Nedir bu MS17-010 ?

MS17-010 445 portunda default olarak çalışan smb (Server Message Block) protokolünde , Windows 7 (32 bit) ve Windows Server 2008 R2 (64 bit) işletim sistemlerinde görülen ve saldırgana direk olarak NT AUTHORITY\SYSTEM (Windows işletim sisteminde en yetkili kullanıcı ) yetkisi veren kritik bir zafiyettir.  2017 yılında Shadow Brokers  hacker grubu tarafından yayınlanan ve NSA‘e ait olduğu belirtilen bir çok araç yayınlanmıştır. Bu araçlardan birisi de bir çok Windows işletim sistemini etkileyen Eternalblue da olarak bilinen ve MS17-010 olarak da isimlendirilen zafiyeti istismar etmek için kullanılan araçlardır .Bu zafiyetten etkilenen işletim sistemleri aşağıya sıralanmıştır.

  • Microsoft Windows Vista x64 Edition SP2
  • Microsoft Windows Vista SP2
  • Microsoft Windows Server 2012 R2 SP0
  • Microsoft Windows Server 2012 SP0
  • Microsoft Windows Server 2008 R2 for x64-based Systems SP1
  • Microsoft Windows Server 2008 R2 for Itanium-based Systems SP1
  • Microsoft Windows Server 2008 for x64-based Systems SP2
  • Microsoft Windows Server 2008 for Itanium-based Systems SP2
  • Microsoft Windows Server 2008 for 32-bit Systems SP2
  • Microsoft Windows RT 8.1
  • Microsoft Windows 8.1 for x64-based Systems SP0
  • Microsoft Windows 8.1 for 32-bit Systems SP0
  • Microsoft Windows 7 for x64-based Systems SP1
  • Microsoft Windows 7 for 32-bit Systems SP1
  • Microsoft Windows 10 Version 1607 for x64-based Systems SP0
  • Microsoft Windows 10 Version 1607 for 32-bit Systems SP0
  • Microsoft Windows 10 version 1511 for x64-based Systems SP0
  • Microsoft Windows 10 version 1511 for 32-bit Systems SP0
  • Microsoft Windows 10 for x64-based Systems SP0
  • Microsoft Windows 10 for 32-bit Systems SP0

Zafiyeti Tespit Etme

Zafiyeti tespit etmek öncelik nmap taraması yapalım.Belirtilen ip adresinde script taraması gerçekleştirelim.Bunun için nmap -script=vuln hedef ip parametresi kullanılabilir.Bu genel bir script taraması için geçerli olan taramadır.Biz eğer bu zafiyet için özel bir tarama yapmak istiyorsak bunun için nmap -p445 –script smb-vuln-ms17- 010 hedef ip kullanılabilir.Daha fazla nmap parametresi görmek için buraya tıklayın.

nmap ms17-010 özel taraması

Tarama sonucu görüldüğü üzere zafiyeti tespit ettik.Tabiki bu zafiyetin olup olmadığını use auxiliary/scanner/smb/smb_ms17_010  kodunu msfconsole‘ a yazarak da tespit edebilirdik. Şimdi bu zafiyeti nasıl exploit edeceğimize bakalım.

exploit arama ve kullanma

Explotimizi search ms17-010 yazarak bulmuş olduk ve use komutu ile kullanıma aldık.Şimdi gerekli parametreleri görelim.

Parametereler girilip ve run komutu ile çalıştırılır
Sistemem erişim sağlandı

Sisteme başarıyla giriş yaptık ve getuid ile NT AUTHORITY\SYSTEM hak ve yetkilerine sahip olduk .Artık içerde ne yapacağınız size kalmış 🙂

Bugün eternal blue zafiyetini inlecedik ve nasıl exploit edebileceğimizi gördük.Diğer yazılarda görüşmek üzere 🙂

Son Yazılar


Kategoriler

  1. Yorumunuz için teşekkürler,gerekli düzeltmeler yapılmıştır.En son kısım ise Pass the Hash saldırılarında önlem almak için kullanılıyor.Direk olarak önlemek adına değil.Detaylı…

  2. Merhaba Rsimdeki algoritma nthash değil lm hash gibi gözüküyor. Kontrol eder misiniz Ayrıca belirtilen ayarlar pth saldırılarını onlemez. İlki tespit…

No responses yet

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir