26 Mayıs 2016 Perşembe

Zombie Makine Üzerinden Hedefe Yönelik Tarama ve Bilgi Toplama

Saldırganlar kurban olarak gördüğü hedefe yönelik saldırı yapmak, zarar vermek ve bilgi toplamak gibi amaçlarını yerine getirmek için bir çok yöntemi uygulamaktadır.

İlk adım olarak da hedef hakkında bilgi toplama yöntemini söyleyebiliriz. Bilgi toplama işlemini yerine getirmek için hedefe yönelik taramalar yapılır. İşte bu tarama yöntemlerinden biri olan ve en popüler olan Nmap taramasının tarama türlerinden biri de IdleScan dir.

IdleScan : Hedef makineye yönelik yapılan tarama esnasında, taramayı başlatan kaynak makinenin (saldırganın) aktif rol oynamadığı tarama türüdür. Kaynak makine "Zombie" olarak adlandırdığımız makineler üzerinden kurbana - hedef makineye yönelik tarama gerçekleştirir ve bilgi toplamaya çalışır. Yapmış olduğu tarama esnasında Wireshark gibi network sniffer araçlarıyla gözlem yapıldığında paketlerin saldırgan makineden değil Zombie makineden Hedef Makineye gittiği bilgisi gözlemlenebilir.

IdleScan Tarama Komutu:  nmap -sI [Zombie Makinenin IP si] [Hedef-Kurban Makinenin IP si]

Aşağıdaki resimlerde uygulamanın resimlerine ulaşabilirsiniz. Yapılan uygulama sanal makineler üzerinden yapılmıştır.

1.) Saldırgan ilk adım olarak kendi IP sini ve networkteki PC lerin IPsini öğrenmek için ifconfig ve nbtscan komutlarını kullanmaktadır. Uygulama tek bir pc üzerindeki sanal makineler ile yapıldığı için nbtscan  taraması yapıldı.

Saldırganın IP: 192.168.150.136
Kurban PC IP: 192.168.150.128
Zombie PC IP: 192.168.150.130


3) Tarama sonucunu beklerken Wireshark üzerinden yapmış olunan network sniffte taramanın Zombie makinenin IP si üzerinden Hedef Makineye yapıldığı bilgisine ulaşılabilinir.


nmap.org adresinde IdleScan taramasını aşağıdaki şekilde göstermiştir.

      the attacker(Saldırgan)
     the zombie(Zombie Makine)
     the target(hedef-kurban)

1) Hedefin portu açıksa;


2) Hedefin portu kapalı ise;






3) Hedefin portu filtreli ise;




[1] https://nmap.org/book/idlescan.html

siberhat@gmail.com

18 Şubat 2016 Perşembe

HTTP Status Code ve Anlamları

Web sitelerine girdiğimizde hatalarla karşılaşabiliyoruz. 
En yaygın karşılaştığımız ise 404 Not Found. 
Peki nedir bu hata dediğimiz aslında HTTP Durum Kodları olan sayılar ve ne anlama gelmektedir ?




Client bir servera HTTP kullanarak ulaşmaya çalıştığında server yanıtın durumunu belirten bir sayısal kod gönderir. Bazı durumlarda  HTTP durum kodu (HTTP Status Code) istemcinin tarayıcısında da gösterilerbilir Örn: 200, 301, 302, 404 ve 500 kodları en yaygın olanlardır.
Durum kodları 1'den 5'e kadar sınıflandırılmıştır;

1xx      Bilgi
2xx     Başarı
3xx     Yönlendirme
4xx     Tarayıcı Hatası
5xx     Sunucu Hatası

200 Kodu

200 kodu sitenin çalışır durumda olduğunu Google Botlarına bildirir, Google Botu da bu şekilde sitenin ayakta olduğunu anlayıp indexleme işlemine devam eder.

301 Kodu

301 kodu en önemli yönlendirme kodlarından bir tanesidir. Eticaret sitenizi 5 sene önce açtınız, sonra yapı değişikliğine veya kullandığınız hazır paketi değiştirme yoluna gittiniz. İşte bu durumda 301 kodu sitenizin hayatını kurtaran bir kod olarak karşınıza çıkar. Çünkü yıllardır emek verdiğiniz sayfaların sayfa adresleri (Url’leri) de bu değişiklik ile değişecektir. Google indexleme mekanizmasını sayfa adresleri üzerine kurduğundan yaptığınız değişikliği Google botlarına 301 ile bildirmediğiniz sürece eski sayfa adresleriniz ve yeni sayfa adresleriniz olmak üzere Google’da indexli sayfalarınız oluşur.
Bu durum kopya içerik (duplicate content) sorununa neden olacak ve kısa zaman içerisinde
Google’dan gelen trafiğiniz dörtte biri veya daha fazla oranda düşecek, eski sıralamalarınız gidecek, satışlarınız düşecek. Yazının bu kısmı biraz olumsuz oldu ama maalesef en sonunda bunlarla karşılaşacaksınız.
Fakat 301 kodunu doğru kullanırsanız eski sıralamalarınızın yeni sayfa adreslerine geçmesini sağlayabilir, trafik kaybını engelleyebilirsiniz. Burada da en önemli nokta 301 yaparken eski sayfa adreslerinizi birebir yeni adreslerinize yönlendirmeniz gerektiğidir. Yani example.com/id-55544 sayfasının yeni adı example.com/cep-telefonu ise ilk sayfa adresini ikinci adrese 301 ile yönlendirmeniz gerekmektedir. Bütün site için bu yapıyı kurmanız gerekmektedir.
301 server üzerinde yapılması gerekir, bu açıdan yazılımcınız ve server’a bakan ekibiniz size yardımcı olabilecektir. 301’in kısa tanımı kalıcı yönlendirmedir, bunu da eklemeden geçmeyeyim.

302 Kodu

302 kodu ise geçici yönlendirme çeşidi olarak bilinir. Eğer bir sayfa adresini arama motorunda göstermek isteyip kullanıcının eriştiği yerde başka adres kullanmak istiyorsanız bu yöntemi kullanabilirsiniz.
Örn: example.com/sayfa/id4444/reklam diye url’iniz mevcut ama TV reklamlarınızda example.com/reklam url’ini kullanıyorsanız ve ikinci url’e giren kişilere 1. url’e geçici yönlendirmek istiyorsanız 302 kullanabilirsiniz.
302 yönlendirme şekli verimsiz bir yönlendirme şeklidir aslında, arama sonuçlarında hiçbir şeyi değiştirmez. Genelde yapılan hata 301 yerine 302 yapılmasıdır. 302 geçici yönlendirme olduğundan yönlendirilen url arama sonuçlarında çıkmaya devam eder.
Sonunda da siz “iyi de biz bu url’i değiştirdik, yönlendirme de oluyor. Neden Google’da sonucum değişmiyor?” diyorsanız yönlendirme kodunuzu mutlaka kontrol edin.

404 Kodu
404 kodu Google Botlarına sayfanın artık var olmadığını bildirir. Böylece Google Botları o sayfayı indexlerinden siler bir daha arama sonuçlarında getirmemeye çalışırlar.
Fakat yine yapılan hatalar şöyledir;
1- Sayfayı kapatırsınız çok güzel bir 404 sayfası yaparsınız ama sayfada 404 yazıyor olması demek 404 verdiği anlamına gelmez. Mutlaka durum kodunun doğru olup olmadığını kontrol etmeniz gerekmektedir. Yine yukarıdaki gibi sayfamı kapattım ama Google’dan neden silinmiyor diyebilirsiniz. İşte asıl nedeni sayfanın Google botuna 404 kodunu göndermiyor olmasındandır.
2- Bir sayfayı kapatırsınız direkt 404 vermek yerine 302 ile başka sayfaya yönlendirir ve o sayfa 404 verir. Bu kullanım yanlıştır, mutlaka hatalı olan sayfa direkt 404 kodu vermelidir.

503 Kodu

503 kodu çok ihtiyaç olan ama kullanılmayan bir kod çeşididir. Sitenizde çalışma yaptığınız varsayalım ve komple sitenizi kapattığınızı, hiç kimsenin ulaşamadığını düşünelim. İşte bu durumda Google botlarının sitenize gelip hayal kırıklığı yaşamasını istemezsiniz sanırım.
Bu noktada sayfanızın durum kodu 503 olursa Google botu sitenizde çalışma olduğunu anlayıp geri gider, siteniz açıldığında yine sitenizi indexlemeye devam eder. Bu süreçte hiç kayıp yaşamazsınız.
Peki bu durum kodlarını nasıl sorgulayabilirsiniz ?
3- http://home.snafu.de/tilman/xenulink.html Bu araçla da sitenizin bütün url’lerini tarayıp hatalarını çıkartabilirsiniz.

CodeMesajAnlamı
1xx

Bilgi

100Continueİstek başarılı alındığı ve devam edilebileceği belirtilir
101Switching ProtocolsSunucu, istemciden aldığı protokol değiştirme isteğine uyacağını belirtmektedir
102Processingİşlem
2xx

Başarı

200OKİstek başarılı alınmış ve cevap başarılı verilmiştir
201Createdİstek başarılı olmuş ve sunucuda yeni bir kaynak yaratılmıştır
202AcceptedSunucu isteği kabul etti ancak henüz işlemedi
203Non-Authoritative Information Sunucu isteği başarılı işledi, ancak başka kaynakta olabilecek bilgi döndürmektedir
204No Contentİçerik Yok (İstek başarılı alınmış ancak geri içerik döndürülmemektedir)
205Reset Contentİstek başarılı alınmış ancak geri içerik döndürülmemektedir. Ancak içerik temizlenecektir (örneğin bir web formunda doldurulan bilgiler)
206Partial ContentGET için kısmi içerik (içeriğin bir belirli bir parçası) başarılıyla döndürülmüştür
207Multi-StatusÇok-Statü
210Content DifferentFarklı İçerik
3xx

Yönlendirme

300Multiple ChoicesSunucuda isteğe göre birden fazla seçenek olduğunu bildirir. Sunucu seçeneği kendisi seçebilir veya seçenek listesini görüntüleyebilir
301Moved PermanentlyBir kaynağın (veya sayfanın) kalıcı olarak başka bir yere taşındığını bildirir ve o yere yönlendirme sağlar
302Moved TemporarilyBir kaynağın (veya sayfanın) kalıcı değil geçici olarak başka bir kaynağa yönlendirir. Kaynağın ana adresi değişmemiştir
303See OtherFarklı bir kayanağa GET yapılması gerektiğini belirtir
304Not Modifiedİstenilen kaynakta daha önce yapılan istekten beri herhangi bir değişikliğin olmadı belirtilir ve içerik gönderilmez
305Use ProxySunucu tarafından döndürülen proxy'in kullanılması gerektiği belirtilir
307Temporary RedirectBir kaynağın (veya sayfanın) kalıcı değil geçici olarak başka bir kaynağa yönlendirir.
4xx

İstemci hatası

400Bad Requestİstek hatalı (isteğin yapısı hatalı) olduğu belirtilir
401Unauthorizedİstek için kimlik doğrulaması gerekiyor
402Payment RequiredÖdeme gerekiyor. (gelecekte kullanılması için ayrılmıştır)
403Forbidden Kaynağın yasaklandığını belirtir
404Not Foundİstek yapılan kaynağın (veya sayfanın) bulunamadığını belirtir
405İzin verilmeyen MetodSunucu , HTTP Method'u kabul etmiyor
406Not Acceptableİstemcinin Accept header'ında verilen özellik karşılanamıyor
407Proxy Sunucuda login olmak gerekliProxy üzerinden yetkilendirme gerekir
408İstek zaman aşamına uğradıİstek zaman aşımına uğradı (belirli bir sürede istek tamamlanamadı)
409Conflictİstek içinde çelişki var
410GoneKaynak artık yok
411Length Requiredİstekte "Content-Length" (içeriğin boyutu) belirtilmemiş
412Precondition FailedSunucu istekte belirtilen bazı önkoşulları karşılamıyor
413Request Entity Too Largeİsteğin boyutu çok büyük olduğu için işlenemedi
414Request-URI Too LongURI (URL) fazla büyük
415Unsupported Media Typeİstenilen kaynak istenilen medya tipinin desteklemiyor
416Requested range unsatifiableİstek yapılan parça (bir dosyanın bir parçası vb..) sunucu tarafından verilebiliyor veya uygun değil
417Expectation failedSunucu "Expect" ile istenileni desteklemiyor veya yerine getiremiyor
422Unprocessable entity
423Locked
424Method failure
5xx

Sunucu hatası

500Internal Server ErrorSunucuda bir hata oluştu ve istek karşılanamadı
501Uygulanmamış Sunucu istenilen isteği yerine getirecek şekilde yapılandırılmamıştır
502Geçersiz Ağ GeçidiGateway veya Proxy sunucusu, kaynağın bulunduğu sunucudan (upstream sunucusu) cevap alamıyor
503Hizmet YokSunucu şu anda hizmet vermiyor (kapalı veya erişilemiyor)
504Gateway TimeoutGateway veya Proxy sunucusu, kaynağın bulunduğu sunucudan (upstream sunucusu) belirli bir zaman içinde cevap alamadı
505HTTP Version not supportedHTTP Protokol versiyonu desteklenmiyor
507Insufficient storage 

[1] http://www.mesutmurt.com/12727-HTTP-durum-kodlari-HTTP-Status-Code-ve-anlamlari.html
[2] http://eticaretmag.com/http-durum-kodlari/
[3] https://tr.wikipedia.org/wiki/HTTP_durum_kodları
[4] http://www.fibiler.com/Bilim-ve-Teknoloji_Uygulamali-Bilimler-ve-Teknoloji_Bilgisayar-ve-Iletisim_Ag-Internet_HTTP-Protokolu_HTTP-Durum-Kodlari-Status-Codes_HTTP-Durum-Kodlari-HTTP-Status-Codes_Veri_12827

10 Şubat 2016 Çarşamba

Non-Interactive Shell den Interactive Shell e Geçiş

Sızma Testlerinde hedef üzerindeki zafiyetleri tespit ettikten sonra zafiyete yapılan exploit sonrasında elde ettiğimiz shell bazen non-interactive shell olabilmektedir.

Örneğin; Üzerinde bir çok zafiyet barındıran Metasploitable ın DistCC Daemon Command Execution zafiyetine yönelik exploit işlemlerini gerçekleştiriyoruz.














Resimde de görüldüğü üzere Metasploitable üzerinde shell imize ulaşmış olup non-interactive shell olduğunu görüyoruz.
















Non-interactive Shell den interactive shell e geçebilmemiz için küçük bir python kodu yazmamış yeterli olacaktır.

python -c 'import pty; pty.spawn("/bin/sh")'















Python kodunu yazınca interactive shell e geçmiş olduk. Interactive olmayan shell’ler kısıtlıdır. su – root komutu ile root kullanıcısına geçiş yapılmak istenildiğinde, linux bir Password prompt’u vererek root kullanıcısının şifresini isteyecektir. Bu tür promptların interactive olmayan shell’er üzerinden algılanması mümkün değildir.



5 Ocak 2016 Salı

DoS/DDoS Saldırı ve Tespit Araçları

Merhabalar,

Bir önceki yazımda Dos/DDoS, DRDoS, IP Spoofing, Botnet, Zombiler hakkında bilgiler verdim. DDos yapılmış örnekleri, DoS/DDoS hakkında yanlış bilinen bilgileri ve yapılan saldırıların anayasamızda suç sayılan kanun maddelerini aktardım. Bu yazımda ise Dos/DDoS Saldırı ve Tespit Araçları hakkında bilgiler vereceğim.


 1.) SYN Flood ve Tespiti


à İnternet üzerinde kullanılmayan IP adreslerini kullanarak birçok SYN paketi hedef makineye yollanır.
    à Hedef makine, alınan her SYN paketi için kaynak ayırır ve bir onay paketini(SYN-ACK), SYN paketinin geldiği IP adresine yollar.
      à Hedef makine, kullanılmayan IP adresinden yanıt alamayacağı için SYN-ACK paketini defalarca tekrarlar.
        à Saldırgan bu yöntemi üst üste uyguladığında hedef makine ayırdığı kaynaklardan ötürü yeni bir bağlantıyı kaldıramaz duruma gelir ve bu sebepten makineye bağlanılamaz.








*** Syn Floof nasıl anlaşılır?
Terminale " netstat -an -p " tcp komutu çalıştırıldığında ekranda çok fazla sayıda SYN_RECEIVED görülüyorsa Syn Flood saldırısı altındasınız diyebiliriz.







2. LAND Flood Saldırısı



à Saldırganlar (hacker) hedef sistemin IP adresini, source (kaynak) IP adresi olarak kullanarak networkü SYN paketleri ile istila ederler.
   à Bu durumda host bilgisayar sanki paketleri kendi kendine göndermiş gibi görünür.
       à Hem dışarıdan paket almış, hem de kaynak kendisi olduğundan kendisine cevap vermiş olur.
         à Böylece hedef sistem bir paket alması gereken birim zamanda iki paket alır ve saldırının boyutu da iki katına çıkar. 
            à Yani hedef sistem kendi kendine yanıt vermeye çalışırken sistem kullanılamaz duruma gelir.











3. Treadrop Saldırıları


à Bir bilgisayara internet üzerinden gelen paketler, bilgisayarda bölünerek aktarılır.
à Paket verilere ayrıştırılırken, pakette bulunan ofsetler kullanılır.
à Bu ofset bilgilerinin çakışmaması gerekmektedir.
à Teardrop saldırılarında, paketi gönderen saldırgan, pakete üst üste gelecek ofsetler ekler.
à Paketi alan bilgisayar, böyle bir durumu kontrol edebilecek mekanizmaya sahip değilse sistem çöker.



4. Smurf Saldırıları

à Saldırgan hedef bilgisayardan ping isteğinde bulunur.
à Ancak ping paketi, hedef makinenin IP’sinden geliyormuş gibi görünecek şekilde hazırlanmıştır.
à Bu durumda ağ üzerindeki bütün makineler, hedef makineye ping atar.  Hedef makine bu trafiği karşılayamaz ve bağlantı kesilir.











5. UDP Flood Saldırısı


à UDP taşma saldırıları, uzak erişim noktalarındaki rastgele portlara büyük UDP paketleri yollanılarak gerçekleştirilir.
à Burada en önemli nokta, paketlerin sahte IP adresleri üzerinden yollanması gerekliliğidir.
à Dolayısıyla IP Spoofing tekniğinin kullanılmasının zaruri olduğu söylenebilir.
à Örneğin, bu yöntemle taşma saldırısı gerçekleştirildiğinde önemli olan, verinin karşıya ulaşıp ulaşmadığı değil, verinin karşıya ne kadar hızlı aktarıldığıdır.


hping3 Kullanımı


Aşağıdaki örnekte 192.168.150.145 ip adresine rastgele kaynaklardan SYN paketlerinin gönderildiği komut satırı vardır.





Saldırı öncesi Windows Görev Yöneticisindeki Performans Sekmesinden CPU Kullanım grafiklerini incelediğimizde aşağıdaki gibi sonuçlar ekrandadır.



Komut satırındaki hping3 komutumuzu çalıştırdığımızda süreç aşağıdaki görüntüdeki gibi ilerlemektedir;


Çalıştırdığımız komut sonrası hedefe gerçekleşen saldırı ve aşağıdaki ekran görüntüsünde gördüğünüz gibi %82 lere ulaşan bir grafik karşımıza çıkmıştır.



HTTP Flood Araçları



•DosHTTP
Netstress
•Ab
•Skipfish
•Jmeter
•Siege

    AB(ApacheBenchmark)

      POST Flood
#ab –c 100 –p post.txt – T application/x-www-form-urlencoded –n 10000 –r –q websitesi
GET Flood
#ab –c 100 –n 10000  websitesi

NetStress

Netstress Linux sistemler üzerinde çalışmaktadır ve donanıma bağlı olarak kapasitesi değişmektedir. Netstress 4 CPU’lu bir sistemde 5.000.000 SYN paketi(diğer TCP/UDP paketleri de aynı sayıda), 3,5 Gb trafik oluşturabilmektedir.
# ./netstress -d hedef_dns_ip_adresi -P 53 --attack dns -n 3 --buffer 35 --dnsqname dns.txt --dnsqtype A
# ./netstress –t randow –d 192.168.150.131 –a dns –q a –n 2 –P 53

Web Sunucularına Yönelik Saldırı


   Web Sunucularına yönelik yapılacak DDoS saldırı Testi Araçlarından birtanesi de DoSHTTP dir. Target URL kısmına hedefin ip adresini veya url adresini, User Agent kısmına sisteminde uyumlu seçeneği seçip, Socket Sayısını belirleyip, Requests (İstek) sayısını seçtikten sonra Start Flood butonuna basarak testi gerçekleştirebilirsiniz. Teste başlamadan önce hedefinizi doğru girdiğinizi tespit etmek için Verify URL butonuna basabilir ve çıkan ekrandan hedefi teyit edebilirsiniz.

 Macof rastgele mac adresleriyle birlikte switche yapılan saldırıdır.
 Bu mac adresleriyle switch in CAM tablosu dolar ve yeni mac adresleri kaydedilemez.
 Bunun sonucunda switch hub gibi davranmaya başlar ve bütün paketleri bütün portlara  göndermeye başlar.
 Bizde geçen bütün trafiği izleyebiliriz.

Syntax: macof [-i interface] [-s src] [-d dst] [-e tha] [-x sport] [-y dport] [-n times]
-i   interface Specify the interface to send on.
-s   src Specify source IP address.
-d   dst Specify destination IP address.
-e   Specify target hardware address.
-x   sport Specify TCP source port.
-y   dport Specify TCP destination port.
-n   times Specify the number of packets to send.

Macof Saldırı Örneği;






THC-SSL-DOS

Thc-ssl-dos aracı client ile server arasında oluşturduğu trafik ile sunucunun ssl isteklerine cevap verebilme performansını ölçmektedir. SSL/HTTPS servera sürekli istekler gönderir ve cevap veremediği durumda ise servis dışı kalacaktır, sistem “down” gözükecektir.








Kullanımı;
thc-ssl-dos 192.168.1.1 443  - - accept









LOIC Low Orbit Ion Cannon

    
    Diğer bir saldırı test aracımız ise low orbit ion cannon dur. Programı çalıştırdığımızda hedefe ait url adresini "URL" kısmına veya hedefin ip adresini "IP" kısmına yazıp sağ taraftaki "LOCK ON" tuşuna bastığımızda hedefimize yöneldiğimizi SelectedTarget kısmında ip veya URL adresimizi görünce emin oluyoruz. Sonraki adımda hedefe test yapacağımız "Port" numarasını ve "Method" u belirleyip sağ üst köşedeki "IMMA CHARGIN MAH LAZER" butonuna basıp testimizi gerçekleştirebiliriz.















Dos/DDoS Saldırı, Test, Tespit  ve kullanılabilecek birkaç araç hakkında bilgiler vermeye çalıştım. Umarım konu hakkında faydalı bilgiler vermişimdir.

Saygılarımla



siberhat@gmail.com