Kayıtlar

2015 tarihine ait yayınlar gösteriliyor

ARP Spoofing ile Shell Açma - MITMf + FilePwn

Resim
MITMf (Man-In-The-Middle Attack Framework), MITM saldırıları için byt3bl33d3r tarafından geliştirilen bir MITM saldırı aracıdır.
MITMf içerisinde çok sayıda hazır saldırı modülü bulundurmaktadır. Bunun yanında yeni modüllerin geliştirilmesi ve entegrasyonu oldukça kolaydır. Örnek olarak bir kaç modülüne bakacak olursak;
ScreenShotter: Kurbanın browser'ından ekran görüntüsü alır.SSLstrip+: HSTS bypass için kullanılacak modül. Spoof: Spoofing kullanılacak modülleri başlatmak için kullanılır, örnek modüller: ARP, ICMP, DHCP ve DNS spoofing.BeEFAutorun: Kurban'ın browser tipine göre BeEF modüllerini çalıştırır. AppCachePoison: Uygulama cache'lerini zehirler.BrowserProfiler: Kurbanların browser'larında yüklü olan pluginleri gösterir. FilePwn: HTTP üzerinden Backdoor Factory and BDFProxy kullanarak arka kapı yerleştirmemizi sağlar.Inject: HTML içeriğine müdahale etmemizi sağlar. (ör: js veya html kod ekleme) BrowserSniper: Güncellenmemiş browser pluginleri üzerinde drive-b…

ARP Poisoning ile Browser Exploitation - MITMf + BeEF + Metasploit

Resim
ARP Poisoning/Spoofing ile bir network içerisinde çeşitli saldırılar yapılabilir. Örnek olarak aynı ağda bulunduğumuz kurban veya kurbanların trafiğini üstümüze alabiliriz.

Yerel ağ içerisinde makineler birbirleriyle haberleşirken MAC adreslerini kullanırlar. Bu olay OSI modelindeki 2. katman olan Data Link Layer'da gerçekleşmektedir. Ağda bulunan makineler broadcast ile yaydıkları paket sonrası aynı ağda bulunan diğer makinelerin IP-MAC eşleştirmesini yapar. IP-MAC eşleştirmesinin bulunduğu yer ARP (Address Resolution Protocol) tablosudur. Yerel ağda haberleşmek istenilen iki makine arasında kurulacak bağlantı öncesinde ARP tablosundan bakılarak iletişimin kurulacağı IP'ye denk düşen MAC adresi bulunur ve işlemler bu MAC adresi üstünden gerçekleşir.
ARP poisoning saldırısında, seri şekilde gönderilen ARP paketleri ile kurban ve router arasına girilir. Yazıda ARP spoofing ile gerçekleştirilebilecek saldırılardan olan MITM (Man In The Middle – Ortadaki Adam) anlatılacaktır.
Mi…

Anti-Virus Atlatma - Maligno

Resim
Anti-virüs bypass yazı dizisinin başka bir bölümü olan Maligno aracını anlatan yazı ile devam edeceğiz.
Maligno, Encripto tarafından, python diliyle yazılmış ve open-source olarak geliştirilen, Metasploit framework'ün payload/shellcode üretme aracı olan msfvenom'u kullanarak, meterpreter reverse http, https ve https proxy ile beraber pyton meterpreter reverse tcp bağlantılarını sağlayacak olan shellcode'ları üreterek AES ile şifreleyip ayrıca ürettiği python çıktısını obfuscate edip kullanıma hazır hale getirmektedir.
Kurulum

Anti-Virus Atlatma - Shellter Custom Payload

Resim
Bir önceki yazıdaShellter aracının içerisindeki payloadları kullanarak, çalıştırılabilir dosya formatında ki bir dosyaya arka kapı yerleştirmiştik. Oluşturulan bu zararlı yazılımın Virustotal sitesindeki taramasından elde edilen sonuç 1/56 idi. Bu yazıda yine Shellter aracını kullanacağız fakat bu sefer gömülü gelen payloadlar yerine, Metasploit Framework'ün içerisinde bulunan Msfvenom ile üreteceğimiz ve bize meterpreter ile reverse bir TCP bağlantı veren payload kullanacağız.
Msfvenom

Öncelikle Msfvenom kullanarak bir payload üreteceğiz. Msfvenom, Metasploit framework'ün içerisinde bulunan Msfpayload ve Msfencode araçlarının birleşimidir. Üstünde iyileştirmeler ve optimizasyon yapılmıştır, önceki araçlara göre hızlı bir şekilde payload/shellcode üretmektedir. Artık Metasploit içerisinde msfpayload ve msfencode araçları kullanılmamaktadır. Default olarak Msfvenom gelmektedir. Basit bir şekilde, x86/shikata_ga_nai ile 10 iterasyonla encode edilmiş bir payload kullanacağız.

Anti-Virus Atlatma - Shellter

Resim
Anti-virüs bypass yazı dizisinin başka bir bölümü olan Shellter aracını anlatan yazı ile devam edeceğiz.
Shellter, ücretsiz ve multi platform çalışabilen bir anti-virus bypass aracıdır. Genel olarak var olan bir çalıştırılabilir dosyaya zararlı yazılımımızı entegre etmeye yarar. Bu şekilde ürettiğimiz (Metasploit'in msfvenom aracını kullanarak) arka kapıyı, çalıştırılabilir dosya formatı olan exe formatındaki dosyalara Shellter ile enjekte edip kurban makinesinde çalıştırabiliriz.
Kurulum
Anlatılacak olan işlemlerde Kali linux işletim sistemi kullanıldığı için, işlemler linux sistemlere göre anlatılacaktır. Shellter'in download sayfasını incelediğimiz vakit bir kaç alternatif olduğunu görüyoruz.
Zip dosyasını indirmek (Yazım sırasındaki son versiyon v5.1)Linux dağıtımlarının depolarından kurmak (Kali için v3.1)Debian/Arch dağıtımları için hazır paket ile kurmak (Debian için v2.0) 

Anti-Virus Atlatma - Veil-Evasion

Resim
Merhaba, Sızma testleri sırasında test edilecek bazı makinelerde Endpoint security olarak anti-virüs yazılımları kurulu olabilir. Böyle durumlarda bağlantı kurulan/kurulacak makinede meterpreter yada başka bir Metasploit shell'i açmak için anti-virus bypass yazılımları kullanmak gerekebilir. Temel olarak bu tarz yazılımlar kullandıkları çeşitli encoding yöntemleriyle anti-virüslerden gizlenebilmektedirler. Yazımızda işleyeceğimiz araç Veil-evasion'dur. Veil, açık kaynak kodlu olarak geliştirilen bir framework'tür. Biz Veil framework içerisindeki anti-virüs atlatma aracı olan Veil-evasion'u kullanacağız.
Kurulum
Linux üstüne kurulumu için mevcut kodlarının olduğu Github sayfasından (https://github.com/Veil-Framework/Veil-Evasion) indirip setup klasörünün altında bulunan setup.sh scripti ile kurulumu yapabilirsiniz. git clone https://github.com/Veil-Framework/Veil-Evasion.git  cd Veil-Evasion/setup bash setup.sh -s

Türkiye 2015 Kış Saati Uygulaması ve Sunucu Saatlerinin Güncellenmesi

Resim
1 Kasım 2015 günü gerçekleşecek erken Genel Seçimleri nedeniyle Enerji ve Tabii Kaynaklar Bakanlığı’nın kararıyla 25 Ekim 2015’te başlayacak kış saati uygulaması 2 hafta ertelendi. Resmi Gazete’de yayımlanan ilgili kararla birlikte yaz saati uygulaması 8 Kasım 2015 tarihinde sona erecek ve kış saati uygulamasına geçilecek.

Bu sebeple ürünlerimizi koştuğu sunucularda zaman bilgisinin güncellenmesi için aşağıdaki adımların uygulamanması gerekmektedir.

Aşağıdaki komutla tzdata paketini güncelleyebilirsiniz:

sudo apt-get update && sudo apt-get install --only-upgrade tzdata


Güncelledikten sonra saatin değişeceği tarihi aşağıdaki komutla görüntüleyebilirsiniz:

zdump -v 'Asia/Istanbul' |grep 2015

Çıktı şöyle olmalı:




CryptTech.

Log Yönetim Sistemlerinin Veritabanı Sistemleriyle İmtihanı

Resim
Log yönetim sistemleri birçok farklı ürün, platform, uygulama ve sistemle entegre çalışmak zorundadır. Bu kaynaklardan toplayacağı veriyi birçok yöntem ve protokolü destekleyecek şekilde merkezileştirmelidir. Toplanan kayıtları kendi üzerinde bir veritabanı üzerinde ya da noSQL yapıda tutabilmelidir. Veritabanı kullanılıyorsa ilişkisel metotlar yerine alternatif çözümler, indeksli, bölümlemeli yollara başvurması performans açısından avantajdır. Konumuz kayıtları saklama şekli değil, farklı veritabanlarından hangi yöntemlerle ve nasıl log toplandığıdır. Veritabanı yönetim sistemi olarak birçok ürün ve çözüm karşımıza çıkmaktadır. Geliştirdiğimiz uygulamaların arkasında bunlardan bir ya da birkaçına başvururuz.



Logları Ayarlama Enstitüsü

Her sistemin kendine özgü bir log tutma şekli var.
Sistemler üretilirken, o sistemin nasıl log tutacağı,  log tutarken nasıl cümleler kuracağı, o sistemi üreten yazılımcıların keyfine bağlı olarak belirleniyor. Bir kaynak ip değerinin kaç farklı ifadesi olabilir: 

src, src_ip, srcip, sourceip, source_ip  veya karakterden tasarruf edeyim derken ne kadar anlaşılmaz olduğunu anlayamayan, iyice işleri çığırından çıkaran yazılımcı ifadesiyle: sip!
Yazılımcıdan sip kelimesinin başka ne anlama geldiğini bilmesini bekleyemeyiz.
Bir standardın olması lazım. Ortak bir arayüzün olması lazım. Bu programcılara birileri dur demeli!
Programlama dillerinin kütüphanelerinde hazır fonksiyonlar olur. Bu kütüphanelerde sık kullanılan değerlerin ve fonksiyonların en iyi hallerinin tanımları bulunur. Pi sayısı veya sinüs hesaplayan fonksiyon gibi. Bunun bir sebebi her programcının ayrı ayrı pi değeri tanımlamasının veya sinüs fonksiyonu yazmasının önüne geçmek ve ortak bir arayüz oluşturmaktır. Bu ortak arayüz sonucu…

Anti-Virus Atlatma - Msfvenom

Resim
Merhaba,
Anti-virüs bypass işleminin anlatılmasını içerecek olan bu makale, yazı dizisi şeklinde olacaktır. Her makalede farklı bir anti-virüs bypass aracı anlatılacaktır.
İlk olarak, bu makalede, Metasploit'in kendi içerisinde bulunan encode modülleri kullanılacaktır.
Sızma testleri sırasında veya sosyal mühendislik saldırılarında, kurban kişisinin bilgisayarında Metasploit'in ajanı olan meterpreter ile shell alınmak istenebilir. Meterpreter, üstünde çok sayıda post-exploit modülü bulunduran, sızma testleri sırasında işleri oldukça kolaylaştıran bir Metasploit ajanıdır.
Başlangıç olarak Metasploit framework yardımıyla bir arka kapı oluşturacağız. Oluşturulan arka kapı windows makineler için üretilmiştir ve reverse bağlantı ile 5566 portu üzerinden bizimle bağlantı kuracaktır.