3 Mart 2015

MITMf, ağ içerisinde Ortadaki Adam Saldırıları gerçekleştirmek için açık kaynak kodlu geliştirilen ve eklenti desteği olan bir çatıdır. Python dili ile geliştirilen çatının önemli iki özelliği bulunmaktadır. 
Bunlar ihtiyaç durumda kendi eklentilerinizi yazabilme imkânınızın olması ve var olan eklentilerinin saldırlar için yeterli ve güçlü olmasıdır. Aşağıda framework ile beraber gelen eklentiler ve açıklamaları listelenmiştir.

13 Şubat 2015

Determine Critical Data In Network Sharing - DepDep

Posted by: Gökhan ALKAN 13 Şubat 2015
Depdep is a merciless sentinel which will seek sensitive files containing critical info leaking through your network. Basically, it is a fast and practical sensitive data search tool maintaining personal & commercial data privacy for companies and institutions. It can very well be used by auditors making sure that their network doesn't leak any unauthorized non-compliant data through windows & unix/linux shares.

24 Ocak 2015

Sızma testlerinde elde edilen parola özetlerinin tipinin belirlenmesinde kullanılacak olan HashTag.py aracı, farklı şifre hash değerlerini kendi türüne göre ayıran ve tanımlayan Python ile yazılmış bir araçtır. 250 ve üzeri hash değerini desteklemektedir. HashTag, hash değerlerini direk okumanın yanı sıra dosya üzerinden de hash değerlerini okuyabilmektedir.
Aracı kaynak kodlarını görüntülemek  için burayı ziyaret edebilirsiniz. Eğer aracı online olarak kullanmak isterseniz bu adresten ulaşabilirsiniz.

31 Aralık 2014

Tek port Üzerinden Multi Servis Kullanımı

Posted by: Osman Cihat IŞIK 31 Aralık 2014
Elinizde kullanılabilir tek bir ip adresi var ve bu ip adresi üzerinde aynı portu kullanan birden fazla uygulama kullanmak istiyorsanız tek portta protokol başlık bilgisine göre paketleri ayırtedebilen bir yazılım kullanmak sorunu çözecektir. SSHL bu amaçla geliştirilmiş bir yazılımdır.  SSHL belittiğiniz bir portu dinler  ve bu porta gelen bağlantı isteklerini inceleyerek isteğin hangi protokole ait olduğunu tespit ettikten sonra bağlantıyı ilgili servise yönlendirme işlemini gerçekleştirir.

21 Aralık 2014

Ağ trafiği analizi, zararlı yazılım analizinin önemli bir bölümüdür. Günümüz zararlılarının komuta merkeziyle şifreli iletişim kurma eğilimi düşünüldüğünde bu trafiği şifresiz olarak elde edebilmenin gerekliliği de anlaşılmaktadır. Yazıda SSL kullanan bir zararlının trafiğinin nasıl analiz edilebileceği komuta merkeziyle HTTPS kullanarak iletişim kuran zararlı örneği üzerinden anlatılmıştır.

Kullanılan Araçlar:
  1. Burp Suite
  2. iptables
  3. Wireshark
  4. msfpayload

12 Aralık 2014

TLS’in heartbeat eklentisindeki bir programlama hatasından kaynaklanan sorun sayesinde internete açık zafiyet içeren OpenSSL sürümünü kullanan herhangi bir sistemin belleğindeki bilgiler 64 kbyte’lık bölümler halinde alınabilmektedir. Açık, internet üzerinden herhangi yetki gerektirmeksizin tcp 443. porttan kurulan bağlantılar üzerinden(başka portlarda çalışan TLS destekli protokollerde dahil) şifrelemede kullanılan private key’lerin, kullanıcı adı ve şifrelerin, cookie’lerin ve benzer her türlü hassas verinin alınabilmesine olanak sağlamaktadır. 

20 Kasım 2014

Bash 'Shellshock' Güvenlik Açıklığı İstismar Yöntemleri

Posted by: Osman Cihat IŞIK 20 Kasım 2014
CGI(Common Gateway Interface) web sayfaları ve web uygulamalarına dinamik içerik üretmek için kullanılan standart bir yöntemdir. Bu yöntem sistem üzerinde bash komutlarının çalıştırılabilmesine de olanak sağlamaktadır. Bash kabuğu üzerinde farkedilen bir güvenlik açığı sayesinde ise bu avantajlı durum bir anda atak vektörü haline gelmiştir.


Bu blog yazsısında, hedef sistem üzerinde /cgi-bin/ klasörü altında bulunan dosyalar üzerinden bu açıklığın nasıl istismar edilebileceği uygulamalı olarak anlatılacaktır. Yapılan uygulamalar http://vulnhub.com/entry/pentester-lab-cve-2014-6271-shellshock,104/ adresinde bulunan bu zafiyete özel olarak hazırlanmış dağıtım üzerinden gerçekleştirilecektir.

26 Ekim 2014

Medusa ile kaba kuvvet saldırıları

Posted by: Fırat Celal Erdik 26 Ekim 2014
Sızma testlerinde sürekli ihtiyaç duyulan kaba kuvvet saldırıları için kullanılacak bir çok araç (medusa,hydra,bruter,metasploit aux modüleri vs.)mevcuttur. Biz bu yazıda medusa kullanımına ve farklı servisler üzerinden istenilen kullanıcı hesaplarının nasıl deneyebileceğimizi göstereceğiz.

Örnek olarak, dosyadan istenilen kullanıcı adlarını ve parolalarını okuyup HTTP servisi (TCP/80) üzerinde bruteforce yapıp(kullanıcı adını boş ve kullanıcı adını parola olarak da deneyip(-e ns)) başarılı bulgularını sonuc.txt dosyasına yazan ve bunu eşzamanlı 10 istek(-t 10) göndererek yapan medusa komutu:

27 Ağustos 2014

Kablosuz ağlar, yaygın kullanım alanları ve genelde çok güvenli olmayan yapıları nedeniyle saldırganların hedefi olmaktadır. Bu saldırılar hedef ağın kaynaklarını kullanmak veya zararlı  aktiviteler için hedef şaşırtmak amaçlarıyla yapılabileceği gibi ağdaki servis ya da kullanıcılara yönelik saldırıların da ilk adımını oluşturabilirler. 

Bu yazının amacı kablosuz ağ kullanıcılarına yönelik ya da kullanıcılar üzerinden gerçekleştirilecek saldırı yöntemlerini incelemektir.

18 Ağustos 2014

Burp Suite Kullanarak XSS (Cross Site Scripting) Zafiyet Tespiti

Posted by: Huzeyfe ONAL (BGA) 18 Ağustos 2014
Cross site scripting (XSS), web güvenlik açığı. HTML kodlarının arasına istemci tabanlı kod gömülmesi yoluyla kullanıcının tarayıcısında istenen istemci tabanlı kodun çalıştırılabilmesi olarak tanımlanır.[1] XSS açıklıkları bulunduğu yere göre değer kazanır ve stored, reflected ve dom based olmak üzere üç çeşidi bulunmaktadır.


Bir sistemde XSS zaafiyetinin tespiti için, sistemin kullanıcıdan girdi alabileceği yerler tespit edilir. Ardından tespit edilen yerlere veri girişi yapılır. Bu veri web uygulamanın kaynak kodları arasında yerini alıyorsa, payloadlar denenmeye başlanır. Burada anlatılmak istenen Burp suite aracı kullanarak iki farklı örnekle açıklanmıştır.

27 Temmuz 2014

Python Scapy Kütüphanesi Kullanılarak Arpspoof Saldırısı

Posted by: Fırat Celal Erdik 27 Temmuz 2014
Arpspoof yerel ağlarda en çok karşılaşılan saldırılardan bir tanesi olarak göze çarpmaktadır. Kısaca saldırgan hedef bilgisayarın arp tablosundaki kayıtları değiştirirerek ön tanımlı ağ geçidi üzerinden akacak trafiğin kendisi üzerinden akmasını sağlamasıdır. http://en.wikipedia.org/wiki/ARP_spoofing adresinden arpspoof ile ilgili daha fazla bilgi edinilebilir.
Bu saldırının önlemi için yapılabileceklere https://www.bilgiguvenligi.gov.tr/aktif-cihaz-guvenligi/ikinci-katman-saldirilari-1-3.html adresinden göz atılabilir. 

Burada https://github.com/byt3bl33d3r/arpspoof/blob/master/arpspoof.py adresindeki örnek temel alınarak arpspoof saldırını gerçekleştirmek üzere dsniff paketi ile birlikte gelen arpsoof yazılımının parametre kullanımı baz alınarak bir geliştirme gerçekleştirilmiştir. 

Yazılım scapy kütüphanesi kullanılarak geliştirilmiştir. Eğer sistemde yoksa kurulması gerekmektedir. Bu işlem apt-get paket yönetimini kullanan sistemlerde apt-get install python-scapy komutunun çalıştırılması ile gerçekleştirilebilir. Scapy ile ilgili daha fazla bilgi almak için http://www.secdev.org/projects/scapy/ adresine göz atılabilir.

https://github.com/galkan/tools/blob/master/others/programming/python/arpspoof.py adresinden yazılımın en güncel haline erişim sağlanabilmektedir.
Aşağıda gösterilen senaryo sanallaştırma ortamında gerçekleştirilmiştir. Kurban bilgisayarın ön tanımlı ağ geçidi ip adresi 192.168.100.102 olarak belirtilmiştir. Bu durum aşağıdaki şekilde görülmektedir. 
Yazılımın çalıştırılması gösterildiği gibi olmaktadır. Kurban bilgisayar ip adresi olarak 192.168.100.37 belirtilmiştir.
# ./deneme.py -i eth0 -t 192.168.100.37 192.168.100.2
[*] Re-arping network
192.168.4.1
.....
Sent 5 packets.
Saldırı sonrası kurban bilgisayara ait trafiğin sağlıklı bir şekilde iletilebilmesi için linux sistemlerde ip forwarding'in aktive edilmesi gerekmektedir. Bunun için kısaca belirtilen komutun işletilmesi gerekmektedir.
# echo "1" > /proc/sys/net/ipv4/ip_forward

Saldırı öncesi kurban bilgisayar arp tablosu aşağıda gösterildiği gibi olmaktadır.
Saldırıs sonrası kurban bilgisayara ait arp tablosu aşağıda gösterildiği gibi olmaktadır.
 
Görüldüğü gibi saldırı sonrası  kurban bilgisayara ait arp tablosunda ön tanımlı ağ geçidi mac adresi olarak saldırgan bilgisayara ait mac kaydı görülmektedir.
Yazar: Gökhan Alkan

20 Haziran 2014

Hatalı Oturum Yönetimi ve Oturum Sabitleme Zafiyeti

Posted by: Fırat Celal Erdik 20 Haziran 2014
Cookie/session, web uygulamalarında sunucu tarafının, kendisini ziyaret eden kullanıcıları ayırt etmek, yetkilendirmek, mevcut oturumunu belli bir sure tutma, çeşitli bilgileri taşıma veya oturumunu yönetmek gibi sebepler ile geliştirme aşamasında ihtiyaç duyulan web uygulama bileşenleridir. Cookie ve session benzer amaçlar için kullanılan fakat temel bazı farklılıkları olan web uygulama ifadeleridir. Güvenlik açısından genelde tercih edilen session kullanımıdır. 


Cookie bilgisi client tarafında tutulduğu için üzerinde hassas veriler (kullanıcı adı,parola,kredi kart numarası vs.) veya manipule edilmesi mümkün değerler taşınmamasına dikkat edilmelidir. Session kullanımında hassas verilerin tutulması veya bazı kontrollerin yapılması sunucu tarafında yapılmaktadır.

14 Haziran 2014

Karmaşıklaştırılmış (Obfuscated) Javascript Analizi

Posted by: onuralanbel 14 Haziran 2014
Sıklıkla karşılaşılan istismar senaryolarından biri olan HTML dokümanlarında veya PDF dosyalarındaki gömülü Javascipt kodlarını sadece JS bilgisi kullanarak analiz etmek genelde mümkün olmamaktadır. Genelde zararlı JS kodları amaçlarını gizlemek adına obfuscation denilen kodu okunamaz hale getirme yöntemleri uygulanmış olarak bulunur. Bu da kodu tekrar okunabilir hale getirme (deobfuscation) ihtiyacını doğurur.

Yazıda ünlü Blackhole istismar kitinin bir türevini okunabilir hale getirme senaryosu üzerinden JSDetox ve JS-beautify yazılımlarının JS deobfuscation amaçlı kullanımı anlatılmıştır.

14 Mayıs 2014

Echo Mirage Proxy Kullanımı

Posted by: Ozer Goker 14 Mayıs 2014
Echo Mirage genel network proxy uygulamasıdır. Klasik web proxy araçları ile aynı mantıkta çalışmaktadır. Windows uygulamasına ait process seçilerek ilgili uygulamaya ait trafiğin yakalanması mümkündür.  Yerel uygulamaların Network trafiğini araya girerek gönderilen ve alınan verileri gözlemek ve değiştirebilmek için DLL injection ve hooking tekniğini kullanır.

17 Nisan 2014

Bellek dökümü analizi, gerek zararlı yazılımın sistemde gerçekleştirdiği aktivitelerin sistemden bağımsız çalışan araçlarla incelenmesine imkan vermesinden dolayı, gerekse olay incelemelerinde karşılaşıldığı gibi elde zararlının kendisinin değil de bulaştığı sistemin bulunması durumunda analiz imkanı tanımasından dolayı önemli bir zararlı yazılım analiz yöntemi olarak değerlendirilmektedir. Yazıda, örnek sisteme bulaşmış zararlının bellek analizi ile tespit edilmesi senaryosu ele alınmıştır.

Makalelerin kötüye kullanım kullanıcının sorumluluğundadır. | networkpentest.net. Powered by Blogger.