[UYARI] RCON Exploit - Bir Makineden Ödün Verme

mcsbey

Paylaşım Ekibi
Katılım
2 Ağu 2019
Mesajlar
104
Tepki puanı
1
Yaş
29

İtibar Puanı:

Merhaba! Bugün bunu okumadan önce, rcon şifreniz hakkında konuşacağız; lütfen aşağıdaki sayfayı ziyaret edin ve şifrenizin bu listelerden herhangi birinde olup olmadığını öğrenin. Öyleyse, değiştirin veya RCON'u hep birlikte devre dışı bırakın, çünkü açıklayacağım şey sunucunuz için zararlı olabilir.

SecLists, güvenlik test cihazının yoldaşıdır. Güvenlik değerlendirmeleri sırasında kullanılan ve tek bir yerde toplanan birden çok türde liste topluluğu. Liste türleri, kullanıcı adlarını, şifreleri, ... içerir


Aşağıdakilerin hepsi varsayımsaldır; Kendimi bu işe asla dahil etmem, ayrıca bunu kendiniz test etmenizi önermiyorum - ve aşağıdakileri tekrarlamaya çalışırsanız, teknolojiye olan 'haklarınız' muhtemelen iptal edileceğini özellikle belirtiyorum.
farfaralık
Oldukça az sayıda sunucu; 100'den fazla - bazıları sürekli olarak yüksek bir nüfusa sahip, risk altındakiler sahiplerinin rcon parolalarını 'parola' ya da benzeri şekilde ayarlamaya karar vermeleri nedeniyle risk altında. Bazı sahipler, güvenilir olmayan kişilerin kendi server.cfg dosyalarına girmesine izin vererek kendilerini riske atmışlardır.
İşte sorun; kendi tuzuna değer olan herkes, FiveM'in sanal makinenize Uzaktan Masaüstü Bağlantısı üzerinden RCON şifrenizden başka bir şey olmadan erişebilmesi için sunduğu araçları kolayca kullanabilir.
Bu, aşağıdaki nedenlerle mümkün kılınır ;
  • VPS makinelerinde grup politikasının kötü yönetimi
  • FiveM sunucunuzu, Windows makinenizdeki Administrator localgroup içindeki hesaptan veya roottan (linux) ya da hesabınızdan çalıştırma
  • os.execute ()
Bu istismar aşağıdaki gibi çalışır; ilk önce sunucunun rcon'una erişebilirsiniz. Uzak konsola eriştikten sonra, hemen hemen her FiveM sunucusunda bulunan bir FiveM kaynağı olan temel bir 'runcode' başlatabilirsiniz. RunCode, web / komut tabanlı kodların uzaktan yürütülmesine izin veren bir kaynaktır. Bununla, sunucuda, belirli bir istemcide veya tüm istemcilere bir kerede kod çalıştırabilirsiniz.
İkinci; sulu kısım. Komut satırının çıktısını döndürmek ve sunucu tarafı komut satırında neler olduğunu görmek için, os.tmpname () kullanarak bir tempfile oluşturur ve bu yolu değişken olarak tanımlarız. Daha sonra çıktımızı bu dosyaya boşaltmak için os.execute () işlevini '>' operatörüyle birlikte kullanırız. Bir for döngüsünde io.lines kullanarak, bu dosyayı alıp içeriğini (komut satırımızın çıktısı) alabilir ve bunları RunCode'un web arayüzüne geri gönderebiliriz. Bu, bir davetsiz misafirin mevcut kullanıcı hesabınızı bulmasına izin verir, belki Yönetici adında değildir; bu durumda Jones.
Üçüncü; Şimdi biliyoruz ki artık Jones adında bir kullanıcı hesabımız olduğunu ve sunucuyu çalıştıran kullanıcı olduğunu biliyoruz. Şifresini değiştirmek için 'net user' işlemlerini os.execute üzerinden kullanabilir ve Uzak Masaüstü Bağlantısı üzerinden Jones hesabına erişebiliriz. Bununla birlikte, bu yöntem çok gizli değildir - ve dikkatli bir şekilde Jones'un kutusunun üzerinde olması durumunda kolaylıkla tespit edilebilir, ancak FiveM'in kaynak desteğinin yetersizliği konusundaki huzursuzluğuna hükmeder. Aynı 'net' işlemlerini kullanarak yeni bir kullanıcı hesabı oluşturabilir ve bu kullanıcıyı Administrators localgroup'a ekleyebilir ve Remote Desktop Connection ile giriş yapabiliriz. Oradan, Jones'un kullanıcı klasörüne gidip, bütün dosyalarını alırız veya makineye ne istiyorsak onu yaparız.
kenar notu
Makinenin tamamını devralmanın yanı sıra , aşağıdakiler de yapılabilir -
  • Uzaktan çalıştırma yapmak için bir istemciden tetiklenebilen kaynakların ServerEvent koduyla enfeksiyonu
  • Makineye erişen kullanıcılar hakkında hassas bilgilerin kaydedilmesi için makineye bir keylogger / trojan bulaşması.
  • Makinenin bir ana bilgisayar denetleyicisi ile enfeksiyonu, DoS saldırıları için kullanılır.
Yani; RCON şifrelerinizi değiştirin veya tamamen devre dışı bırakın. Bununla birlikte, bununla mücadele etmek için uygulayabileceğiniz bazı yöntemler vardır - ve dürüst olmak gerekirse, web'de herhangi bir şeyi barındırırken standart prosedür olmalıdır.
Uygun Grup İlkesi Yapılandırması
Grup İlkesi, herhangi bir Windows Server makinesinde erişebileceğiniz çok güçlü bir araçtır. Doğru grup ilkesi, kullanıcıların belirli bir kullanıcı hesabının sistem özelliklerinde değişiklik yapması gereken erişimi sınırlayarak bu tür saldırıları gerçekleştirmelerine izin vermeyecektir.
Grup ilkesinin doğru çalışması için kullanıcı hesaplarınızı doğru bir şekilde ayırmanız gerekir. Mükemmel bir kurulumda, Yönetici hesabı tüm dosyalar üzerinde hüküm sürer ve sunucu çalıştırılabilirlerinin çalıştırıldığı kullanıcı hesapları, özel olarak ihtiyaç duydukları dosyalardan başka hiçbir şeye erişemez. Buna ek olarak, bir MySQL veritabanında tekil sunucu bilgilerinden daha fazlasını depolarsanız, birden fazla kullanıcı hesabı kullanın. Do not hiç tanrı aşkına, SQL veritabanına 'kök' 'localhost' kullanarak bağlayın. Her zaman yalnızca belirli bir sunucunun ihtiyaç duyduğu bilgilere okuma / yazma erişimi olan bir alt kullanıcı hesabı kullanmanız gerekir.