Webdav Zafiyetinin İstismar Edilmesinin Trafik Analizi

3 min readJun 30, 2021

Bu yazımızda webdav zafiyetinin sömürülmesinin trafik analizini ele alacağız.

İlk olarak dav dizinin sunucuda bulunup bulunmadığını browser üzerinden kontrol edelim.

Şimdi ise file manager üzerinden dav dizinine erişim sağlayalım. Bunun için File Manager dosya yolu alanına dav://10.10.10.20/dav yazılmalıdır.

Webdav’ın açık olduğu yukarıdaki görselde görülmektedir. Şimdi basit bir php shell yazalım. Php shell GET metodu ile cmd parametresi alınan veriyi system komutu ile çalıştırılmasını sağlayacaktır.

<?php system($_GET[“cmd”]);?>

Webdav ile etkileşim kurarak yazmış olduğumuz shell.php dosyasını sunucuya atmak için cadaver aracını kullanacağız.

Kullanım:

cadaver http://ip/dav_dizini

Aşağıdaki görselde cmd parametresi ile whoami komutu çalıştırılmıştır.

Aşağıdaki görselde 5555 nolu portu kullanılarak reverse shell alınmış ve sıra ile id,cat /etc/passwd komutları çalıştırılmıştır.

Trafik analizi için ilk olarak http filtresini uygulayalım.

31 nolu pakette browser aracılığıyla dav dizini kontrol edilmesi sağlanmıştır.

File manager kullanımını tespit etmek için aşağıdaki filtreyi kullanabilirsiniz:

frame contains “gvfs”

Cadaver tarafından yapılan istekleri görmek için aşağıdaki filtre kullanılabilir:

http.user_agent contains cadaver

Şimdi PUT metodu ile dav dizinen yüklenmeye çalışan dosyanın içeriğini inceleyelim. Bunun için 338 nolu paketi sağ tıklayıp Follow -> HTTP Stream butonuna basabiliriz.