Bu yazıda Pivoting ve Port Yönlendirme konularını uygulamalı olarak anlatılacaktır.

Bu senaryoda zafiyetli bir bilgisayar ele geçirilmiştir ve post exploit sırasında bizim erişemediğimiz farklı bir subnete daha erişebildiği anlaşılmıştır.

Ekran görüntüsünde ele geçirilen makinanın farklı bir subnet de “192.168.56.101” IP adresine sahip olduğunu görüyoruz. Şuan da bu IP aralığına bizim erişimimiz yok, peki o makinaya nasıl erişebileceğiz ?

Pivoting

İlk önce Metasploit’in “autoroute” post modülünü kullanarak iki subnet arasındaki iletişimi sağlıyoruz.

run autoroute -s [subnet]

aktif routing tablosunu görmek için aşağıdaki komutu kullanabiliriz.

run autoroute -p

Artık aradaki iletişimi sağladık, pivoting tamamlandı.
Portscan via Meterpreter

Routing yaptık, ancak bu bacakta hangi makinada hangi portlar açık tespit etmemiz gerekiyor, bunun için;
“background” komutunu vererek Metasploit’e dönüyoruz.

use auxiliary/scanner/portscan/tcp

Metasploit’in nimetlerinden biraz daha faydalanarak tcp port scanner yardımcı aracını çalıştırıyoruz.

192.168.56.1 – 192.168.56.255 IP aralığındaki tüm makinalarda 1 ile 100 arasındaki portları tarayacak şekilde yapılandırdıktan sonra “run” komutu vererek başlatıyoruz.

Bu şekilde bütün IP aralığını ve 100 portu ayrı ayrı tarattırmak biraz uzun süreceği için arka taraftaki bir makinanın IP adresini ve 80 portunu vererek çalıştırıyorum;

Görüldüğü gibi tarama sonuçlandığında 192.168.56.102 IP adresinde 80 portunun açık olduğunu söylüyor ancak bu servise erişebilmek için 80 portunu kendi makinamızda boş bir porta yönlendirmemiz gerekiyor.

Meterpreter Sessiona geri dönüyoruz.

Port Forwarding

192.168.56.102 makinasının 80 portunu kendimizin (localhost / 127.0.0.1) 8080 portuna yönlendireceğiz.

portfwd add -l [local port] -p [remote port] -r [remote host]

Şimdi hedef (192.168.56.102) makinanın 80 portuna erişmek için tek yapmamız gereken local 8080 portumuza gitmek olacak.

Görüldüğü gibi 192.168.56.102 IP adresine sahip makinanın 80 portunda çalışan servise localhostumuzun 8080 portu üzerinden erişebiliyoruz. Bu servisin zafiyetli bir servis olduğunu var sayarsak ve exploit etmek istediğimiz düşünürsek;

Reverse Shell / Bind Shell

Reverse Shell : Hedef makinadan bize gelen bağlantı.
Bind Shell : Bizden hedef makinaya giden bağlantı.

Routing işlemini tek taraflı meterpreter session üzerinden yaptık yani arkada ki makina bize nasıl ulaşacağını hala bilmiyor, sadece biz ona nasıl ulaşabileceğimizi biliyoruz. Arkadaki makinanın bir servisini exploit etmek için, exploitimze ekleyeceğimiz Metasploit payloadı “bind” olmak zorunda.

TR | How to Pivoting & Portfwd Hakkı YÜCE

Merhaba,

“Pass-the-Hash” saldırısı, saldırganın açık parola yerine şifre özetini kullanarak uzak sunucu/servise bağlanmasını sağlar.
Bu saldırı ilk defa 1997 yılında araştırmacı Paul Ashton tarafından yayınlanmıştır

Saldırgan, hedef sisteme yetkili erişim sağladıktan sonra bellekte tutulan LM ya da NTLM şifre özetini ele geçirerek saldırıyı gerçekleştirir. Şifre özetlerini elde etmek için farklı yöntemler mevcuttur (bkz:mimikatz).
Uzun bir geçmişe sahip olsa da Pass-The-Hash saldırıları günümüz sızma testlerinde hala aktif olarak kullanılmaktadır. Yazımızın devamında Metasploit çatısı altındaki PsExec modülü ile anlatım yapılacaktır.

Uygulamaya geçmeden önce ufak bilgiler;

LM
Windows sistemlerdeki domain yapısı sebebiyle yeni işletim sistemleri ile eski işletim sistemleri arasında uyum sağlanması için günümüzde aktif kullanılmasa da hala desteklenmektedir. SAM dosyasında saklanır.

NTLM
Domain yapısının gelişmesiyle birlikte LM’in zayıflıkları telafi edilmiş ve istemcilerin şifre özetleri sadece DC’lerde saklanmaya başlamıştır.

SAM
Yerel bilgisayarladaki kullanıcı hesaplarını ve kullanıcılara yönelik güvenlik politikalarını tutan veritabanıdır. İşletim sistemi çalışırken kilitli durumdadır bu nedenle SAM dosyasının içindeki verilere erişebilmek için önce ele geçirip ardından kırmak gerekir.

LSASS
Windows sistemlerde şifre özetleri LSASS(Local Security authority subsystem service) sürecinde tutulur. Yalnızca yetkili kullanıcıların çeşitli araçlar ile erişim sağlayarak şifre özetlerini ele geçirebildiği bu süreç üzerinde yetkili kullanıcı ile bile değişiklik yapılmasına izin verilmez.
LSASS sürecinin görevi belirlenen güvenlik politikaları çerçevesinde kullanıcı oluşturma/değiştirme, kimlik doğrulama gibi işlemleri yerine getirmektir.

Test ortamı;

• 192.168.20.10  – Kurban1 – MS08-067 zafiyetli Windows XP
• 192.168.15.13  – Kurban2 – Güvenlik açığı bulunmayan Windows 7 Ultimate
• 192.168.1.159  – Saldırgan

Test ortamında Domain yapısı bulunmamaktadır. Her iki hedef makinede de güvenlik duvarı kapalıdır

Pass-The-Hash saldırısı yapan PsExec modülü, genellikle Windows sistemlerde yazıcı,dosya paylaşımı işlevlerini yerine getiren SMB servisini kullanmaktadır.

Saldırıyı gerçekleştirebilmek daha önce ele geçirilmiş bir şifre özeti, Domain kullanıcısı ya da yerel bir kullanıcı, hedefin IP adresi ve eğer öntanımlı değilse yönetimsel paylaşım bilgisine(ADMIN$,C$ vb.) ihtiyaç duyulmaktadır.

Test ortamımızda önce MS08-067 zafiyetli Windows XP’ye sızılıp, Administrator kullanıcısına ait hash ele geçirilerek bu hash ile Windows 7 makinesine sızılacaktır.

• SMB servisi için script kullanarak Kurban1’e yapılan nmap taramasının sonucu aşağıdaki gibidir.

• Metasploit içinde bulunan ms08_067_netapi modülü ile sisteme sızıldıktan sonra yetki yükseltilerek(test ortamımızda yetki yükseltmek şart değildir zira bu zafiyet ile sisteme en yetkili kullanıcı olarak bağlanılır. Yine de unutulmaması gerekir ki şifre özetlerine yalnızca yetkili kullanıcılar erişebilir, bu sebeple duruma göre yetki yükseltme saldırıları yapmak gerekir.) mevcut kullanıcılar ve şifre özetleri ele geçirilir.

• PsExec modülünün ihtiyacı olan SMBDomain bilgisi enum4linux aracı ile elde edilebilir.

  enum4linux 192.168.15.13

• Komutunun çıktısında Domain/Workgroup değeri için WORKGROUP sonucunun dönüldüğü görülecektir.

• Bu aşamaya kadar ele geçirilen bilgiler ile PsExec modülünü kullanarak Kurban2’ye Administrator yetkileri ile sızılır.

Ayrıca bknz:

LM ve NTLM için,
https://technet.microsoft.com/tr-tr/magazine/2006.08.securitywatch(en-us).aspx
https://en.wikipedia.org/wiki/LM_hash
https://en.wikipedia.org/wiki/NT_LAN_Manager

PsExec için,
https://www.offensive-security.com/metasploit-unleashed/psexec-pass-hash/
https://community.rapid7.com/community/metasploit/blog/2013/03/09/psexec-demystified

Pass-The-Hash için,
https://www.sans.org/reading-room/whitepapers/testing/pass-the-hash-attacks-tools-mitigation-33283
https://en.wikipedia.org/wiki/Pass_the_hash

TR | Pass The Hash with PsExec Mücahit Emin Karadağ