24 Ocak 2015

Sızma testlerinde elde edilen parola özetlerinin tipinin belirlenmesinde kullanılacak olan HashTag.py aracı, farklı şifre hash değerlerini kendi türüne göre ayıran ve tanımlayan Python ile yazılmış bir araçtır. 250 ve üzeri hash değerini desteklemektedir. HashTag, hash değerlerini direk okumanın yanı sıra dosya üzerinden de hash değerlerini okuyabilmektedir.
Aracı kaynak kodlarını görüntülemek  için burayı ziyaret edebilirsiniz. Eğer aracı online olarak kullanmak isterseniz bu adresten ulaşabilirsiniz.

31 Aralık 2014

Tek port Üzerinden Multi Servis Kullanımı

Posted by: Osman Cihat IŞIK 31 Aralık 2014
Elinizde kullanılabilir tek bir ip adresi var ve bu ip adresi üzerinde aynı portu kullanan birden fazla uygulama kullanmak istiyorsanız tek portta protokol başlık bilgisine göre paketleri ayırtedebilen bir yazılım kullanmak sorunu çözecektir. SSHL bu amaçla geliştirilmiş bir yazılımdır.  SSHL belittiğiniz bir portu dinler  ve bu porta gelen bağlantı isteklerini inceleyerek isteğin hangi protokole ait olduğunu tespit ettikten sonra bağlantıyı ilgili servise yönlendirme işlemini gerçekleştirir.

21 Aralık 2014

Ağ trafiği analizi, zararlı yazılım analizinin önemli bir bölümüdür. Günümüz zararlılarının komuta merkeziyle şifreli iletişim kurma eğilimi düşünüldüğünde bu trafiği şifresiz olarak elde edebilmenin gerekliliği de anlaşılmaktadır. Yazıda SSL kullanan bir zararlının trafiğinin nasıl analiz edilebileceği komuta merkeziyle HTTPS kullanarak iletişim kuran zararlı örneği üzerinden anlatılmıştır.

Kullanılan Araçlar:
  1. Burp Suite
  2. iptables
  3. Wireshark
  4. msfpayload

12 Aralık 2014

TLS’in heartbeat eklentisindeki bir programlama hatasından kaynaklanan sorun sayesinde internete açık zafiyet içeren OpenSSL sürümünü kullanan herhangi bir sistemin belleğindeki bilgiler 64 kbyte’lık bölümler halinde alınabilmektedir. Açık, internet üzerinden herhangi yetki gerektirmeksizin tcp 443. porttan kurulan bağlantılar üzerinden(başka portlarda çalışan TLS destekli protokollerde dahil) şifrelemede kullanılan private key’lerin, kullanıcı adı ve şifrelerin, cookie’lerin ve benzer her türlü hassas verinin alınabilmesine olanak sağlamaktadır. 

20 Kasım 2014

Bash 'Shellshock' Güvenlik Açıklığı İstismar Yöntemleri

Posted by: Osman Cihat IŞIK 20 Kasım 2014
CGI(Common Gateway Interface) web sayfaları ve web uygulamalarına dinamik içerik üretmek için kullanılan standart bir yöntemdir. Bu yöntem sistem üzerinde bash komutlarının çalıştırılabilmesine de olanak sağlamaktadır. Bash kabuğu üzerinde farkedilen bir güvenlik açığı sayesinde ise bu avantajlı durum bir anda atak vektörü haline gelmiştir.


Bu blog yazsısında, hedef sistem üzerinde /cgi-bin/ klasörü altında bulunan dosyalar üzerinden bu açıklığın nasıl istismar edilebileceği uygulamalı olarak anlatılacaktır. Yapılan uygulamalar http://vulnhub.com/entry/pentester-lab-cve-2014-6271-shellshock,104/ adresinde bulunan bu zafiyete özel olarak hazırlanmış dağıtım üzerinden gerçekleştirilecektir.

26 Ekim 2014

Medusa ile kaba kuvvet saldırıları

Posted by: Fırat Celal Erdik 26 Ekim 2014
Sızma testlerinde sürekli ihtiyaç duyulan kaba kuvvet saldırıları için kullanılacak bir çok araç (medusa,hydra,bruter,metasploit aux modüleri vs.)mevcuttur. Biz bu yazıda medusa kullanımına ve farklı servisler üzerinden istenilen kullanıcı hesaplarının nasıl deneyebileceğimizi göstereceğiz.

Örnek olarak, dosyadan istenilen kullanıcı adlarını ve parolalarını okuyup HTTP servisi (TCP/80) üzerinde bruteforce yapıp(kullanıcı adını boş ve kullanıcı adını parola olarak da deneyip(-e ns)) başarılı bulgularını sonuc.txt dosyasına yazan ve bunu eşzamanlı 10 istek(-t 10) göndererek yapan medusa komutu:

27 Ağustos 2014

Kablosuz ağlar, yaygın kullanım alanları ve genelde çok güvenli olmayan yapıları nedeniyle saldırganların hedefi olmaktadır. Bu saldırılar hedef ağın kaynaklarını kullanmak veya zararlı  aktiviteler için hedef şaşırtmak amaçlarıyla yapılabileceği gibi ağdaki servis ya da kullanıcılara yönelik saldırıların da ilk adımını oluşturabilirler. 

Bu yazının amacı kablosuz ağ kullanıcılarına yönelik ya da kullanıcılar üzerinden gerçekleştirilecek saldırı yöntemlerini incelemektir.

18 Ağustos 2014

Burp Suite Kullanarak XSS (Cross Site Scripting) Zafiyet Tespiti

Posted by: Huzeyfe ONAL (BGA) 18 Ağustos 2014
Cross site scripting (XSS), web güvenlik açığı. HTML kodlarının arasına istemci tabanlı kod gömülmesi yoluyla kullanıcının tarayıcısında istenen istemci tabanlı kodun çalıştırılabilmesi olarak tanımlanır.[1] XSS açıklıkları bulunduğu yere göre değer kazanır ve stored, reflected ve dom based olmak üzere üç çeşidi bulunmaktadır.


Bir sistemde XSS zaafiyetinin tespiti için, sistemin kullanıcıdan girdi alabileceği yerler tespit edilir. Ardından tespit edilen yerlere veri girişi yapılır. Bu veri web uygulamanın kaynak kodları arasında yerini alıyorsa, payloadlar denenmeye başlanır. Burada anlatılmak istenen Burp suite aracı kullanarak iki farklı örnekle açıklanmıştır.

27 Temmuz 2014

Python Scapy Kütüphanesi Kullanılarak Arpspoof Saldırısı

Posted by: Fırat Celal Erdik 27 Temmuz 2014
Arpspoof yerel ağlarda en çok karşılaşılan saldırılardan bir tanesi olarak göze çarpmaktadır. Kısaca saldırgan hedef bilgisayarın arp tablosundaki kayıtları değiştirirerek ön tanımlı ağ geçidi üzerinden akacak trafiğin kendisi üzerinden akmasını sağlamasıdır. http://en.wikipedia.org/wiki/ARP_spoofing adresinden arpspoof ile ilgili daha fazla bilgi edinilebilir.
Bu saldırının önlemi için yapılabileceklere https://www.bilgiguvenligi.gov.tr/aktif-cihaz-guvenligi/ikinci-katman-saldirilari-1-3.html adresinden göz atılabilir. 

Burada https://github.com/byt3bl33d3r/arpspoof/blob/master/arpspoof.py adresindeki örnek temel alınarak arpspoof saldırını gerçekleştirmek üzere dsniff paketi ile birlikte gelen arpsoof yazılımının parametre kullanımı baz alınarak bir geliştirme gerçekleştirilmiştir. 

Yazılım scapy kütüphanesi kullanılarak geliştirilmiştir. Eğer sistemde yoksa kurulması gerekmektedir. Bu işlem apt-get paket yönetimini kullanan sistemlerde apt-get install python-scapy komutunun çalıştırılması ile gerçekleştirilebilir. Scapy ile ilgili daha fazla bilgi almak için http://www.secdev.org/projects/scapy/ adresine göz atılabilir.

https://github.com/galkan/tools/blob/master/others/programming/python/arpspoof.py adresinden yazılımın en güncel haline erişim sağlanabilmektedir.
Aşağıda gösterilen senaryo sanallaştırma ortamında gerçekleştirilmiştir. Kurban bilgisayarın ön tanımlı ağ geçidi ip adresi 192.168.100.102 olarak belirtilmiştir. Bu durum aşağıdaki şekilde görülmektedir. 
Yazılımın çalıştırılması gösterildiği gibi olmaktadır. Kurban bilgisayar ip adresi olarak 192.168.100.37 belirtilmiştir.
# ./deneme.py -i eth0 -t 192.168.100.37 192.168.100.2
[*] Re-arping network
192.168.4.1
.....
Sent 5 packets.
Saldırı sonrası kurban bilgisayara ait trafiğin sağlıklı bir şekilde iletilebilmesi için linux sistemlerde ip forwarding'in aktive edilmesi gerekmektedir. Bunun için kısaca belirtilen komutun işletilmesi gerekmektedir.
# echo "1" > /proc/sys/net/ipv4/ip_forward

Saldırı öncesi kurban bilgisayar arp tablosu aşağıda gösterildiği gibi olmaktadır.
Saldırıs sonrası kurban bilgisayara ait arp tablosu aşağıda gösterildiği gibi olmaktadır.
 
Görüldüğü gibi saldırı sonrası  kurban bilgisayara ait arp tablosunda ön tanımlı ağ geçidi mac adresi olarak saldırgan bilgisayara ait mac kaydı görülmektedir.
Yazar: Gökhan Alkan

20 Haziran 2014

Hatalı Oturum Yönetimi ve Oturum Sabitleme Zafiyeti

Posted by: Fırat Celal Erdik 20 Haziran 2014
Cookie/session, web uygulamalarında sunucu tarafının, kendisini ziyaret eden kullanıcıları ayırt etmek, yetkilendirmek, mevcut oturumunu belli bir sure tutma, çeşitli bilgileri taşıma veya oturumunu yönetmek gibi sebepler ile geliştirme aşamasında ihtiyaç duyulan web uygulama bileşenleridir. Cookie ve session benzer amaçlar için kullanılan fakat temel bazı farklılıkları olan web uygulama ifadeleridir. Güvenlik açısından genelde tercih edilen session kullanımıdır. 


Cookie bilgisi client tarafında tutulduğu için üzerinde hassas veriler (kullanıcı adı,parola,kredi kart numarası vs.) veya manipule edilmesi mümkün değerler taşınmamasına dikkat edilmelidir. Session kullanımında hassas verilerin tutulması veya bazı kontrollerin yapılması sunucu tarafında yapılmaktadır.

14 Haziran 2014

Karmaşıklaştırılmış (Obfuscated) Javascript Analizi

Posted by: onuralanbel 14 Haziran 2014
Sıklıkla karşılaşılan istismar senaryolarından biri olan HTML dokümanlarında veya PDF dosyalarındaki gömülü Javascipt kodlarını sadece JS bilgisi kullanarak analiz etmek genelde mümkün olmamaktadır. Genelde zararlı JS kodları amaçlarını gizlemek adına obfuscation denilen kodu okunamaz hale getirme yöntemleri uygulanmış olarak bulunur. Bu da kodu tekrar okunabilir hale getirme (deobfuscation) ihtiyacını doğurur.

Yazıda ünlü Blackhole istismar kitinin bir türevini okunabilir hale getirme senaryosu üzerinden JSDetox ve JS-beautify yazılımlarının JS deobfuscation amaçlı kullanımı anlatılmıştır.

14 Mayıs 2014

Echo Mirage Proxy Kullanımı

Posted by: Ozer Goker 14 Mayıs 2014
Echo Mirage genel network proxy uygulamasıdır. Klasik web proxy araçları ile aynı mantıkta çalışmaktadır. Windows uygulamasına ait process seçilerek ilgili uygulamaya ait trafiğin yakalanması mümkündür.  Yerel uygulamaların Network trafiğini araya girerek gönderilen ve alınan verileri gözlemek ve değiştirebilmek için DLL injection ve hooking tekniğini kullanır.

17 Nisan 2014

Bellek dökümü analizi, gerek zararlı yazılımın sistemde gerçekleştirdiği aktivitelerin sistemden bağımsız çalışan araçlarla incelenmesine imkan vermesinden dolayı, gerekse olay incelemelerinde karşılaşıldığı gibi elde zararlının kendisinin değil de bulaştığı sistemin bulunması durumunda analiz imkanı tanımasından dolayı önemli bir zararlı yazılım analiz yöntemi olarak değerlendirilmektedir. Yazıda, örnek sisteme bulaşmış zararlının bellek analizi ile tespit edilmesi senaryosu ele alınmıştır.

7 Nisan 2014

Bu yazımızdaki temel amaç temel seviyede dinamik analiz yöntemleri kullanarak zararlı yazılımı analiz etmek.Lab seneryomuz; çalışmadan önce dosya adını kontrol eden, bağlantı kuracağı adresi çalışma anında dinamik olarak oluşturan bir zararlıyı debugger kullanarak analiz etme

28 Mart 2014

IXIA ile Yük ve Stres Testi

Posted by: Ahmet YURTTAŞ 28 Mart 2014

IXIA ile yük ve stres testi yapılabileceği gibi penetrasyon testler esnasında hedef sistemlerin Denial of Services saldırılarına karşı yeterince önlem alınıp alınmadığının testlerinde de kullanılmaktadır. Sisteminizde bulunan cihazların karşılayabileceği yükü öğrenmenin birçok yolu var. IXIA Server ile bu işlemi yapmak bu seçeneklerden bir tanesidir. IXIA, trafik generate eden yüksek persormanslı bir server'dır. Http post/get flood saldırıları başta olmak üzere hemen hemen tüm flood saldırı yöntemlerini desteklemektedir.  Detaylar için http://www.ixiacom.com/ linkine tıklayabilirsiniz. 
   Aşağıda yapmış olduğum yük testlerinden birinin topolojisi bulunmaktadır. Http get isteğiyle LB ve Server'lar için yük testi yapılmıştır.


Topoloji'den Sonra biraz LB üzerindeki konfigürasyonlardan bahsedip, IXIA'ya geçeceğiz. 

    Topolojide F5 LB üzerinde vCMP ile ayrılmış Guestler bulunmaktadır. Bu guestler şasiler arasında yedekli çalışmaktadır. HTTP Guest içerisinde oluşturulmuş Test_VS altında aşağıdaki şekilde ve topolojide görüldüğü gibi 3 adet sunucu bulunmaktadır.


 Bu sunucular üzerinde IIS'ler aktif edilmiş ve bu server'lara 172.30.10.101/test.htm şeklinde istekte bulunulduğunda cevap olarak OK1 dönmektedir. Bu üç sunucu VS arkasına alındıktan sonra IXIA tarafında gerekli çalışmalar başlatılır.

  • IXIA sunucusunun managemet portu ayarlanır
  • Sunucu portları (basılacak trafik bouyuna göre port sayısı arttırılmalıdır) switch'e bağlanır ve switch üzerinde gerekli vlan ayarları yapılır. Örnekte VS IP'si 172.30.20.55 ve VLAN ID'si 20 olduğu için portlar VLAN 20'ye atanmıştır.
  • IXIA Client'ı olan IxLoad, Windows 7'de sorun çıkarabilen bir uygulamadır. Bu nedenle başka bir Win2003 sunucusu üzerinde SQL2005 ile birlikte kurulur. (Önce IxLoad kurulur)
  • Kurulumdan sonra karşınıza aşağıdaki gibi bir ekran çıkacaktır. 

  • New Traffic Flow sekmesinde aşağıdaki gibi bir NetTraffic üretilir.

                    
  • Oluştulan NetTraffic altında, IXIA Sunucusu Client rolünde olacağı için HTTP Client seçilir.

  • Oluşan HTTPClient1 altında Start üzerinde sağ tık>Add Commands yapılır ve isteğimiz get olacağı için get seçilir. Bu adımdan sonra yapacağımız istek bu kısma girilecektir.
  • Test yapılacak IP ve istek sayfası aşağıdaki gibi yazılır.
  • Yukarıdaki şekilde 172.30.20.55 IP'si LB üzerinde oluşturduğumuz Virtaul Server IP'sidir. test.htm ise serverların bu IP'ye yapılan requestlere döndüğü cevaptır. Server'lar üzerindeki IIS'lerde test.htm şeklinde bir dosya bulunmaktadır.
  • Yapılacak istek settings sekmesinden HTTP 1.1 ve maximum secilir.
                                 
  • Şimdi gelelim daha önceden Switch portlarına taktığımız IXIA sunucusunun portlarına.(Yapılan testte 4 adet fiziksel port bağlanmıştır) Bu portların VS'e yapacağı requestler için aynı bloktan veya GW li IP vermek gerekecektir. Bu işlem, aşağıdaki menüden yapılır.

  • Traffic@Network1>Network tıklanarak şeklin altındaki menü aktif edilir. Bu menüde istek yapılacak başlangıç IP'si (3), bu IP'lerin artış şekli(4) ve kaç client yani IP bulunacağı(5) belirlenir.
  • Şimdi sıra IXIA sunucusu üzerindeki porları aktif etmeye. Aşağıdaki şekildeki gibi port

assestment kısmında 2 nolu kutu tıklanır. Burada karşımıza Chasis Name sorulacaktır. Buraya şasi IXIA Sunucu şasi management IP girilir. Bu işlemden sonra 3 nolu bölümde olduğu gibi karşımıza sunucunun portları çıkacaktır. Burada yeşil portlar aktif olan portlardır. Bu portlara çift tıklanarak sağdaki Assigned Ports kısmına atanır.

  • Biraz sabır. Teste başlamamıza çok az kaldı. Bu işlemler tamamlandıktan sonra connectin per sec, kaç sn test yapılacağı gibi adımlar kaldı. Hadi birde bunlara göz atalım.    
  • Timeline and Objective menüsünden istenilen connection per sec sayısı ve süreleri girilir. Örnekte 10.000 Connection 30 sn süre ile sunuculardan 1 iteresyon ile istek gönderecektir. Play butonu ile test başlayacaktır. 
  • Aşağıda daha önceden yapılmış bir testin sonuçları paylaşılmıştır.
    Bu sonuca göre test boyunca 1.76M request gönderilmiştir ve bu requestlerin 115 tanesi başarısız olarak dönmüştür. 

    Reporter menüsünden Generate Report menüsünde otomatik olarak test sonuçları ile ilgili pdf formatında bir rapor hazırlanacaktır.

    Yukarıda http get isteğiyle tamamlanmış bir test bulunmaktadır.



    Ahmet Yurttaş <[email protected]>
    Makalelerin kötüye kullanım kullanıcının sorumluluğundadır. | networkpentest.net. Powered by Blogger.