zanti arşivleri • CanYouPwnMe! - For Cyber Security Researchers https://canyoupwn.me cypm! Thu, 19 Apr 2018 19:42:18 +0000 tr hourly 1 https://wordpress.org/?v=6.0 https://canyoupwn.me/wp-content/uploads/2016/02/cropped-Başlıksız-1-32x32.png zanti arşivleri • CanYouPwnMe! - For Cyber Security Researchers https://canyoupwn.me 32 32 TR | Akıllı Telefonlarla Sızma Testleri https://canyoupwn.me/tr-akilli-telefonlarla-sizma-testleri/ https://canyoupwn.me/tr-akilli-telefonlarla-sizma-testleri/#respond Wed, 23 Mar 2016 07:30:45 +0000 https://canyoupwn.me/?p=836 CanYouPwnMe! - For Cyber Security Researchers CanYouPwnMe! - For Cyber Security Researchers - cypm!

Günümüzde oldukça yaygın kullanılan bir saldırı türü olan MITM (Man In The Middle –Ortadaki Adam) saldırısı, bilgisayar yardımıyla rahatlıkla yapılmaktadır. Fakat sızma testlerinde her zaman istenilen fiziksel koşullar sağlanamayabilir. Bu sorunu ortadan kaldırmak için akıllı telefonlar kullanılabilir. Bu yazımda Android işletim sisteminde oldukça sık kullanılan iki aracı tanıtacağım. Intercepter-NG Kesinlikle favorim olan ve kullanımı kolay olan […]

TR | Akıllı Telefonlarla Sızma Testleri Mert Gücü

]]> CanYouPwnMe! - For Cyber Security Researchers CanYouPwnMe! - For Cyber Security Researchers - cypm!

Günümüzde oldukça yaygın kullanılan bir saldırı türü olan MITM (Man In The Middle –Ortadaki Adam) saldırısı, bilgisayar yardımıyla rahatlıkla yapılmaktadır. Fakat sızma testlerinde her zaman istenilen fiziksel koşullar sağlanamayabilir. Bu sorunu ortadan kaldırmak için akıllı telefonlar kullanılabilir. Bu yazımda Android işletim sisteminde oldukça sık kullanılan iki aracı tanıtacağım.

Intercepter-NG

Kesinlikle favorim olan ve kullanımı kolay olan bu aracı Google Play ‘den indirebilirsiniz. Fakat kullanmak istiyorsanız telefonunuzun Root’ lu olması gerekmektedir.

1

2

Ekran alıntısında görüldüğü gibi alt bölümde bağlı bulunduğumuz SSID ve aldığımız ip adresi görülmektedir. Sol üst köşede bulunan radar butonuna basarak ağa bağlı olan diğer istemcileri tespit edebiliriz.

3

Ağımızdaki istemcilerin ip adreslerini görmüş olduk. 192.168.0.1(Varsayılan ağ geçidi) ve MITM saldırısını yapacağımız diğer istemciyi seçiyoruz ve sağ üst köşede bulunan  “→” işaretine tıkladığımızda sniff edilen paketlerin loglarının takibini yapabileceğimiz ekrana yönlendiriliyoruz.

4

Burada SSLStrip (HTTPS kullanılan bağlantılar için.), Save(Kaydet) .pcap session ve Autoscroll(Otomatik kaydır.) seçeneklerini seçtik.

5

Saldırımızı başlattığımızda yukarıda gördüğümüz gibi paketleri yakalayıp içlerindeki giriş bilgilerini ayıklayabiliyoruz. İstersek yan sekmedeki Wireshark benzeri özelliği kullanıp paketleri inceleme imkanımız da mevcut.

6

zANTİ

Zanti Google Play ’den indirebileceğimiz ve Root  yetkisi gerektirmeyen, MITM saldırısının yanı sıra bir çok farklı özelliği de içinde bulunduran oldukça kullanışlı bir uygulamadır.

7

Uygulamayı açtıktan sonra Refresh butonuna basıyoruz ve ağımızda bulunan cihazların listesini görüyoruz. Test etmek istediğimiz istemciye tıklıyoruz. Uygulama bize Nmap taramaları dışında 4 farklı saldırı vektörü sunuyor.

8

Password complexity audit  seçeneği altında parola kırma saldırıları gerçekleştirebilmek için bize seçenekler sunmaktadır.

9

Man in the Middle sekmesini açtığımızda Intercepter-NG’nin aksine bize bir çok farklı seçenek sunmaktadır.

Redirect HTTP

Bu özellik ile kurbanın HTTP isteklerini istediğimiz url ‘ e yönlendirebiliriz.

10

Replace Images

Bu özellikle kullanıcının karşısına gelen resimleri, kendi belirlediğimiz resimlerle değiştirebiliriz.

Capture Download

Bu özellikle kullanıcı bir indirme gerçekleştirdiğinde, kendi dosyamızı indirtebiliriz.

Insert HTML

Kullanıcının tarayıcısına html kodlarını enjekte edebiliriz.

11

zanti

 

 

TR | Akıllı Telefonlarla Sızma Testleri Mert Gücü

]]> https://canyoupwn.me/tr-akilli-telefonlarla-sizma-testleri/feed/ 0