• Kategori: Güvenlik
  • Eyüp ÇELİK
  • Gösterim: 9739

W3AF ile Web Sitelerinde Shell Tespiti

Dünyadaki birçok web sitesinin başına bela olan, büyük prestij kayıplarına neden olan, web programcılarının yaptıkları ufak bir hatadan dolayı, sitelerde oluşan RFI (Remote File Inclusion – Uzaktan Dosya Enjekte) zafiyetini kullanan hacker ve lamerler sitelere bir çok zarar verdiler. RFI zafiyetinden faydalanarak, şuana kadar onbinlerce web sitesi defaced edildi, kullanıcı bilgileri çalındı.

Hackerlar yada diğer bir değişle lamerlar önceki yıllarda web sitesini defaced etmekten öte pek bir işlem yapmazlardı. Shell upload ettikleri web sitesinin indexini dğeiştirip bir hacked yazısı yazdıktan sonra Zone-h’ta bir zone kaydı alıp siteyle işi bitiyordu. Oysaki şimdi web sitelerine shell yükleyen hackerlar, arkaplanda kendini belli etmeden çalışmalarını sürdürürler. Sitenize shell yüklendikten sonra, sunucuda bulunan diğer web sitelerine sızmaya çalışırlar. Bir çok hosting firması bu sızma (klasör atlama) işlemine karşı safe_mode kullanırlar. Böylece siteye bir shell yüklenmesi durumunda klasör atlama izni olmadığından dolayı diğer sitelere sızma işlemi gerçekleştirilemeyecektir. Ancak bu güvenlik önlemi, safe_mode bypass shelleri ile aşılabilmektedir. Tüm bunlar rfi güvenlik zafiyetinin hala revaçta ve en tehlikeli güvenlik açığı olarak günümüze ulaşmalarını sağlamıştır. Hal böyle olunca bende web sitelerinde shell tespiti nasıl yapılır anlatmak istedim. Belki siz farkında olmayabilirsiniz ama birileri sitenizde sizden habersiz geziniyordur.

W3AF, MetaSploit geliştiricileri olan Rapid7 firması tarafından ücretsiz dağıtılan bir web güvenlik yazılımıdır. W3AF Python programlama dili ile yazılmış hem Windows hem de Linux platformunda çalışan çok güçlü bir tarayıcıdır. Kendi içerisinde bulunan modülleri kullanarak hedef sistem üzerinde tam bir test gerçekleştirebilecek kabiliyete sahiptir. Ayrıca bulduğu güvenlik açıklarını exploit ederek hedef sistemlere sızmaya yarayan modülleri ise W3AF’i oldukça güçlü kılmaktadır.

W3AF’i http://sourceforge.net/projects/w3af/ adresinden indirip kurun. Ardından Başlat\Tüm Programlar\w3af\w3af GUI’ yi tıklayarak grafiksel kullanıcı arayüzünü çalıştırıyoruz.

W3AF ilk açıldığında yukarıdaki ekran açılacak ve arka planda bir dos ekranı çalışacaktır. Dikkat etmeniz gereken husus şu; arka planda çalışan dos ekranını kapatmamanız gerekiyor. Bu ekranı kapatırsanız programı da kapatmış olacaksınız.

Program yukarıdaki gibi çalışacaktır. Sırası ile anlatacak olursam eğer;

1-) Kaydedilmiş tarama kurallarının bulunduğu alandır.

2-) Her bir tarama kuralında çalışacak olan modülleri aktif-deaktif eder.

3-) Tarama modülleri hakkında bilgi verip, modüllerin değiştirilebilir ayarlarının yapılacağı kısımdır.

4-) Tarama çıktısını belirtir. Html, Txt, XML ve E-mail gibi çeşitli şekilde tarama sonuçlarını almamızı sağlar.

5-) Tarama yapılacak hedef sistemin belirtildiği kısımdır. Buraya yazılan adresler mutlaka http:// veya https:// şeklinde olmak zorundadır.

6-) Program içersinde bulunan extra modüllerdir.

7-) Tarama esnasında bulunan zafiyetleri gösteren alandır.

Mavi ikon; hedef hakkında toplanan bilgiyi,

Üçgen ikon; hedef üzerinde bulunan güvenlik zafiyet miktarını,

Shell kabuğu ise hedef üzerinde bulunan exploit edilebilecek kritik güvenlik zafiyetlerini gösterir.

Biz kendi sitemizde bulunabilecek bir shell olup olmadığını kontrol edeceğiz. Bunun için yukarıdaki resimde 2 numara ile belirtmiş olduğum alandan Discovery kısmını açın.

Yukarıdaki gibi empty_profile seçildikten sonra Discovery kısmından findBackdoor modülünü active olarak işaretliyoruz. Target kısmına tarama yapacağımız sitenin adresini yazıyoruz. Ardından Start’ı tıklıyoruz.

Tarama yukarıdaki gibi olacaktır. Dikkat ederseniz sol tarafta Vuln yazısının hemen yanında kırmızı bir işaret gözükecektir. Burada bulunan işaretler Maviden kırmızıya doğrudur. Renk ne kadar kırmızı ise güvenlik açığı o kadar tehlikeli demektir. En alt kısımda göreceğiniz üzere mavi ikon ve üçgen ikonun yanında 2 yazmakta. Bu da 2 adet shellin site üzerinde tespit edildiği anlamına gelmektedir.

Ardından üstteki resimde göreceğimiz üzere Results kısmından KB Browser’ı tıklıyoruz. Bulunan sheller Knowledge Base kısmında listelenecektir. Bulunan 2 shell den herhangi birini tıkladığımızda sağ üst kısımda shellin yolunu göstermektedir. Yukarıdaki çıktıya bakacak olursak eğer http://ceh.eyupcelik.com.tr/r57.php adresinde bir shell mevcutmuş. Bu linki kopyalayıp herhangi bir tarayıcının adres satırına yapıştırarak shelle ulaşmış oluruz.

Adrese gittiğimizde bu shelli görüntülüyoruz. Bundan sonrası size kalmış.

Güvenli günler dilerim.

Comments

-2 Çağri 15-08-2011 21:52 #1
çok güzel bi anlatım olmuş gerçekten her zamanki gibi anlatımın çok sade ve anlaşılır teşekkürler....
Quote
0 Eyüp ÇELİK 15-08-2011 22:15 #2
Teşekkür ederim Çağrı.
Quote
0 Çağri 15-08-2011 22:35 #3
yalnız bu en alttaki shell ekranı başkasının yüklediği shell mi yoksa sizmi siteye sheel yüklediniz ? bundan sonrası size kalmış yazınca kafam karıştı.?
Quote
0 Eyüp ÇELİK 16-08-2011 08:35 #4
Alıntılandı Çağri:
yalnız bu en alttaki shell ekranı başkasının yüklediği shell mi yoksa sizmi siteye sheel yüklediniz ? bundan sonrası size kalmış yazınca kafam karıştı.?


Ben yükledim göstermek için. Sitedeki shelli bulduktan sonrası size kalmış dedim. Ister silersiniz ister orada bırakırsınız anlamında.
Quote
-2 SkyNet 18-09-2011 01:34 #5
Gercekden Çok Güzel Bi Paylaşım.
Quote
0 Caner 21-10-2011 16:06 #6
Hocam eline saglik bu dehset birsey allah razi olsun
Quote
0 Guest 31-05-2013 00:25 #7
kardeş program boş cıkıyor
Quote
-2 Guest 05-12-2013 15:43 #8
merhabalar,
windows (xp ve win 7) altında programı çalıştıramadım. Bu konuda yardımcı olabilirmisiniz.
Python 3.3 kurulu durumda.
Teşekkürler.
Quote
-2 Guest 08-03-2014 16:07 #9
Programın kurulumunuda anlatırmısınız ? verdiğiniz linkden indirdik ama setup vs sı yok
Quote
0 Guest 14-06-2014 02:10 #10
verdiğiniz linkten indirdim fakat kurulumu nasıl oluyor indirilende setup yok
Quote
+1 Abdullah 06-01-2015 04:02 #11
Abi herşeyi yapıyorum sistemde shell'de var ama görmüyor.

Benim yüklediğim örnek shell : git.abdullahbaslak.com/upload/re/abdullah.php 'da
Ben ise direk: abdullahbaslak.com'u tarıyorum bulmuyor veya git.abdullahbaslak.com'u aradığımda da bişi bulmuyor. acaba yaygın shell yollarını mı buluyor abi?
Quote
0 cevap 27-01-2015 00:11 #12
Kardeş verdiğin linkten indirdik arşiv boş çıkıyo setup felan gozukmuyo bızmı goremıyoz mq nasıl bişey bu
Quote

Yorum ekle


Güvenlik kodu Yenile

Back to top