstormsecurity.com/groups/teso/guess-who-0.44.tgz)

 

Geçerli kullanıcılar veya özel anahtarlar tespit edilebilir.

  • MSF: auxiliary/scanner/ssh/ssh_login_pubkey
  • Nmap: ssh-publickey-acceptance –script-args “ssh.usernames={‘root’, ‘user’}, ssh.privatekeys={‘./anahtar1’, ‘./anahtar2’}”
  • Nmap: ssh-publickey-acceptance –script-args ‘ssh.usernames={“root”, “user”}, publickeys={“./anahtar1.pub”, “./anahtar2.pub”}’
  • MSF: auxiliary/scanner/ssh/ssh_identify_pubkeys
  • Crowbar

 

Bu servisi kullanan çeşitli zafiyetli uygulamalar tespit edilebilir.

  • Fortinet SSH Arkakapı [CVE-2016-1909]
    • MSF: auxiliary/scanner/ssh/fortinet_backdoor
  • JuniperSSH Arkakapı [CVE-2015-7755]
    • MSF: auxiliary/scanner/ssh/juniper_backdoor

 

Bu servisi kullanan çeşitli zafiyetli uygulamalar da bulunmaktadır.

  • F5 BIG-IP < 9.4.8-HF5, 10.2.4, 11.0.0-HF2, 11.1.0-HF3; Enterprise Manager < 2.1.0-HF2, 2.2.0-HF1, 2.3.0-HF3 [CVE-2012-1493]
    • MSF: exploit/linux/ssh/f5_bigip_known_privkey
  • Freesshd <= 1.2.6 / Windows (Universal) [CVE-2012-6066]
    • MSF: exploit/windows/ssh/freesshd_authbypass
  • FreeBSD OpenSSH 3.5.p1
    • Exploit-DB: 17462.txt

 

Servise ait temel temel yapılandırma dosyaları aşağıdaki gibidir.

  • ~/.ssh/authorized_keys
  • ~/.ssh/identity.pub
  • ~/.ssh/identity
  • ~/.ssh/id_rsa.pub
  • ~/.ssh/id_rsa
  • ~/.ssh/id_dsa.pub
  • ~/.ssh/id_dsa
  • ~/.ssh/known_hosts
  • /etc/ssh/ssh_config
  • /etc/ssh/sshd_config
  • /etc/ssh/ssh_host_dsa_key.pub
  • /etc/ssh/ssh_host_dsa_key
  • /etc/ssh/ssh_host_rsa_key.pub
  • /etc/ssh/ssh_host_rsa_key
  • /etc/ssh/ssh_host_key.pub
  • /etc/ssh/ssh_host_key
  • /etc/ssh/ssh_known hosts
  • .shosts

 

Telnet [TCP/23]

Uzaktan sunucu bağlantısı için kullanılan protokoldür. Açık metin bir protokoldür. Bu sebeple araya girme saldırıları gerçekleştirilebilir. Ayrıca, bu servis ile olan ağ trafik paketi ele geçirilirse, doğrudan kimlik bilgileri veya komutlar okunabilir.

 

Servise ait banner okunabilir.

  • telnet HedefIP HedefPort
  • nc HedefIP HedefPort
  • Nmap: banner

 

Bu servise bağlantı kurmak için çeşitli yöntemler vardır.

  • Linux: telnet -l KullaniciAdi HedefIP HedefPort
  • Putty

 

Servisin sürümü öğrenilebilir.

  • MSF: auxiliary/scanner/telnet/telnet_version
  • MSF: auxiliary/scanner/telnet/lantronix_telnet_version

 

Bu servisi kullanan çeşitli zafiyetli uygulamalar tespit edilebilir.

  • BOF: FreeBSD 7.3 – 9.0; MIT Kerberos v5 Uygulamaları (krb5-appl) <= 1.0.2; Heimdal <= 1.5.1; GNU inetutils [CVE-2011-4862]
    • MSF: auxiliary/scanner/telnet/telnet_encrypt_overflow
  • SenNet Optimal DataLogger <= V5.37c-1.43c; SenNet Solar Datalogger <= V5.03-1.56a; SenNet Multitask Meter <= V5.21a-1.18b [CVE-2017-6048] [TCP/5000]
    • MSF: auxiliary/scanner/telnet/satel_cmd_exec
  • RuggedCom Rugged Operating System (ROS) Telnet Arkakapı [CVE-2012-1803]
    • MSF: auxiliary/scanner/telnet/telnet_ruggedcom
    • Exploit-DB: 18779.txt

 

Geçerli kullanıcılar veya parolalar tespit edilebilir.

  • MSF: auxiliary/scanner/telnet/telnet_login
  • Nmap: telnet-brute –script-args userdb=Kullanicilar.liste,passdb=Parolalar.liste
  • Kaba kuvvet araçları
    • hydra -t 2 -L Kullanicilar.liste -P Parolalar.liste -M HedefIPler.liste -s HedefPort telnet
    • medusa -t 2 -T 2 -U Kullanicilar.liste -P Parolalar.liste -H HedefIPler.liste -n HedefPort -M telnet
    • ncrack -g CL=2 -U Kullanicilar.liste -P Parolalar.liste -iL HedefIPler.liste -p telnet:HedefPort -oA Sonuc

 

Bu servisi kullanan çeşitli zafiyetli uygulamalar tespit edilebilir.

  • Lantronix Device Server V5.8.0.1 [UDP\30718]
    • MSF: auxiliary/scanner/telnet/lantronix_telnet_password
  • BOF: FreeBSD 7.3 – 9.0; MIT Kerberos v5 Uygulamaları (krb5-appl) <= 1.0.2; Heimdal <= 1.5.1; GNU inetutils [CVE-2011-4862]
    • MSF: exploit/freebsd/telnet/telnet_encrypt_keyid
    • MSF: exploit/linux/telnet/telnet_encrypt_keyid

 

Kriptografik metodların desteklenme durumu incelenebilir.

  • Şifrelemenin desteği kontrol edilebilir. Şifreleme desteklenen bazı ortamlarda root yetkisi ele geçirilebilir.
    • Nmap: telnet-encryption
  • Microsoft ortamındaki telnet hizmetinin NTML desteği kontrol edebilir.
    • Nmap: telnet-ntlm-info

 

Ürün bazlı zafiyetler ve zafiyetlere ait betikler de bulunmaktadır.

  • IBM CICS
    • Nmap: cics-info, cics-enum, cics-user-enum
  • IBM TN3270
    • Nmap: tn3270-screen, tn3270-info, tso-enum

 

Servise ait temel temel yapılandırma dosyaları aşağıdaki gibidir.

  • /etc/inetd.conf
  • /etc/xinetd.d/telnet
  • /etc/xinetd.d/stelnet

 

Kaynaklar:

http://www.0daysecurity.com/penetration-testing/enumeration.html
https://www.sans.edu/cyber-research/security-laboratory/article/attacks-browsing

What is Enumeration?


https://bitvijays.github.io/LFF-IPS-P2-VulnerabilityAnalysis.html#
http://www.pentest-standard.org/index.php/PTES_Technical_Guidelines#Internal_Footprinting

 

 

CEVAP VER

Yorumunuzu giriniz
İsminizi giriniz