BT Güvenlik Test

Posts Tagged ‘nasıl yapılır’

Ağ üzerinden pasif veri yedekleme aracı:tcpxtract

tcpxtract Linux/UNIX sistemlerde data carving amaclı kullanılan açık kod bir yazılımdır. Daha çok adli bilişim analiz çalışmalarında kullanılır. Bu yazılımı ağ üzerinde tüm trafiği görecek şekilde konumlandırılıp(SPAN portu, TAP cihazı kullanarak ) trafik içerisinde geçen dosyaların orjinal hallerini diske kaydedebilirsiniz. Mesela şirket ağından dışarıya gönderilen ofis dosyaları, internetten indirilen resim, muzik ve görsel medyaların bir kopyasını almak için tcpxtract kullanılabilir. 

Tcpxtract kullanarak akan trafikten anlık olarak olarak verileri yedekleyebileceği gibi pcap formatında kaydedilmiş(tcpdump, Wireshark vs) paketler içerisinden de orjinal verileri ayıklamak için kullanılabilir.

Tcpxtract ile akan trafikten veri ayıklama

parametre olarak trafiğin geçtiği arabirim verilirse o arabiri üzerinden geçen ve konfigurasyon dosyasında belirtilen tüm dosyalar diske kaydedilir.

# tcpxtract -d eth0
Found file of type “pdf” in session [91.93.119.80:20480 -> 10.2.1.13:7111], exporting to 00000000.pdf


Tcpdump ile kaydedilmis trafik uzerinden veri ayıklama

# tcpdump -i eth0 -s0 tcp port 80 -w file
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
^C634 packets captured
634 packets received by filter
0 packets dropped by kernel

tcpdump ile kaydedilen paketler tcpxtract’a parametre olarak verilirse içeriÄŸinden istenen dosyalar ayıklanabilir

# tcpxtract -f file
Found file of type “pdf” in session [91.93.119.80:20480 -> 10.200.169.163:2979], exporting to 00000000.pdf

Detay bilgi almak ve bu yazılımı denemek isterseniz http://tcpxtract.sourceforge.net/ adresi işinizi görecektir.

Kaynak: http://www.lifeoverip.net/newsletter/sayi01/

Yazılım adı         :Medusa
İndirme adresi    :http://www.foofus.net/?cat=4
İşlevi                : Network servislerine yönelik bruteforce(Kaba kuvvet) testleri
Ortamı              : Linux/UNIX

Güvenlik testlerinin önemli konularından biri de bruteforce parola saldırılardır. Özellikle hedef sistemlerde herhangi bir açık bulunamıyorsa ve dışarıya açık login servisi sunuluyorsa bruteforce saldırıları kaçınılmaz olur.

Network üzerinden yapılan bruteforce denemelerinde en önemli nokta yazılımın paralel denemeler yapabilmesi ve modüler yapıda(çokça sayıda network servisini destekleme) olmasıdır.

Network üzerinden yapılacak brute force denemeleri içi çeÅŸitli yazılımlar var. Bunlardan en günceli ve özellik olarak en zengini Medusa’dır.  Medusa ve diÄŸer bruteforce yazılımlarının güncel karşılaÅŸtırma tablosu için http://foofus.net/jmk/medusa/medusa-compare.html  adresi incelenmelidir.

Medusa Kurulumu

#apt-get install medusa      //Debian/Ubuntu Linux dağıtımları için

sonrasinda hangi parametreleri aldigini ve yardim menusunu goruntulemek için komut satırından medusa yazilir.

root@elmasekeri:~# medusa
Medusa v1.4 [http://www.foofus.net] (C) JoMo-Kun / Foofus Networks <jmk@foofus.net>

….

Medusa’nin moduler yapısı sayesinde bilinen çoÄŸu network servisine yönelik bruteforce denemeleri yapılabilir. Desteklenen modullerin neler oldugunu gormek icin -d parametresi kullanilir.

root@elmasekeri:~# medusa -d
Medusa v1.4 [http://www.foofus.net] (C) JoMo-Kun / Foofus Networks <jmk@foofus.net>

  Available modules in “/usr/lib/medusa/modules” :
    + cvs.mod : Brute force module for CVS sessions : version 1.0.0
    + ftp.mod : Brute force module for FTP/FTPS sessions : version 1.3.0
    + http.mod : Brute force module for HTTP : version 1.3.0
    + imap.mod : Brute force module for IMAP sessions : version 1.1.0
    + mssql.mod : Brute force module for M$-SQL sessions : version 1.1.1
    + mysql.mod : Brute force module for MySQL sessions : version 1.2
    + ncp.mod : Brute force module for NCP sessions : version 1.0.0
    + nntp.mod : Brute force module for NNTP sessions : version 0.9
    + pcanywhere.mod : Brute force module for PcAnywhere sessions : version 1.0.2
    + pop3.mod : Brute force module for POP3 sessions : version 1.1.1

Herhangi bir module ait ek parametreler  dogrudan ekranda gozukmez. Ilgili module ait ek parametreleri ogrenmek için medusa -M modül_ismi -q parametreleri kullanılır.

root@elmasekeri:~#medusa -M web-form -q

Available module options:
  USER-AGENT:?       User-agent value. Default: “I’m not Mozilla, I’m Ming Mong”.
  FORM:?             Target form to request. Default: “/”
  DENY-SIGNAL:?      Authentication failure message. Attempt flagged as successful if text is not present in

Medusa kullanarak SSH brute force denemesi

root@elmasekeri:~# medusa -M ssh -m BANNER:SSH-2.0-MEDUSA -h localhost -u huzeyfe -P wordlist  
Medusa v1.4 [http://www.foofus.net] (C) JoMo-Kun / Foofus Networks <jmk@foofus.net>

ACCOUNT CHECK: [ssh] Host: 127.0.0.1 (1/1) User: huzeyfe (1/1) Password: a (1/26125)
ACCOUNT CHECK: [ssh] Host: 127.0.0.1 (1/1) User: huzeyfe (1/1) Password: aba (2/26125)
ACCOUNT CHECK: [ssh] Host: 127.0.0.1 (1/1) User: huzeyfe (1/1) Password: abaci (3/26125)
ERROR: Failed to retrieve supported authentication modes. Aborting…
ERROR: No supported authentication methods located.
ACCOUNT CHECK: [ssh] Host: 127.0.0.1 (1/1) User: huzeyfe (1/1) Password: abacilik (4/26125)

Kaynak: http://www.lifeoverip.net/newsletter/sayi03/

Yazılım adı         :P0f
İndirme adresi    :http://lcamtuf.coredump.cx/p0f.shtml
İşlevi                : Pasif işletim sistemi  belirleme aracı
Ortamı              : Linux/UNIX/Windows

p0f network üzerinden dinleme yaparak gelip giden paketlerden paketleri gönderen sistemlerin hangi işletim sistemine sahip olduğunu belirlemek için kullanılan bir araçtır. İşletim sistemi yanında hedef sistemin uptime süresi, varsa load balancer firewall gibi ek cihazları da belirleyebilir.

Genellikle işletim sistemi belirleme için Nmap, Nessus, Xprobe gibi araçlar kullanılır, bu araçların ortak özelliği hedef sisteme çeşitli özel paketler göndererek dönen cevaplardan işletim sistemini belirlemektir. Bu tip bir belirleme yönteminde hedef sistem önünde bulunan IDS/IPS gibi sistemlere yakalanma oranı yüksektir. P0f ise hedef sisteme herhangi bir paket göndermeden sadece dinleme modunda işletim sistemi saptama yapar.

[root@vps-fw ~]# p0f
p0f - passive os fingerprinting utility, version 2.0.8
(C) M. Zalewski <lcamtuf@dione.cc>, W. Stearns <wstearns@pobox.com>
p0f: listening (SYN) on ‘rl0′, 262 sigs (14 generic, cksum 0F1F5CA2), rule: ‘all’.
216.9.253.87:33269 - Linux 2.6, seldom 2.4 (older, 4) (NAT!) (up: 1762 hrs)
  -> 10.10.10.2:110 (distance 18, link: GPRS, T1, FreeS/WAN)
189.74.181.188:18221 - Windows 2000 SP2+, XP SP1+ (seldom 98)
  -> 91.93.119.80:25 (distance 13, link: pppoe (DSL))
200.164.86.74:61665 - Windows 2000 SP4, XP SP1+
  -> 91.93.119.80:25 (distance 14, link: ethernet/modem)
122.161.82.83:2453 - Windows 2000 SP4, XP SP1+
  -> 91.93.119.80:25 (distance 15, link: pppoe (DSL))
77.121.0.19:3336 - Windows 2000 SP4, XP SP1+
  -> 91.93.119.80:25 (distance 10, link: ethernet/modem)
115.161.223.153:3058 - Windows XP/2000 (RFC1323+, w+, tstamp+) [GENERIC]
  Signature: [65535:110:1:64:M1460,N,W3,N,N,T0,N,N,S:.:Windows:?]
  -> 91.93.119.80:25 (distance 18, link: ethernet/modem)
91.93.119.80:54291 - UNKNOWN [65535:63:1:48:M1460,S,E:P:?:?]
  -> 208.184.224.88:25 (link: ethernet/modem)
59.184.152.171:3761 - Windows 2000 SP2+, XP SP1+ (seldom 98)
  -> 91.93.119.80:25 (distance 15, link: (Google/AOL))
189.243.35.233:3821 - Windows 2000 SP2+, XP SP1+ (seldom 98)
  -> 91.93.119.80:25 (distance 10, link: pppoe (DSL))
65.55.34.208:45597 - Windows 2000 SP4, XP SP1+
  -> 91.93.119.80:25 (distance 10, link: ethernet/modem)
91.93.119.80:62738 - UNKNOWN [65535:63:1:48:M1460,S,E:P:?:?]
  -> 207.246.196.124:25 (link: ethernet/modem)
91.93.119.80:62928 - UNKNOWN [65535:63:1:60:M1460,N,W3,S,T:.:?:?] (up: 5500 hrs)
  -> 155.223.64.165:25 (link: ethernet/modem)
65.55.90.112:20018 - Windows 2000 SP4, XP SP1+
  -> 91.93.119.80:25 (distance 11, link: ethernet/modem)

^C+++ Exiting on signal 2 +++
[+] Average packet ratio: 190.91 per minute.

#p0f -V  ‘tcp  port 80′

istenirse ” arasında bpf sentaksına  uygun filtreler yazılarak da kullanılabilir.

İşletim sistemine göre firewall kuralı yazma

Packet Filter güvenlik duvarında iÅŸletim sistemine göre kural yazma esnekliÄŸi vardır. Bu özellik p0f’dan esinlenerek yazılmıştır. Ä°ÅŸletim sistemine göre kural yazarak ağınızda bulunan eski tip iÅŸletim sistemlerinin internete çıkışını engelleyebilirsiniz.

Güvenlik duvarıyla birlikte kullanılırken dikkat edilmesi gereken en önemli husus p0f çıktılarının doÄŸruluÄŸudur. Yani Windows 2000 sistemleri yasaklayacağım derken Windows 2003 sistemleri engellemek iÅŸimize gelmez. Bu konuda p0f’un güveenilirliÄŸi %99 üzerinde olsa da kritik sistemlerde engelleme deÄŸil sadece loglama amaçlı kullanılmalıdır.

Aşağıdaki firewalll kuralı işletim sistemi Windows 2000 olan ve SMTP bağlantısı yapmaya çalışan sistemleri bloklamaktadır.

block in on $ext_if proto tcp from any os “Windows 2000″ to $ext_if port 25

Alternatif araçlar: Ettercap, Network Miner

Kaynak: http://www.lifeoverip.net/newsletter/sayi04/

Yazılım adı              :Theharvester
İndirme adresi        :http://www.edge-security.com/theHarvester.php
Kategori                 : Bilgi toplama
Ortam                    :Linux/Windows
İşlevi                     : Google, msn, pgp, linkedin gibi ortamlardan belirli domainlere ait e-postaları bulmak için kullanılan küçük ama faydalı bir scriptdir.

Günümüz siber güvenlik tehditlerinin büyük bir çoğunluğu son kullanıcıları hedef almaktadır. Sunucu sistemler ve ağ sistemlerinde alınan önlemler saldırganları büyük oranda durdurabildiği için hackerlar istemcileri avlayarak onların üzerinden şirket ağlarına sızmayı denemektedirler.

Kullanıcıları avlamanın en kolay yolu da onların e-postalarına çeşitli yem mailler göndererek belirli linklere tıklamalarını sağlamak ya da gönderilen dosyaları açmalarını sağlamak(PDF, Ppt, doc vs)tır. Bundan sonrası hackerin becerilerine ve kullandığı yazılımlara bağlı olarak değişecektir.

Sadece şunu söylemekle yetinelim, tıkladığınız bir link ya da müdürünüzden geliyormuş gibi gözüken bir pdf, ofis dosyasını açmaya çalışmanız bilgisayarınızı bir zombi haline getirebilir, iç ağınıza sızılmasına sebep olabilir. Kullanıcı bilgisayarlarında yüklü olan antivirüs programları bu tip zararlı kodları engellemekte malesef çok yetersiz kalmaktadır.

Risk bu kadar büyük olunca güvenlik testlerinde(penetrasyon testleri) artık istemci testleri önemli yer tutmaya başladı. İstemci testleri yapmanın en temel adımı onlar hakkında bilgi toplamak olacaktır ve bunun ilk adımı da e-posta adreslerinin bulunmasıdır. Bu haftaki yazılımımız olan theharvester tam bu iş için biçilmiş kaftan diyebiliriz. bizim adımıza bir domaine ait e-postaları arama motorları vasıtasıyla bularak raporlar.

Theharvester Kurulumu

# wget http://www.edge-security.com/soft/theHarvesterv1.4b.tar
# tar xvf theHarvesterv1.4b.tar
# cd theHarvesterv1.4

Kullanım

theharvester scriptini kullanmadan önce çalıştırma izni verilmesi gerekmektedir. chmod +x komutuyla çalışma izni verildikten sonra

# chmod +x theHarvester.py

aşağıdaki komutla script çalıştırılabilir.

# ./theHarvester.py

*************************************
*TheHarvester Ver. 1.4b             *
*Coded by Christian Martorella      *
*Edge-Security Research             *
*cmartorella@edge-security.com      *
*************************************Usage: theharvester options

Çıktıdan da görüleceÄŸi gibi theharvester’in kullanımı oldukça basittir. Hangi arama motorunda hangi domaine ait e-postaları bulmak istediÄŸimizi

söylememiz yeterli olacaktır. Burada dikkat edilmesi gereken husus -l parametresi ile belirtilecek limit değeridir. Bu değer arama motorlarından

dönen cevaplardan kaç tanesinde e-posta arama yapılacağını belirler. Bu değeri yüksek tutmak her zaman daha geniş sonuçlar almamız yol açar, aynı

zamanda sonuç alma süresini uzatır.

# ./theHarvester.py -d linux.org.tr  -l 1000 -b google

*************************************
*TheHarvester Ver. 1.4b             *
*Coded by Christian Martorella      *
*Edge-Security Research             *
*cmartorella@edge-security.com      *
*************************************Searching for linux.org.tr in google :
======================================

Kaynak: http://www.lifeoverip.net/newsletter/sayi06/