Nedir bu MITM (Man In The Middle)?
Bunu açıklamadan önce yüzeysel olarak ağda bilgisayarların haberleşme şekillerinden bahsetmekte fayda var.
Birden fazla bilgisayarın tek bir ağda birbirleriyle haberleşebilmeleri için bu bilgisayarları ağa dahil eden Hub ve
Switchler mevcuttur.

Hublar OSI modelinin ilk katmanı olan fiziksel katmanda çalışan ve gelen veride hiç bir kontrol işlemi uygulamadan kendi portlarına bağlı tüm sistemlere yollayan bir modeldir. Alıcı bilgisayar, veri kendisine gelmiş ise veriyi kabul eder,  eğer gelmemiş ise göz ardı eder. Böylelikle aslında ağ üzerinden geçen bütün paketlerin takibi
mümkün kılınmaktadır.

Switchler ise OSI modelinin 2. katmanında çalışır ve hub gibi dağıtım görevinden sorumludur. Hubtan farklı olarak, switch veriyi portlarına bağlı tüm sistemlere dağıtmak yerine sadece hedef sisteme dağıtır. Bu sebep ile veri hem daha dinamik ve verimli şekilde hedefe ulaşır hemde paketler ilgili olmayan kişi-
ler tarafından okunamaz. Mı acaba ?

İşte bu noktada MITM adını verdiğimiz, Türkçesi Ortadaki Adam Saldırısı olanve oldukça favorim olan bir yol izleyebiliriz.

Örnek senaryomuzdada gördüğünüz gibi iki kullanıcı birbirleriyle haberleşmek istemektedir ve bunu switch aracılığıyla rahatlıkla yapmaktadır. Switch kendisine bağlı olan tüm bilgisayar yada hostların MAC adreslerini bir ARP tablosu adını verdiğimiz bir tabloda tutar. Kaynak sistem, hedef sistemle iletişim kurmak için Arp tablosunu kontrol eder ve ilgili kullanıcıyı bulur. Korsan ArpSpoofing saldırısı ile çok sayıda request göndererek ARP önbelleğini zehirler ve Arp spoofing saldırısı sonucu zehirlenen Arp önbelleği farklı çalışmaya başlar ve kaynak bilgisayardan gelen veriyi korsanın bilgisayarına, korsanda iletilmesi gereken kaynağa gönderir. Böylelikle bütün paketler korsan bilgisayardan yakalanabilir hale gelir ve paketler incelenerek istenilen verilere
ulaşılabilir.

Bu yöntem ile switch kullanılan ağlarda sniffing yapılmış olur. Bu saldırılar nasıl yapılır, hangi araçlar ile yapılabilir gibi soruların cevabını bulmak için diğer makalelerimize göz atmanızı tavsiye ederim.

Buraya kadar MITM’in mantığını anladıysak gelelim buna ne gibi önlemler alınabilir ?

Spoofing gibi saldırılar aynı ağ üzerinde olan sistemlere yönelik olduğundan ve arp paketi gönderebilmek için yönetici yetkisine sahip olmak gerektiği için ağa yetkisiz kişilerin bağlanması ve boot edilmesi güvenliği geçersiz
kılacaktır. Bu sebepten dolayı öncelikle fiziksel önlemler alınmalıdır.

Eğer büyük bir ağ yapınız yok ise Arp önbelleğinizi static hale getirirseniz her hangi bir ARP Request ve ARP Reply paketleriyle güncellenmesinin önüne geçileceğinden dolayı güvenli bir hala gelmiş olur. Bir başka yöntem ise ağınızı
düzenli olarak kontrol etmenizdir.

TR | MITM Teorisi Mert Gücü

Günümüzde oldukça yaygın kullanılan bir saldırı türü olan MITM (Man In The Middle –Ortadaki Adam) saldırısı, bilgisayar yardımıyla rahatlıkla yapılmaktadır. Fakat sızma testlerinde her zaman istenilen fiziksel koşullar sağlanamayabilir. Bu sorunu ortadan kaldırmak için akıllı telefonlar kullanılabilir. Bu yazımda Android işletim sisteminde oldukça sık kullanılan iki aracı tanıtacağım.

Intercepter-NG

Kesinlikle favorim olan ve kullanımı kolay olan bu aracı Google Play ‘den indirebilirsiniz. Fakat kullanmak istiyorsanız telefonunuzun Root’ lu olması gerekmektedir.

Ekran alıntısında görüldüğü gibi alt bölümde bağlı bulunduğumuz SSID ve aldığımız ip adresi görülmektedir. Sol üst köşede bulunan radar butonuna basarak ağa bağlı olan diğer istemcileri tespit edebiliriz.

Ağımızdaki istemcilerin ip adreslerini görmüş olduk. 192.168.0.1(Varsayılan ağ geçidi) ve MITM saldırısını yapacağımız diğer istemciyi seçiyoruz ve sağ üst köşede bulunan  “→” işaretine tıkladığımızda sniff edilen paketlerin loglarının takibini yapabileceğimiz ekrana yönlendiriliyoruz.

Burada SSLStrip (HTTPS kullanılan bağlantılar için.), Save(Kaydet) .pcap session ve Autoscroll(Otomatik kaydır.) seçeneklerini seçtik.

Saldırımızı başlattığımızda yukarıda gördüğümüz gibi paketleri yakalayıp içlerindeki giriş bilgilerini ayıklayabiliyoruz. İstersek yan sekmedeki Wireshark benzeri özelliği kullanıp paketleri inceleme imkanımız da mevcut.

zANTİ

Zanti Google Play ’den indirebileceğimiz ve Root  yetkisi gerektirmeyen, MITM saldırısının yanı sıra bir çok farklı özelliği de içinde bulunduran oldukça kullanışlı bir uygulamadır.

Uygulamayı açtıktan sonra Refresh butonuna basıyoruz ve ağımızda bulunan cihazların listesini görüyoruz. Test etmek istediğimiz istemciye tıklıyoruz. Uygulama bize Nmap taramaları dışında 4 farklı saldırı vektörü sunuyor.

Password complexity audit  seçeneği altında parola kırma saldırıları gerçekleştirebilmek için bize seçenekler sunmaktadır.

Man in the Middle sekmesini açtığımızda Intercepter-NG’nin aksine bize bir çok farklı seçenek sunmaktadır.

Redirect HTTP

Bu özellik ile kurbanın HTTP isteklerini istediğimiz url ‘ e yönlendirebiliriz.

Replace Images

Bu özellikle kullanıcının karşısına gelen resimleri, kendi belirlediğimiz resimlerle değiştirebiliriz.

Capture Download

Bu özellikle kullanıcı bir indirme gerçekleştirdiğinde, kendi dosyamızı indirtebiliriz.

Insert HTML

Kullanıcının tarayıcısına html kodlarını enjekte edebiliriz.

TR | Akıllı Telefonlarla Sızma Testleri Mert Gücü

Merhabalar,

Bu yazımızda MITMf isimli MITM ataklarını gerçekleştirmeye yarayan frameworkü ele alıp inceleyeceğiz. Öncelikle MITM nedir diye bir giriş yapalım.

MITM, Man In the Middle ın kısaltılmış hali olup, hedef ile network trafiğinin arasına girip çeşitli işlemler yapmaya yarayan atak methodudur.

Şimdi asıl işimiz olan MITMf tooluna gelirsek, öncelikle toola buradan ulaşabilirsiniz.

Şimdi uygulamamızı kurmamız için aşağıdaki komutları sırasıyla verelim.

git clone https://github.com/byt3bl33d3r/MITMf.git mitmf
pip install -r requirements.txt

Artık atak için hazır durumdayız.

Kullanılabilir pluginleri görmek için, “python mitmf.py –help” komutunu kullamamız gerekiyor. Aktif kullanabileceğimiz pluginler:

Şimdi, konfigürasyonlarımızı ayarlamamız gerekiyor. Şu lokasyonda bulunuyor: ‘/usr/share/mitmf/config/mitmf.cfg.’

Yukarıdaki gibi FilePwn kısmına geldiğimizde CompressedFiles bölümünde HOST değerlerini görüyoruz. Bunları kendimize göre ayarlamamız gerekiyor.

Yukardaki gibi ekranı görüyor olacaksınız biraz daha aşağı indiğimizde.

Artık atak için tamamiyle hazırız.

Şimdi terminalden ‘ifconfig’ komutu ile IP ve Interface değerlerimizi öğreniyoruz. Ardından, ‘route -n’ komutu ile gateway değerimizi öğreniyoruz.

wlan0 şeklinde IP mizin 10.200.1.20 , gateway değerimizin, 10.200.1.1 olduğunu varsayalım. Şimdi yapmamız gereken şey, hedefin IPsini alıp gerekli işlemleri gerçekleştirmek. Bunun için:

nmap -sP -T4 10.200.1.0/24

Şeklinde bir NMAP taraması başlatıyoruz. Şimdi hedefimizin IP adresi, 10.200.1.35 olsun.

Biz şu şekilde bir JS Keylogger atak yapabiliriz.

sudo python mitmf.py --arp --spoof --i eth0 --gateway 10.200.1.20 --target 10.200.1.35 --jskeylogger

JS Keylogger benim en sevdiğim özellik olduğu için onu örnek gösterdim.

Diğer yazıda, bir başka teknik anlatmak üzere. İyi spooflamalar

TR | MITMf Nedir ve Nasıl Kullanılır ? CanYouPwnMe