Linux'ta Samba ile Dosya/Klasör Paylaşımı

Kurumsal ortamlarda Windows işletim sistemleri üzerinde etkin olarak dosya ve klasör paylaşımları kullanılmaktadır. Bu özellik elbette Linux platformlarında da mevcuttur. Bu blog yazısında bir Linux dağıtımı (Ubuntu) üzerinden klasör paylaşıma açılıp Windows üzerinden klasöre ulaşma hakkında bilgi paylaşımı yapılacaktır.


Öncelikle Linux'a Samba yüklemesi yapacağız. Samba yükleme komutu:
# apt-get install samba

Masaüstünde paylasalim isminde yeni bir klasör oluşturup everyone (read-write) yetkisi verelim:

# cd Desktop
# mkdir -p paylasalim
# chmod 777 paylasalim

Python Simple PhpBug Finder

Merhaba Arkadaşlar,

Farkındayım uzun zamandır bloga yazı yazmıyorum ancak mazeretim var, uzun süredir iş yoğunluğum mevcut. Bu yüzden maalesef pek fırsatım olmuyor..

Bugün yedek alırken eski arşivlere göz attım. Programlamaya yeni başladığım zamanlarda yazdığım birkaç programcığa rastladım :)
Vakti zamanında Python programlama dili ile Linux ortamında çalışıp Linux'un komut gücünü kullanarak PHP scriptler üzerinde basit bir bug bulucu yapmışım :)

Ekran görüntüsü:

Örneğin yukarıdaki çıktıya bakacak olursak;

cat.php dosyasının 5. satırındaki " pageID= $_GET['pid']; " ibaresi potansiyel bir XSS açığının olduğunu söylemektedir.

Programın kodlarını buradan indirebilirsiniz: http://pastebin.com/tUs0w2u7

Umarım yararlı olur, iyi günler.

Xenotix XSS Exploit Framework ile XSS Tespiti

XSS (Cross-site Scripting) Zafiyeti Nedir?

Kaba yorum ile; web uygulamasında açığın meydana geldiği input/inject point (veri girişi) alanına gönderilen kötü niyetli javascript kodlarının, kullanıcının web tarayıcısında çalıştırıldığı bir saldırı türüdür. Yani Client-Side (kullanıcı taraflı) bir saldırıdır.
URL adreslerindeki query stringler ve form alanlarında sıklıkla görülür.
Phishing saldırılarına zemin oluşturur.
Genellikle POST ve GET metotlarının kullanıldığı alanlarda olur.

Çeşitleri:
Reflected (Yansıyan), Stored (Depolanan) ve Dom-based olarak üç çeşittir.

Reflected XSS

Stored XSS

Etkileri:
Yazılım betiklerinin kullanıcı tarafında çalıştırılması sonucunda kullanıcının oturum bilgileri çalınabilir, web tarayıcısı (browser) ele geçirilebilir veya bilgisayarına zararlı kodlar enjekte edilerek ve bilgisayar yönetimi ele geçirilebilir...

XSS Zafiyeti Nasıl Oluşur?

Temel olarak web uygulamada kullanıcının veri girişi yaptığı alanlarda meta-karakterlerin filtrelenmemesinden kaynaklanmaktdır.

XSS Zafiyetine Nasıl Önlem Alınabilir?

• Web uygulamalarında kullanıcının veri girişine izin verilen alanlarda filtreleme yaparak bu açıkları kapatabilirsiniz. Veri girişinin filtrelenmesi kadar veri çıkışının da incelenmesi web uygulamalarının güvenliğini arttıracaktır. Aşağıda belirtilen karakterlerin filtrelenmesi web uygulamaların güvenliğini sağlayacaktır:
  ['],[<],[>],[;],[/],[?],[=],[&],[#],[%],[{],[}],[|],[@],[\],["]Ayrıca bu tür karakterlerin gerektiği ortamlarda, girilen verinin encode edilmesi gerekebilir. NOT: Eğer uygulanabiliyorsa filtrelemelerde BlackList yerine WhiteList kullanılması daha güvenli olacaktır.

• Çerezlerin güvenli hale getirilmesi web uygulamalarının güvenliğini arttırmak adına yapılabilecek en önemli işlemlerdendir. Çerezler içinde kullanıcı adı, şifre ve oturum durumunun saklanmasından kaçınılmalıdır. Eğer tutulması gerekiyorsa şifreli olarak tutulması tercih edilmelidir.
• Çerezlere “httponly” set edilmelidir.

• Donanımsal/Yazılımsal Web Application Firewall (WAF) ile web uygulamasında varolan bir zafiyetin saldırgan tarafından keşfedilme aşamasını zorlaştırıp, loglayıp, bloklayabilirsiniz.

• Belirli periyotlarda içeriden ve dışarıdan web uygulama güvenlik testleri (penetrasyon testi) yaptırarak güvenlik açıklarının keşfi ve önlem alınması sisteminizi daha güvenli kılacaktır.

PHP Scriptlerde SQLi Tespiti ve Exploit Etme

NŞA'da PHP scriptler üzerinde iki yöntem ile zafiyet araştırmaları yapılabilir.

1. Manuel Araştırma
2. Otomatik Kaynak Kod Tarayıcılarla

Biz bu blog yazısında iki yöntemi de kullanarak temel anlamda PHP scriptlerde zafiyetler (SQLi, XSS, RCE, LFI vb.) nasıl keşfedilir ve nasıl exploit (sömürme) edilebilir bunlara değineceğiz.

SQL Injection Nedir?

Web uygulamalarında birçok işlem için kullanıcıdan alınan veri ile dinamik SQL cümlecikleri oluşturulur. Örneğin; "SELECT * FROM Products" örnek SQL cümleciği basit şekilde veritabanından web uygulamasına tüm ürünleri döndürecektir. Bu SQL cümlecikleri oluşturulurken araya sıkıştırılan herhangi bir meta-karakter SQL Injection'a neden olabilir.

Bir Pentest Hikayesi

Bu sefer teknik olmayan bir konuyla karşınızdayım. Başlıktan da anlaşıldığı gibi sizlere hikaye anlatacağım :)
Gerçekleştirmiş olduğum(uz) penetrasyon testlerinde karşılaştığımız problemleri, çözümleri, tecrübe edindiğimiz konuları, komik olayları vs.. anlatan ama detaylarında yeni başlayan arkadaşlar için faydalı olabilecek bir yazı dizisi planlamaktayım.  



Sabahın 05:00 sularında uyandırıldım. Uyku sersemliğiyle telefonda anladığım kadarıyla sektöründe Türkiye'nin önemli firmalarından birinin terminal sunucusu ransomware saldırısına uğramış. Hemen hazırlandım ve yola çıktım. Diğer ekip arkadaşlarımda saldırıya maruz kalan firmaya doğru yol aldılar.

Firmaya vardığımızda tahmin ettiğimiz şekilde sunucuya bir text dosyası bırakılmış ve ilgili firmanın verilerini encrypt ettiğini ve encrypt edilen verilerin açılması için fidye istenmekteydi.

Birkaç saat boyunca çeşitli yöntemlerle (firewall logları ve ilgili/şüpheli makineler üzerinde windows logları, son çalıştırılan dosyalar, şüpheli dosyalar, sistem başlangıcı, regedit, çalışan servisler, portların taranması, dinlenen portların tespiti vs..) saldırıya dair izleri araştırdık.

Bu analiz süreci devam ederken IT sorumlusuna enfekte olmuş sunucunun Local Administrator parolasının ne olduğunu sordum. Ve tahmin ettiğim yanıt hiç gecikmeden geldi: 123456 :)
Bu tip hacking saldırıları genellikle; zayıf parola kullanımıyla beraber dışarıya açık olan uzak masaüstü servisi (RDP) ve MSSQL servisi, eski işletim sistemi zafiyetleri, mail yoluyla gönderilen fatura vb. gibi görünen zararlı dosyaların kullanıcının sisteme bulaştırılmasıyla böyle sonuçlara zemin oluşturmaktadır.

Firma çok şanslıydı.. Logları incelememiz sonucunda bu olayın başlangıç zamanından tam 1 dakika önce şirketimizin sistem çözümleri departmanında çalışan arkadaşımız tarafından farklı bağımsız bir lokasyona yedek alınmıştı. Bu yüzden verilerin kurtarılmasıyla uğraşmamıştık direkt olarak çözüm odaklı davrandık çünkü business continuity (iş sürekliliği) önemlidir. Aynı veya benzer pozisyondan gol yiyebilirsiniz. Bu yüzden olayın kaynağı tespit etmek, saldırı yüzeyini analiz etmek ve gedikleri tıkamak gerekir.

Bu arada siber olay müdahale çerçevesinde yapılan analizler neticesinde bu ransomware vakasından tek bir sunucu etkilenmişti ve tehdit aktörünün yerel ağda başka sunuculara karşı yatay yayılım yapmadığı gözlemlendi.

Çalışmalar sabahın erken saatlerinden gece saat 02:00'a kadar sürdü ve bu konuyu başarılı bir şekilde sonlandırmış olduk. Tabi müşterimizin artık siber güvenlik hususunda farkındalığı vardı ve bu konuda yapılması gerekenleri bütçeleri dahilinde hızlıca gerçekleştirmeye karar verdiler. Müşteri siber güvenlik durum ve ihtiyaç analizi yapıldı, bir takım hizmet/ürün kalemi ortaya çıkmıştı, onlardan birisi de tabi ki pentest (penetrasyon testi/sızma testi) idi :)

Pentest için anlaşılıp çalışma tarihi aldıktan sonra hazırlığımızı yapıp belirlenen tarihte firmaya gittik. Vakit kaybetmeden testlere başladık. Sırasıyla hibrit (otomatik ve manuel) bir şekilde önce sistemleri keşfetme-bilgi toplama, zafiyet taraması ve son olarak da tespit edilen bulgular özelinde exploiting işlemlerini yaptık. Ayrıca, sosyal mühendislik kapsamında phishing testi de yapılacaktı. Bunun için arama motorlarından elde ettiğimiz firma çalışanlarının mail adreslerine belirlediğimiz senaryo kapsamında zararlı yazılım (trojan) bulaştırılmaya çalışıldı. 21 kişiden 13 tanesi zararlı yazılımı açtı ve bilgisayarına bulaştırmıştı. Bu rakamlar çok tehlikeli..

Testin son demleriydi, elde ettiğimiz bulguları toparlıyorduk. Ben son kez sunucuların bulunduğu IP bloğunda farklı metotlarla tekrar bir port taraması gerçekleştirdim ve önceden keşfedemediğimiz bir sunucu keşfettim. 8090 portunda Apache Tomcat koşuyordu. Hemen web browserden kontrol ettim. Default Apache Tomcat parolalarını denedim ve bir tanesi tuttu. Yönetim bölümünün Deploy kısmından örnek ekran görüntüsünde görüldüğü gibi içeriye komut çalıştırabileceğim basit bir JSP shell (cmd) import ettim:

Yüklenen "cmd" isimli shell ile Windows üzerinde SYSTEM yetkileriyle komutlar yürütebilecektik. Bu shell ile Windows için Administrator yetkilerine sahip bir kullanıcı hesabı oluşturuldu ve bu kullanıcı Remote Desktop User grubuna dahil edilerek işletim sistemine uzaktan bağlantı sağladık. Daha sonra bu işletim sisteminde daha önceden oturum açmış olan kullanıcıların şifrelerini/parolalarını mimikatz aracıyla ele geçirdik.
Elde edilen bu şifreler/parolalar ile networkte bulunan diğer (SQL Server, SharePoint, Exchange vs..) sunuculara erişim sağlandı. Tüm sistem elimizin altındaydı. Son olarak Domain sunucusuna sızdığımızı IT müdürüne bildirdik. Müdür telaşla gelip "testi sonlandırın artık, tüm sistem deşifre oldu" demesiyle işte o zaman yüzümüzde tebessümler eksik olmuyordu.. :)

Python ile Banner Grabbing Mantığı

Genellikle Vulnerability Assessment tarayıcılarının genel olarak çalışma mantığı; hedef sistemi tararken öncelikle port taramasıyla hedef sistemin açık veya filtreli portlarını keşfeder. Açık portlarda yer alan servis bilgisini (hizmet, software vb.) keşfettikten sonra tarayıcının kendi veritabanında bulunan güvenlik zafiyeti barındıran servis ismiyle karşılaştırır eğer eşleşiyor ise bu sistemde XYZ zafiyeti vardır demektedir...

Tabi bu sadece possible yani olabilir demektir. Çünkü Vulnerability Assessment tarayıcıları keşfedilen zafiyeti sistemde gerçekten olup olmadığını doğrulamaz.
Evet belki hedef sistemin bir portunda çalışan XYZ servisinde daha önceden Security Reseacher'ler tarafından keşfedilmiş bir zafiyet olabilir fakat hedef sistemde belki bu zafiyet fixlenmiştir (kapatılmıştır)? Veya serviste sorun vardır tam çalışmıyordur bile.. İşte bu saydığım ve bunun gibi tarayıcılardan tarafından keşfedilen zafiyetlerin durumuna false-positive demekteyiz.

False-Positive kavramını basitçe anlatan bir diyagram çizdim:

Yukarıdaki belirttiğim konuya istinaden Vulnerability Assessment tarayıcıların temel çalışma mantığını Python'da socket modülünü kullanarak belirlenen hedef sisteme 21 FTP portundan bağlanıp önceden belirlediğimiz zafiyet barındıran FTP servislerinin karşı tarafta olup olmadığını eşleştiren küçük bir uygulama yapacağız.

0x150 Web Crawler v2.1

0x150 Web Crawler gün geçtikçe yeni özellikler katılarak güncelleştirilmektedir. Umut Cem geliştirmeye dahil olduktan sonra 2.1 versiyonundaki özellikler şunlardır:

• Görsellik açısından PyQt4 ile kodlanmıştır
• Crawler robotu sayesinde hedef verilen web sitenin linklerini toplar
• Reverse-IP tekniğiyle sunucuda barınan komşu siteleri tespit eder
• Tespit ettiği her komşu site için link taraması yapar

Ekran Görüntüsü:

>> Programı indirmek için tıklayınız

Yaklaşık 3-4 sürüm daha ilerletmeyi düşünüyoruz ve çok etkili özellikler olacaktır. Bizi izlemeye devam edin...

0x150 Web Crawler v2.0

Scanner; ilk sürümünde sadece hedef olarak verilen web sitesinin inject point alanlarını tespit etmekteydi.

Muhammet Dilmaç ile 2.versiyonda Reverse-IP tekniğiyle hedef web sitenin sunucusunda barınan diğer web sitelerini keşfettirdik.

Böylelikle web uygulama güvenliği testindeki hedef web sitesinde/uygulamasında herhangi bir zafiyet keşfedilemezse alternatif yollar aranabilir. Sunucuda barınan komşu siteleri tespit edip onlarda bulabileceğimiz bir zafiyet hedefi de tehlikeye sokacaktır.

Ekran Görüntüsü:

Örnek olarak D. Kevin Mitnick'in web sitesini tarattık. Tarama sonucunda veriler iki adet text dosyasında oluşmaktadır.

mitnicksecurity.com_linkler.txt dosyasında hedef web sitenin linkleri yer almaktadır.

mitnicksecurity.com_reverseip.txt dosyasında hedef web sitenin sunucusunda barınan diğer siteler yer almaktadır.

>> Programı indirmek için tıklayınız

NOT 1: Bir sonraki versiyonda sunucudaki diğer web sitelerinde de link taraması yapması planlanmaktadır.
NOT 2: Kullanabilmeniz için BeautifulSoup 4 ve Mechanize modüllerinin kurulu olması gerekmektedir.

Yeni İnternet Yasası (2014)

Merhabalar, bugün sizlere Eyüp ÇELİK'in yazmış olduğu yeni internet yasası ve engellemeler hakkındaki bilgilendirici yazısını paylaşmak istedim.

1) Eski Yasa ve Yeni Yasa Nasıl Çalışıyor? 

Bir siteye girdiğimizde (youtube.com vb) bu site adresi DNS sunucu sayesinde IP adreslerine çevrilir. İnternet üzerindeki iletişim IP adresleri üzerinden yapılmaktadır. IP adresleri cep telefonu gibi benzersiz numaralardır. Örneğin rehberimizdeki birine telefon açmak istediğimizde, rehberimizi açıp adını yazar ve ardından arama tuşuna basarız. Oysa telefonumuz ismi değil telefon numarasını aramaktadır. İnternette de bu durum aynıdır. Bir siteye girdiğimizde, o sitenin adresi IP adresine (numaralara) çevrilir ve site görüntülenir. 

• Eski Yasa: Türkiye’deki ISP (internet sağlayıcısı) firmaları kendi kurumlarında girdiğimiz siteleri IP adresine çevirmek için DNS sunucuları kullanmaktaydılar. Bir siteye girmek istediğimizde öncelikle ISP firmasının DNS sunucusu ile iletişime geçeriz. ISP firmasında bulunan DNS sunucusu bizi hangi IP adresine yönlendirirse o siteyi açmış oluruz. Bu DNS sunucusu esas gitmemiz gereken IP adresi yerine bizi başka IP adresine yönlendirdiğinden dolayı engellenmiş sitelere erişimemekteydik. Bu yüzden DNS adresimizi ISP firmasının DNS adreslerinden farklı bir adres ile değiştirdiğimizde bu engel ortadan kaldırılmış oluyordu. 
• Yeni Yasa: DNS sunucularının ismi (youtube.com vb) IP adresine çevirmesi, gittiği adresin engellenmesi yerine IP adresine erişim kısıtlanacaktır. Böylelikle DNS sunucusunun manipülasyonu engellenmiş olacak ve nihayetinde o siteye erişim DNS adres değişikliği ile sağlanamayacaktır. 

Engellemeler Arasındaki Farklar 

Bir önceki soruda bahsettiğim gibi tüm olay DNS sunucusunun varlığı üzerinde gelişmektedir. Alan adı engellemesinde DNS sunucusu esas gitmesi gereken IP adresi yerine başka bir IP adresine yönlendirilmektedir. IP engellemesi durumunda da sitenin IP adresine erişimin tamamen kapatılması durumu söz konusudur. 

2) VPN ve Proxy Yazılımları Çalışacak mı? 

Yeni yasa ile birlikte bilinen VPN programları ve Tünelleme yazılımları malesef ki engellenecektir. Kullanıcıların bu bilinen tünelleme yazılımları ile internete çıkması yasaklanacaktır. Ancak bilinen IP adresleri değiştirildiğinde yasak atlatılmış olacaktır. 

VPN’ler nasıl engellenecek? 

VPN programlarının çalışmaması kısmen bu firmaların IP adreslerinin engellenmesi ve kullanmış oldukları “signature” ile yapılabilir. Ancak bu yüzde yüz engellenemez. Çünkü bu tarz yazılımlar sürekli olarak IP adresi değişirler ve bu IP adreslerine erişimin tek tek engellenmesinden yola çıkacak olursak, teknik olarak bunu yüzde yüz engelleyemezler. Kısmi bir engelleme yapılmış olur. 

3) VPN veya Proxy Sunucuları ile Yasaklı Sitelere Erişilebilecek mi? 

Özel VPN adresleri üzerinden çıkış yapılabilecektir (Engellenmiş olanlar hariç). Örneğin çok basit bir teknikle herkes yurt dışında yayın yapan VPS / VDS gibi sanal sunucular kiralayıp, kendi VPN / Proxy sunucularını kurarak bunlar üzerinden internete çıkabilirler. Bu sanal sunucular aylık 15-20 lira gibi küçük ücretler ile herkes tarafından alınabilir. Hatta bu sunucular üzerine proxy sunucusu roller kurularak başkalarının da internete çıkması sağlanabilir. Alınan bu sunucunun IP adresinin engellenmesi durumunda başka bir ülkeden başka bir IP adresine sahip yeni bir sunucu kiralanabilir. Aksi durumda bu tarz yazılımların ve işlemlerin engellenmesi ancak Türkiye dışındaki tüm sistemlere erişimin kapatılması ile mümkün olabilir. Türkiye dışındaki tüm ülkelere erişim kapatılmadığı sürece bu yöntemler ile erişimler tamamen engellenemez.  

4) Siteler Tamamen Engellenmeyecek, Bunun Yerine Sadece Sayfalar mı Engellenecek? 

Site sayfalarının engellenmesi ancak sitede bulunan bütün linklerin ISP firmaları tarafından işlenmesi ile yapılabilir. Bu noktada aslında yapılan işin rengi çok değişmiş oluyor. Çünkü bu sayfa engellemesi işlemini yapabilmek için kullanıcıların görüntülediği tüm sayfaların kayıt altına alınması sayesinde yapılabilir. Yani aslında bu durumda internette girdiğimiz her sayfa kayıt altına alınmış olacak. Hali ile bu sanal bir fişleme olarakta düşünülebilir. Çünkü hangi kullanıcının hangi sayfaya gittiği görülebilecektir. 

Bu engelli sayfalara VPN veya Proxy ile erişilebilecek mi? 

Bu sayfa bazında kısıtlama yapmakla mümkündür. Ancak VPN veya Tünelleme yazılımları ile bu engelleme işlemi aşılabilecektir.  

5) Bu İş Başka Ülkelerde Nasıl İşliyor? 

Başka ülkelerde erişim benzer şekilde engellenmektedir. Ancak Avrupa ülkelerinde daha çok çocuk pornosu ve benzeri yayınlar engellenmektedir. Ülkemizde bugün 40.000 den fazla web sitesine erişim engellenmiş durumdadır. Bu sayı Avrupa’daki engellemelerin toplamından bile çok daha fazladır. Ülkemizde bu engelleme artık engellemeden öte sansürlemeye dönüşmüş durumdadır. Çünkü bir web sitesinin engellenmesi suçu işleyen siteyi değil o siteye giren kullanıcıyı cezalandırmaktadır. 

En çok engelleyen ülkelerde nasıl oluyor? 

Çin’de ve İran’da yasaklar söz konusu ancak Çin’deki yasaklar bizim internet yasaklarımız kadar çok değil. İnternet yasakları Kuzey Kore ve İran’da daha fazladır. İran kendisine uygulanan ambargo ve dış saldırılardan dolayı dış dünyaya iletişim sağlamamaktadır. Benzer şekilde Kuzey Kore’de zaman zaman internet erişimini durdurmaktadır. 

Yeni yasa ile biz nasıl olacağız? 

Yeni yasa bizi büyük oranda bu ülkelere yaklaştıracaktır. Ve bu hali ile yeni yasa by-pass edildikten sonra birileri internetin tamamen kapatılması yönünde kanun teklifleri vereceği beklenmektedir. Bu internetin kapatılması durumu da diğer ülkelere benzememizi sağlayacaktır. 

6) Yeni Sistemin Engelleri Aşılabilecek mi? 

Aslında internette aşılmayacak bir sistemin olması çok zor. Yeni yasa ile engeller önceki sorularda belirttiğim şekillerde aşılabilecektir. Yasaklar her zaman yeni yolların bulunması anlamına gelmektedir. 

Engelli sitelere proxy yazılımları ile erişilebilecek mi? 

Evet benzer yazılımlar kullanılabilecektir. Ancak engellemeler IP bağımlı yapıldıktan sonra engellemeye takılmayan IP adresleri ve yazılımlar üzerinden engellemeler by-pass edilebilecektir. 

7) ISP (Servis Sağlayıcıları) Firmaları Ziyaret Ettiğimiz Her Siteyi Kayıt Altına Alacak mı? Sistem Nasıl İşleyecek? 

Bu durumda VPN veya TOR kullanarak ziyaret edilen siteyi servis sağlayıcılarından saklamak mümkün mü? 

Evet mümkündür. Zaten bu bir nevi sanal fişleme olacaktır. Kimin hangi adrese girdiği, neyi seyrettiği, en çok nerelerde zaman geçirdiği, hangi sıklıkla ziyaretler gerçekleştirdiği gibi bilgiler saklanacaktır. VPN veya TOR benzeri yazılımlar kullanıldığında da benzer loglar tutulmuş olacak fakat gerçek IP adresi ile gidilmediğinden tutulan loglar gerçek bir kişiye ait bilgiler tutulmamış olacaktır. 

8) VPN veya Proxy Yazılımlardan Başka Alternatifler Var mı? 

Evet var. Kişinin VPS / VDS gibi sanal sunucular ile kendine özel VPN yapısı kurması, Amazon’da bulunan Cloud sunucularının tünelleme sunucuları haline getirilerek kullanılması, ücretli proxy servisleri gibi bir çok yöntem ile bu engeller rahatlıkla aşılabilecektir. İnternete çıkan hiç bir bilgisayar yüzde yüz engellenemez.

0x150 Web Crawler

Web uygulama güvenliği testlerinin temeli aslında en önemli aşamalarından olan inject point alanlarını keşfetmeyi kolaylaştırıcı, Python ile kendim için yazdığım basit bir web crawler/spider programını sizlerle paylaşmak istedim.

Web Crawler/Spider'in bu programdaki görevi; hedef olarak verilen web sitenin/uygulamanın içinde link takibi yaparak inject point alanlarını bulmaktır.

..Sonrasında ise hacker, bulunan bu inject point alanlarına çeşitli web hacking yöntemleri (sql injection, xss, lfi, rfi, rce vs.) kullanarak ileri ki adımlara geçiş yapabilir.

Çalışma sırasından görüntüler:

>> Programı indirmek için tıklayınız

NOT: Kullanabilmeniz için BeautifulSoup 4 ve Mechanize modüllerinin kurulu olması gerekmektedir.

Python ile Linux Komut Çıktısı Kaydetme

Merhaba arkadaşlar, biliyorsunuz arada Python'la ilgili basit ancak işimize yarayacak paylaşımlar yapıyorum. Bugün sizlerle Python ile Linux komut çıktılarını bir metin (txt) dosyasına kaydettirme örneği paylaşacağım.

Kod örneği aşağıdaki gibidir:

#!/usr/bin/env python  

#-*- coding: cp1254 -*- 

import subprocess 

komut = raw_input("Komutu giriniz: ") 

islem = subprocess.Popen(komut, shell = True, stdout = subprocess.PIPE)cikti = islem.communicate()[0] 

dosyaismi = komut+".txt"dosya = open(dosyaismi, "w")dosya.write(cikti)dosya.close()

Yazılan kodları açıklamak gerekirse;

• Öncelikle Python'da komut satırı işlemlerini subprocess modülünü import ederek yaptırabiliriz (farklı modüller de mevcuttur..)
• Programı çalıştırdığımızda vereceğimiz komutu raw_input ile istedik ve komut değişkenine atadık
• subprocess modülünü kullanarak komut satırını aktifleştirip islem isimli değişkene atadık
• islem isimli değişkende işlemleri yapan subprocess modülünün communicate methoduyla işlem çıktılarını cikti isimli değişkene atadık
• İlk başlarda raw_input ile kullanıcıdan aldığımız komutun ismiyle bir txt dosyası oluşturacak şekilde dosyaismi değişkenini tanımladık
• Son olarak dosya işlemlerine geçiyoruz, verilen komut ismiyle bir txt dosyası açıyoruz
• cikti değişkeninin oluşturduğu içeriği dosyamıza yazdık ve dosyayı kapattık

SOME ve USOM'un Kuruluş, Görev ve Çalışmalarına Dair Usul ve Esaslar Tebliği

Siber Olaylara Müdahale Ekiplerinin Kuruluş, Görev ve Çalışmalarına Dair Usul ve Esaslar Hakkında Tebliğ

BİRİNCİ BÖLÜM
Amaç ve Kapsam, Dayanak, Tanımlar

Amaç ve Kapsam
MADDE 1 − (1) Bu Tebliğin amacı ve kapsamı, Siber Olaylara Müdahale Ekiplerinin kuruluş, görev ve çalışmalarına ilişkin usul ve esaslarını belirleyerek, hizmetlerin etkin ve verimli bir şekilde yürütülmesini sağlamaktır.

Dayanak
MADDE 2 − (1) Bu Tebliğ, 20/10/2012 tarihli ve 28447 sayılı Resmî Gazete’de yayımlanan 2012/3842 sayılı Bakanlar Kurulu Kararıyla yürürlüğe konulan Ulusal Siber Güvenlik Çalışmalarının Yürütülmesi, Yönetilmesi ve Koordinasyonuna İlişkin Kararın 5 inci maddesinin birinci fıkrasının (ç) bendi ile üçüncü fıkrası ve 25/3/2013 tarihli ve 2013/4890 sayılı Bakanlar Kurulu Kararıyla yürürlüğe konulan Ulusal Siber Güvenlik Stratejisi ve 2013-2014 Eylem Planının 4 üncü maddesi ve 655 sayılı Ulaştırma, Denizcilik ve Haberleşme Bakanlığının Teşkilat ve Görevleri Hakkında Kanun Hükmünde Kararnamenin 29 uncu maddesinin yedinci fıkrası ile 30 uncu maddesine dayanılarak hazırlanmıştır.

Tanımlar
MADDE 3 − (1) Bu Tebliğde geçen;
a) Bilişim Sistemleri: Bilgi ve iletişim teknolojileri vasıtasıyla sağlanan her türlü hizmet, işlem, veri ve bunların sunumunda yer alan sistemleri,
b) Endüstriyel Kontrol Sistemi: Geleneksel bilişim teknolojileri dışında, programlanabilir mantıksal denetleyiciler aracılığı ile üretim, ürün işleme ve dağıtım kontrolleri gibi endüstriyel işlemler için kullanılan bilgi sistemleridir. Bu sistemler Veri Tabanlı Merkezi Kontrol ve Gözetleme Sistemi (SCADA) ile coğrafi olarak Dağınık Kontrol Sistemleri (DKS) şeklinde gruplanmaktadır.
c) Kritik Altyapılar: İşlediği bilginin gizliliği, bütünlüğü veya erişilebilirliği bozulduğunda, can kaybına, büyük ölçekli ekonomik zarara, ulusal güvenlik açıklarına veya kamu düzeninin bozulmasına yol açabilecek bilişim veya endüstriyel kontrol sistemlerini barındıran altyapıları,
ç) Kritik Sektörler: Kritik altyapıları bünyesinde barındıran sektörleri,
d) Kurul: Siber Güvenlik Kurulunu,
e) Siber Olay: Bilişim ve endüstriyel kontrol sistemlerinin veya bu sistemler tarafından işlenen bilginin gizlilik, bütünlük veya erişilebilirliğinin ihlal edilmesini veya teşebbüste bulunulmasını,
f) Siber Olaya Müdahale: Bilişim ve endüstriyel kontrol sistemlerinin veya bu sistemlerde tutulan veya işlenen verilerin gizlilik, bütünlük ve erişilebilirliğinde meydana gelme riski bulunan veya meydana getiren siber olayın kaynağını, nedenlerini ve sonuçlarını tespit ederek siber olayın devam etmesini, tekrarını veya zarar vermesini önleyen çalışmaları,
g) SOME: Siber Olaylara Müdahale Ekibini,
ğ) USOM: Ulusal Siber Olaylara Müdahale Merkezini,
ifade eder.

Sosyal Mühendislik Saldırılarında Sahte Mail Kullanımı

Merhaba arkadaşlar. Sosyal mühendislik saldırılarında en çok kullanılan yöntemlerden biri olan Fake (Sahte) Mail ve buna karşı nasıl tedbirler alınabilir bu konulara değineceğim. Sosyal mühendislikte Fake Mail kullanarak hedefli saldırı gerçekleştirmek için bir senaryo ve varolan senaryonun alternatifi şeklinde konuyu anlatmak istiyorum.
Senaryo
Amaç: Hedefteki şirkete/kuruma ait e-mail adreslerinin toplanıp, bu e-mail adreslerine zayıf parola saldırısı yaparak bir e-mail hesabı ele geçirmek ve ele geçirilen e-mail hesabıyla hedefteki şirket için tespit edilen diğer e-mail adreslerine zararlı dosya (trojan) gönderip şirketi içerden fethetmek.
NOT: Şirket Microsoft Exchange mail servisini kullanıyorsa OWA'ya yönelik zayıf parola saldırısını Eyüp Çelik'in hOWAttacker yazılımını  veya Metasploit'teki owa_login modülünün kullanımını öneririm.

Alternatif Senaryo
Hedefteki şirkete ait tespit edilen e-mail adreslerine yapılan zayıf parola saldırısı ile bir sonuç alınmadıysa devreye Fake (Sahte) Mail kullanma girecektir. Ve biz alternatif senaryoyu kullanacağız.

İlk olarak theHarvester veya Maltego araçlarına kullanarak hedef şirkete ait e-mail adreslerini toplayabiliriz.

theHarvester Örneği

Maltego Örneği

Alternatif senaryoyu kullanacağımıza göre şuan ihtiyacımız olan şey fake mail servisidir, 4 adet fake mail servisi hazırladım buradan indirebilirsiniz >>> İndir / Download

SQLmap'i WAF Bypass (Tamper) Scriptleri ile Kullanma

Hedef web uygulamada SQL Injection güvenlik açığı tespit edilse bile normal şartlarda Sqli komutları işlem görmüyorsa büyük ihtimalle uygulamanın önünde konumlandırılan bir WAF (Web Application Firewall) tarafından algılanıp engelleniyordur.

SQL Injection saldırılarında çeşitli bypass (atlatma) yöntemleri kullanırız, örneğin;
büyük küçük harf karmaşası, komutların çeşitli algoritmalarla encode edilmesi gibi...

SQLmap'in WAF, IPS gibi saldırı engelleme sistemlerini bypass etmesi için "tamper script" özelliği bulunmaktadır.

Aşağıda WAF kullanan bir sisteme SQLmap'in varsayılan kullanım parametresi verilmiştir ve sonuç alınamamıştır:

WPS Desktekli Modemlerde WPA&WPA2 Şifresi Kırma (Videolu Anlatım)

Merhaba arkadaşlar.
Bugünkü konumuz WPS destekli modemlerde WPA ve WPA2 şifresi kırmak..

Bu konuyla ilgili bir önceki makalemde WPA Hacking anlatmıştım farklı yollardan..

WPS Nedir?
Wi-Fi Protected Setup (WPS), kablosuz ağın güvenlik ayarlarını hızlı ve kolayca ayarlamak için yapılmış bir sistemdir.

WPS; kablosuz ağ cihazını ayarlarken, cihaza tanımlanmış PIN numarası yapılandırılmasını sağlar.

Saldırgan kişi, WPS’de bulunan güvenlik zafiyetiyle hedefin PIN numarasını tahmin ederse WPA/WPA2 şifresini kırabilir (ele geçirebilir).

Hedefteki kişinin WPA/WPA2 şifresi ne kadar karmaşık ve uzun hanelerden olursa olsun, PIN numarası tahmin edildiğinde şifresi kolayca elde edilebilir!

Şifreleme Türünü Tespit Etme (Hash Identifier)

Hash Identifier, kriptolanan hash/şifre algoritmasını tespit eden bir araçtır.

Tespit edebildiği hash/şifreleme algoritmaları:

• ADLER-32
• CRC-32
• CRC-32B
• CRC-16
• CRC-16-CCITT
• DES(Unix)
• FCS-16
• GHash-32-3
• GHash-32-5
• GOST R 34.11-94
• Haval-160
• Haval-192 110080, Haval-224 114080, Haval-256
• Lineage II C4
• Domain Cached Credentials
• XOR-32
• MD5(Half)
• MD5(Middle)
• MySQL
• MD5(phpBB3)
• MD5(Unix)
• MD5(Wordpress)
• MD5(APR)
• Haval-128
• MD2
• MD4
• MD5
• MD5(HMAC(Wordpress))
• NTLM
• RAdmin v2.x
• RipeMD-128
• SNEFRU-128
• Tiger-128
• MySQL5 - SHA-1(SHA-1($pass))
• MySQL 160bit - SHA-1(SHA-1($pass))
• RipeMD-160
• SHA-1
• SHA-1(MaNGOS)
• Tiger-160
• Tiger-192
• md5($pass.$salt) - Joomla
• SHA-1(Django)
• SHA-224
• RipeMD-256
• SNEFRU-256
• md5($pass.$salt) - Joomla
• SAM - (LM_hash:NT_hash)
• SHA-256(Django)
• RipeMD-320
• SHA-384
• SHA-256
• SHA-384(Django)
• SHA-512
• Whirlpool

KULLANIMI

cd /pentest/passwords/hash-identifier komutuyla programın dizinine geçiyoruz ve python hash_id.py komutunu vererek programı çalıştırıyoruz.

Veya
Kısayol olarak ALT + F2 ile hash-identifier yazarak programı çalıştırabiliriz.


Örnek 1:

Programa ce9c4efd5c8ebdf48585071065c9457c6b668bc2 hash'ini verdim. Ve algoritmasının SHA-1 veya MySQL5 - SHA-1(SHA-1($pass)) olduğunu söyledi.

Örnek 2:

Bu örnekte ise verilen hash algoritmasını joomla hashı olarak tespit ettik.

İyi çalışmalar.

Python ile Regedit İşlemi

Merhaba arkadaşlar. Yaklaşık 2 aydır bloğa yeni yazı ekleyemiyorum işlerimin yoğunluğu nedeniyle..

Bugünkü konumuz Python dili ile yapmış olduğumuz programımızı Windows işletim sisteminin başlangıcına (startup) nasıl ekleriz? Bu konuyu işleyeceğiz.

Bu işlemi Windows sistemler üzerinde yapacağımız için yeni bir regedit kaydı oluşturmamız gerekiyor.

Pythonda yeni regedit kaydı oluşturmamızı sağlayan kod şu şekildedir:

key=_winreg.OpenKey(_winreg.HKEY_CURRENT_USER,"Software\\Microsoft\\Windows\\CurrentVersion\\Run",
0, _winreg.KEY_ALL_ACCESS)

Evet bu komutu kısaca açıklamak gerekirse;
_winreg.OpenKey ile HKEY_CURRENT_USER altında yeni bir regedit kaydı açtık ve parantezler içinde bu kaydın regeditteki konumunu belirttik.

Daha sonrada aşağıdaki kodu yazmamız gerekiyor;

_winreg.SetValueEx(key, "iso", 0, _winreg.REG_SZ, "C:\\python27\python.exe "+ os.getcwdu() + "\\kopyala.py")
key.Close()

Yukardaki kod ise; oluşturacağımız regedit kaydının değerlerini(value) tanımladık (kayıt ismi=iso).
Sonra olarak da key.Close() ile regedit kaydımızı kapattık.

NOT: Eğer Python programımızda böyle bir işlem yapacaksak _winreg modülünü import etmemiz gereklidir.


Şimdi küçük bir uygulamayla bu konuyu pekiştirelim.

Örnek Python programımızın görevi şudur:
C:\python27\test.txt konumundaki test.txt dosyasını C:\\Users\\İsmail\\Desktop\\ konumuna yani masaüstüne iso.txt olarak kopyalamak. Kopyalama işlemi ms-dos komutlarıyla yapılmaktadır(copy komutu). Ve İşletim sistemleriyle ilgili işlemlerde Python kodumuza OS modülünü import etmeyi unutmamamız gerekiyor.

Son olarak bu programdaki en büyük fark şudur ki bu işlem bilgisayar her açıldığında otomatikman gerçekleşmesidir.

Örnek program kodları:

ADS Kullanarak Veri Gizleme ve Steganography Tekniği

Merhaba, bu yazıda bazı yöntemler kullanarak ‘veri gizleme‘ konusuna değineceğiz.

Alternate Data Streams (ADS) Nedir?
Alternatif Veri Akışı (Alternate Data Streams – ADS) Microsoft dosya sistemi olan NTFS’nin ortaya çıkışından beri ismi anılan bir terimdir. NTFS dosya sistemi Microsoft mühendisleri tarafından geliştirilirken Macintosh’un eski işletim sistemi olan HDS’i desteklemek amaçlı oluşturulmuştur. HFS çalışma mantığı olarak bir dosyayı iki parçaya bölerek çalışmakta ve dosya ayarlarını gizli olarak orijinal dosyanın içinde tutmaktaydı. Bu desteği NTFS dosya sistemine de entegre etmek isteyen Microsoft aslında hackerların çok fazla kullanacağı bir açığı farkına varmadan oluşturmuştu.

Bu açık herhangi bir dosyanın içine başka dosya ve dosyalar gizlemeyi sağlıyordu. Günümüzde de en çok kullanılan dosya saklama yöntemi haline geldi. Bu açık sayesinde 1 kb’lık bir metin belgesinin içerisine boyutunu kesinlikle değiştirmeden 100′lerce megabyte veri saklamak mümkün! Veriyi sadece tam olarak hangi isimle nerde olduğunu bilen kişi çalıştırabilir.

Örneklerle başlayalım;

DDoS Simülatörü: DDosim

Merhaba arkadaşlar. Bugünkü yazımızda sizlere bir ddos simülatörü olan DDosim programının özelliklerini, linux ortamında kurmayı ve çalıştırmayı konu aldım.

DDosim, Layer 7 (Application) katmanı için bir ddos simülatörüdür.


Programı indirmek için tıklayınız

Twitter.com'da "Kötü Amaçlı Yazılım Var!" Uyarısı

Merhaba arkadaşlar. Bir kaç arkadaşım söylemişti ve incelemem sonucu bende kanaat getirdim twitter.com da bazı profil sayfalarına girince Google Chrome site hakkında zararlı yazılım uyarısı veriyordu! :)
Ekran görüntüsü:

Tabi bunun görürmez durur muyum? Durmam :) Hemen NoScript'le inceledim twitpic sitesinden kaynaklanıyor bu uyarı, bakınız: http://www.google.com.tr/search?q=twitpic&oq=twitpic&sugexp=chrome,mod=5&sourceid=chrome&ie=UTF-8

Arama linkine girdiğinizde aşağıdaki görüntüyle karşılaşacaksınız (Bu site bilgisayarınıza zarar verebilir)

Şimdi "eee sonuç nedir?" diyeceksiniz. Hiiç öylesine paylaştım, soran arkadaşlara olayı aydınlatmak istedim :)

Güvenli günler...