Pivoting ve Pivoting Trafik Analizi
Bu yazımızda pivoting işlemi ve trafik analizi yapılacaktır.
Pivoting işlemi kısıtlı sistemler üzerinden ulaşıbilen bir ağa doğrudan erişim elde etme işlemidir. Pivoting işlemi için ilk olarak kısıtlı sisteme erişim yetkisi olan sistem ele geçirilip arka plandaki ağa erişilmesi sağlanır.
Yazıda kullanılan lab topolojisi:
Saldırgan ilk olarak Windows 7 makinasına giriş yapacak akabinde ise pivoting yaparak metasploitable 2 makinasında port taraması ve vsftpd2.3.4 servisinin istismar edilmesini sağlayacaktır.
RHOSTS için Windows 7 IP adresi olarak 10.10.10.20 IP adresini tanımlayalım. Kalimizin IP adresi olan 10.10.10.10 olarak LHOST’a tanımlanmıştır.
MS17–010 zafiyeti “exploit” komutu kullanılarak exploit edilmiştir. MS17–010 zafiyetinin çalışması için sistem 64 bit olmalıdır.
Shell komutunu kullanarak Windows makinamızın shelline düşüp “ipconfig /all” komutu çalıştırılmıştır.
Yukarıdaki görselde 2.ağ bağdaştırıcısının IP adresi olarak 172.20.22.128 görüntülenmiştir. Ve meterpreter session arka plana background komutuyla gönderilmiştir.
Pivoting için yönlendirme ekleme işlemi aşağıdaki şekilde yapılabilmektedir:
Route add network_adresi subnet_mask session
Bu işlemi bizim ağımız için aşağıdaki şekilde düzenleyebiliriz:
route add 172.20.22.0 255.255.255.0 2
Bu aşamada 1080 nolu port aracılığıyla SOCK proxy’nin başlatılmasını sağlanmıştır.
SOCK proxy’i diğer uygulamalarda kullanabilmek için proxychain konfigürasyonunda belirtilmesi aşağıdaki şekilde sağlanmıştır.
sock4 127.0.0.1 1080
Proxychain üzerinden nmap ile TCP scan aşağıdaki şekilde yapılmıştır. OK ifadesi ile belirtilen portlar açık, denied ifadesi ile belirtilen portlar ise kapalıdır.
21 nolu porttaki vsftpd servisini istismar etmek için metasploit frameworkte direk ilgili exploitun kullanılmasını sağlayabiliriz.
Trafik analizinde pivot edilecek makinanın iki ağ kartı üzerinden de trafik kaydının alınmasını analiz işlemini daha doğru kılacaktır. Snif işlemi için use sniffer diyerek sniffer modülünü kullanıyoruz. Sniffer_interfaces ile snif edilebilecek arayüzler belirtilmiştir.
Sniffer_start ağ_arayüz_id ile ilgili ağ arayüzleri için snif işlemi başlatılmıştır. Sniffer_dump ağ_interface_id kaydedilecek_dosya ile snif edilen verilerin kaydedilmesi sağlanmaktadır.
Vsftpd_234_backdoor zafiyetinin istismar edilmesi sonucu alınan pcap kaydı:
Pivoting işleminde trafik analizi yapılmak istenirse exploit edilen sistemde ağ arayüzlerinde belirli süre paket kaydının otomatik bir şekilde yapılması efektif olacaktır. Exploit etme işlemi endpoint protection loglarından elde edilip SIEM aracılığıyla toplanan loglar bir istismar ibaresi ile paket kaydı yapacak kodun tetiklemesini sağlayabilirler.
Trafik analizi için ilk olarak Statistics menüsünden Conversations butonuna basalım.
TCP sekmesine gelerek en fazla trafik hangi IP adresleri ve portlar arasında olduğunu aşağıdaki şekilde tespit edilmiştir:
Bu adımda tcp.port==4444 filtresi uygulanmış ve akış aşağıdaki şekildedir:
292,293 ve 294.paketlerde 3lü el sıkışma tamamlanmıştır.
296 nolu pakette PSH ve ACK flagleri set edilerek bir veri iletimi meydana gelmiştir. Bu paketi sağ tıklayıp Follow -> TCP Stream butonuna basalım.
İletilen veri içerisinde bağlantı yapılan IP adresi ve port aşağıdaki şekilde belirlenmiştir.
İletilen programın Windows sistemde çalıştırılabilir bir program olduğu 296 nolu pakette aşağıdaki ifadeden belirtilmiştir.
4444 nolu porttaki veri iletişimi hakkında daha fazla bilgi toplamak için aşağıdaki filtre uygulanabilir.
tcp.port==4444 and tcp.flags.push==1 and tcp.flags.ack==1
Vsftpd_234_backdoor zafiyetini istismar ettiğimiz trafik kaydını inceleyelim.
Bunun için https://kaleileriteknoloji.medium.com/vsftpd-234-backdoor-trafik-analizi-76781dd4b27a linkindeki yazıyı okuyabilirsiniz.
14 nolu pakette banner bilgisi vsFTPd 2.3.4 olarak tespit edilmiştir.
16.pakette gönderilen USER 1:) ifadesindeki :) ile 6200 nolu portta backdoor açılmıştır.
PSH ve ACK flaglerin tanımlandığı paketlerde veri transferi sağlanmıştır.
38.pakette whoami komutu çalıştırıldığı gözlemlenmiştir.