vsftpd_234_backdoor Trafik Analizi
Bu yazıda vsftpd_234_backdoor modülü kullanılarak vsftpd servisinin exploit edilmesinin trafik analizi yapılacaktır.
Exploit içeriği incelendiğinde 21 nolu port üzerinden bağlantı kurulup exploit edildikten sonra 6200 port üzerinden sisteme bağlanılarak shelle ulaşılmıştır.
5,6 ve 7 nolu paketlerde 3lü el sıkışma sağlanmıştır.
10 nolu pakette saldırgan IP adresi olan 10.10.10.10 ‘dan hedef IP adresi olan 10.10.10.21’e “USER IC5i1: )” paketi gönderilmiştir.
14 nolu pakette saldırgan IP adresi olan 10.10.10.10 ‘dan hedef IP adresi olan 10.10.10.21’e “PASS 0J” paketi gönderilmiştir.
NOT:Kullanıcı adı “: )” ifadesini içermesi sonucu 6200 nolu port açılarak arka kapı aktif hale gelmektedir.
Daha sonra kaynak IP adresi 10.10.10.10’dan hedef IP adresi 10.10.10.21’in hedef portu 6200’e SYN flagi set edilmiş bir paket gönderilerek 15 nolu pakette 3lü el sıkışma başlamıştır. 15,16 ve 17 nolu paketlerde 3lü el sıkışma sağlanmıştır.
PSH ve ACK flaglerinin set edildiği paketlerde veri iletimi meydana gelmektedir. Buradaki paketlerin içeriği incelenerek hangi komutların çalıştırıldığı belirlenebilir.
PSH ve ACK flaglerinin set edildiğini filtrelemek için aşağıdaki display filtre kullanılabilir:
tcp.flags.ack==1 and tcp.flags.push==1
32 nolu pakette backdoor bağlantısı sonucunda whoami komutu çalıştırılmıştır. PSH ve ACK flaglerinin bu paketlerde set edildiğini görebiliriz.
Paketi sağ tıklayıp “Follow”-> “TCP Stream” butonuna bastıktan sonra çalıştırılmış olan komutlar görülebilir.
Id komutu shell açıldığında uid=0(root) gid=0(root) bilgisini belirtmektedir. Nohup ile processin arka planda çalıştırılması devam ettirilmektedir. Echo ile belirtilen ifade ekrana bastırılıp, shellin açılıp açılmadığını kontrol etmek için yazılmıştır.
Kod: https://www.exploit-db.com/exploits/17491
Saldırgan sisteme giriş yaptıktan sonra “whoami” ve “cat /etc/shadow” komutu çalıştırılmıştır.
Kullanılan exploitta payload bilgisinin “cmd/unix/interact” olduğu göz önüne alınarak bu analiz sağlanmıştır.