Soru-Cevap

[roro]

http://labs.sawbox.net/txt/ssp.html
SSP:
The Stack Smashing Protector ( SSP ) compiler feature helps detect stack buffer overrun by aborting if a secret value on the stack is changed.
by default it is included in gcc >=4.1 but not enabled, however it is distro specific

-fno-stack-protector

---

http://www.openbsd.org/papers/nycbsdcon08-pie/
PIE:
After enabling PIE support in gcc/linkers, the body of program is compiled and linked as position-independent code. A dynamic linker does full relocation processing on the program module, just like dynamic libraries. Any usage of global data is converted to access via the Global Offsets Table (GOT) and GOT relocations are added.

-no-pie

---

Ornek derleme;

gcc -fno-stack-protector -z execstack -no-pie dem.c -o dem

gcc dem.c -o dem_def

gcc (Ubuntu 5.4.0-6ubuntu1~16.04.12) 5.4.0 20160609
Copyright (C) 2015 Free Software Foundation, Inc.

Apparently Ubuntu ships version of GCC with size of buffer changed to 4,
so buffers less than that don't trigger generation of a canary.
I confirm (and anyone else should be able to repeat)
that by compiling two examples with --param ssp-buffer-size=4,
which produces assembly with canaries for only one of them.

Arch(enable SSP and PIE by default):

Explore groups · GitLab

GitLab Enterprise Edition

gitlab.archlinux.org

Konuya ek olarak şu güzel yazıyıda bırakıyorum;

Stack Canary Bypass Sunucu

Yazımıza geçmeden önce ben videodan daha iyi öğrenirim diyen arkadaşlar için youtube’da çektiğim videoya alalım sizleri : Video Merhaba arkadaşlar bu blogum da sizlere standart güvenlik önlemlerinden biri olan Stack Canary yani bir diğer adı ile de Stack Cookie ‘sinin nasıl bypass edileceğinden bahsedeceğim. Kafanız da güvenlik önemleri terimine ait bir yapı olmuşması için çoğumuzun bildiği bir kaç güvenlik önleminin ismini vererek yazıma başlamak istiyorum. ASLR, NX, RELRO, SafeSEH, DEP v…

yinede kafana yatmayan bir şey varsa checksec, gcc version ve distro paylaşabilirsen fikir yürütebiliriz.

 

[alpertunga]

gcc dem.c -o dem_def şeklinde derlerken belirtmediğimiz halde bazı güvenlik önlemlerinin aktif gelmesinin sebebi işletim sisteminden/kullandığım dağıtımdan kaynaklı oluyor o zaman. Doğru anladım sanırım. Teşekkür ederim

 

[roro]

Evet yüksek ihtimal bunlardan kaynaklı bir durum, mesela 32-bit 14.04 ubuntu default gcc version ile Arch 2020 default gcc aynı şekilde gelmiyor. Checksec ile bunu rahatlıkla görebiliyoruz zaten, yardımcı olabildiysek ne mutlu.

 

[alpertunga]

Tekrardan merhaba Stack canary korumasının nasıl atlatilabileceğine bakıyorum ancak karşıma hep brute-force ile cookie değeri bulma çıkıyor. Bu da 64 bit sistemlerde biraz yorucu olacaktır diye düşünüyorum. Bunun dışında kullanılan bildiğiniz bir teknik veya doküman var mı ?

 

[capitan]

Merhaba yeniyim buralarda. Traceback makinesinde takıldım çözümünüze baktım ama luvit komutunu çağıramıyorum.
Sebebi ne olabilir. ssh ile webadmine bağlandım en son.

 

[sef]

Sanırım bu soruyu ctf kasmaya devam ederek öğrenebilirsin

 

[P0lyx4]

Ben ilk önce giden ve gelen POST,GET isteklerine bakıyorum, sonra o isteklerin nereye gittiğini ve ne yapıldığını düşünüyorum mesela bir hesapta profili düzenle kısmına bakınca değiştirdiğim değerin ekrana yansıtıldığını ve bir veritabanında tutulduğunu biliyorum bu yüzden ilk olarak Stored Xss ve SQL Injectıon denerim. Neyin nerede ne için alınıp ne yapıldığını anladıktan sonra uygun payloadlar denemek daha kolay oluyor bana göre şahsi görüşüm tabi herkes farklı düşünür.

 

[P0lyx4]

Bazen GET ile değerlerde alınan verilerde Google SEO Algoritması gereği Self Url kullandığı için için id= tarzında gösterimeyebilir. Manuel Olarak Burp İle Bakabilirsin, Sqlmap ile test etmek istiyorsanda
“**”
karakterlerini kullanabilirsin url yi aşağıya yazdığım şekilde yazarsan sqlmap teste sokacaktır.
sqlmap -u “http://vvhack.com/acikli-bolum/*” --dbs

 

[cmd-root]

Subdomain Takeover Zafiyetinden Nasıl Faydalanabilirim.

 

[0x0fy]

Eğer sub domain; Github, Heroku, Tumblr, Shopify gibi üçüncü parti internet hizmeti veren bir yere DNS kaydı ile yönlendirilmişse çeşitli sebeplerden bu zaafiyet doğuyor. Nasıl faydalanacağına gelirsek , bu hizmeti veren kuruma göre değişir. Hatta belli başlı servislerde Subdomain takeover yapabilmek için ücret bile ödemen gerekebilir, örneğin wix…

Aşşağıya örnek olarak Github üzerinden nasıl Subdomain takeover yapılabileceğini anlatan bir video bırakıyorum

 

[BLACKROSE]

Arkadaşlar merhaba ben veil ve ngrok kullanarak portsuz rat oluşturdum ama sorun şu ki msfconsolde
lhost kısmı var oraya ne yazmam gerek dış ağda çalışması için ?

 

[roro]

Merhaba, LPORT icin bağlantı kurulacak ip adresini tanımlaman gerekiyor. Mesela; x.x.x.x ip adresi ve o ip adresine ait port o da lport olacak. Kolay gelsin.

 

[berkaybasar87]

responder ve ntlmrelayla düşündüğüm hashleri crackmapexec ve wmiexec ile bağlantı sağlıyorum fakat bu hashler ile başka neler yapabilirim ekstra sızmak için nerede kullanılabilir?

 

[Zecrain]

ntlm v2 ise kullanabileceğin yerler kısıtlı maalesef. Bu kısımda hashcat ile hash’i çözmeyi deneyebilirsin.

 

[Cezeri]

Makineye bağlantı sağlayabiliyorsan daha ne istiyorsun?
Metasploit’te smb_login modülüyle elde edilen hash’leri smb servisi açık IP adreslerinde veya doğrudan “x.x.x.0/24” gibi subnet vererek de taratıp o hash ile oturum açabileceğin makineleri topluca taramış olursun ve böylece onları da cme veya psexec gibi araçlarla ele geçirebilirsin.

 

[Cezeri]

Bundan sonra bu kısım Soru & Cevap alanında devam edecektir. Sorularınızı direkt konu olarak açabilirsiniz.

Bilgilerinize.