Sızma Testine Giriş 101 – 1

Sızma testine başlamadan önce test yapılacak network topolojisini öğrenmek için keşif çalışması yapılması gerekir. Ana hatları ile network topolojisini tespit ettikten sonra ise networkte çalışan uygulamalar, bu uygulamaların yayın yaptığı portlar vb. İncelenerek atak vektörlerinin tespit edilmesi ilk yapılacak çalışmalardandır.

Temel anlamda networkte keşif yapabilmek için kullanacağımız araçlar ve bunların kullanım örneklerinden kısaca bahsedecek olursak;

Ağ Keşfi (Network Reconnaissance)

Öncelikle bir netdiscover -i eth0 -r 192.168.43.0/24 komutu ile ağı keşfetmek yararlı olabilir.

┌─[]─[[email protected]]─[/home/c3y]

└── #netdiscover -i eth0 -r 192.168.43.0/24


Tabii ki bunun ardınan arp tabloları üzerinen veri toplamak da gerekecektir. Arp-scan 192.168.43.0/24 –interface eth0 > 192.168.43.0.txt &

┌─[[email protected]]─[/home/c3y]

└── #arp-scan 192.168.43.0/24 -interface eth0 > 192.168.43.0.txt &

[1] 8600

┌─[[email protected]]─[/home/c3y]

└── #more 192.168.43.0.txt

[1]+ Done arp-scan 192.168.43.0/24 -interface eth0 > 192.168.43.0.txt

Interface: eth0, type: EN10MB, MAC: 00:0c:29:a2:d8:6b, IPv4: 192.168.43.3

Starting arp-scan 1.9.7 with 256 hosts (https://github.com/royhills/arp-scan)

192.168.43.2 28:e3:47:29:79:1c Liteon Technology Corporation

192.168.43.1 24:df:6a:f0:d1:69 HUAWEI TECHNOLOGIES CO.,LTD

3 packets received by filter, 0 packets dropped by kernel

Ending arp-scan 1.9.7: 256 hosts scanned in 2.097 seconds (122.08 hosts/sec). 2

responded


Networkteki SNMP mesajlarının yakalanması network hakkında daha fazla bilgi edinmemizi sağlayacağı için buraları da bi kurcalamak gerekir. İyi yapılandırılmamıs bir networkte birçok cihazda SNMP bilgisi public olarak duruyor olacaktır. “Enumeration is the key mottosunu benimseyenlerin yapacağı gibi ne kadar bilgi toplasak o kadar kardır diyerek devam edilebilir.

Snmpwalk -c public -v1 192.168.31.207 1.3.6.1.2.1.25.4.2.1.2

./snmpenum.pl 192.168.1.101 public windows.txt

hping3 -S 192.168.43.1 –scan 21,22,443,445,3389 -V

┌─[]─[[email protected]]─[/home/c3y]

└── #hping3 -S 192.168.43.1 –scan 21,22,443,445,3389 -V

using eth0, addr: 192.168.43.3, MTU: 1500

Scanning 192.168.43.1 (192.168.43.1), port 21,22,443,445,3389

5 ports to scan, use -V to see all the replies

+—-+———–+———+—+—–+—–+—–+

|port| serv name | flags |ttl| id | win | len |

+—-+———–+———+—+—–+—–+—–+

443 https : .S..A… 64 0 5840 46

All replies received. Done.

Not responding ports: (21 ftp) (22 ssh) (445 microsoft-d) (3389 ms-wbt-serv)

dnsrecon -d zonetransfer.me -t axfr komutu ile dns keşfi de yapılması gerekenlerden biridir.


DNS keşfine girmişken dns üzerinden bilgisayarları tespit etmeden de olmaz ki ama dnsenum icnetwork.com

Nmap kullanmayacak mıyız dediğinizi duyar gibiyim. Nmap elbette olmazsa olmazlarımızdan ama masscan’a da göz atmanızı öneririm.

En fazla kullanılan ve bilinen 10 portu taramak için;

nmap 192.168.43.1 –top-ports 10 –open


Hostları keşfetmek için;

nmap -sP -PS443,80,25,22,139,445,3389 192.168.43.*

Keşif taramasını gizli yapmak için;

nmap -sS -Pn -A 192.168.43.35

Kurban bilgisayarında kapsamlı tarama için;

nmap -sV -A 192.168.43.35 -oX “scan.xml”

UDP port taraması yapmak için;

nmap -sU –min-rate 1000 192.168.43.25 (Çok uzun sürmemesi için minimum değer ataması yapılabilir)

Fake IP üzerinden tarama yapma

nmap -sS 192.168.43.35 -D 10.0.0.1,10.0.0.2,10.0.0.4

Tarama spesifik bir IP adresinden yapılıyor gibi göstermek için;

nmap -sX <ip> -S 10.11.12.13 -e eth1

IP adresini rastgele 10 ip adresi arasına gizlemek için;

nmap -sX <ip> -D RND:10

SYN Scan tekniği ile tarama yapılmasının yanısıra servis ve versiyon tespiti de gerçekleştirilecektir.

Nmap -sS -sV -Pn -p- 192.168.43.35

Nmap aracının en güçlü özelliklerinden biri script kullanma yeteneğidir. Nmap scriptleri hedef ağda bulunabilecek açıklıklar hakkında bilgi edinmemizde çok faydalıdır.

Ancak unutmamalıdır ki, nmap aracını bu şekilde kullanmak çok gürültülüdür ve güvenlik sistemleri tarafından rahatlıkla fark edilmemize neden olabilir.

nmap –script http-enum 192.168.43.1

nmap -v –script smb-enum-shares 192.168.43.1

nmap -p 139,445 –script smb-enum-users 192.168.43.1

nmap -v –script http-iis-webdav-vuln 192.168.43.1

nmap -p 80 192.168.1.4 –script http-put –script-args http-put.url=’/dav/nmap.php’,http-put.file=’/c3y/Desktop/nmap.php’

Nmap yeteneklerini shell scripting ile birleştirdiğimizde ise bilgi toplama aşamasını daha esnek ve gürültüsüz hale getirebiliriz.

Örneğin aşağıdaki script ile iplist.txt dosyasındaki tüm ip adresleri taramadan geçirilir.

#!/bin/bash

for ip in $(cat list.txt);do

    nmap -sV -A -Pn $ip > scan_result/$iplist.txt &

done

Benzer şekilde bir başka örnek ise hedef aldığımız tüm bilgisayarlarda bulmak istediğimiz açığa yönelik tarama için aşağıdaki scripti kullanabiliriz.

#!/bin/bash

for ip in $(cat iplist.txt);do

    nmap -sV -A -Pn –script=smb-vuln-ms17-010.nse,smb-vuln-ms10-061.nse,smb-vuln-ms10-054.nse,smb-vuln-ms08-067.nse,smb-vuln-ms07-029.nse,smb-vuln-ms06-025.nse,smb-vuln-cve-2017-7494.nse,smb-vuln-cve2009-3103.nse,smb-vuln-conficker.nse,samba-vuln-cve-2012-1182.nse, > scan_results/smbzafiyeti.txt &

done

 

Bunun dışında nmap desteği olan Scapy sayesinde paket manipülasyonu yapma , ağ paketlerini üretme, dizayn etme, vlan atlatma arp poisining gibi işlemleri de yapabilirsiniz.

Bunun için aşağıdkai adresten faydalanabilirsiniz.

https://scapy.readthedocs.io/en/latest/introduction.html

Şimdilik bu kadar diyerek network taraması ile ilgili kullanacağımız temel komutları geride bırakalım.

İkinci kısımda servislere yönelik taramalara değinerek devam edeceğiz.