Pentesting Network
Last updated
Last updated
AWS Hacking'i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE) GCP Hacking'i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)
Bug bounty ipucu: Intigriti'ye kaydolun, hackers tarafından, hackers için oluşturulmuş premium bir bug bounty platformu! Bugün https://go.intigriti.com/hacktricks adresine katılın ve $100,000'a kadar ödüller kazanmaya başlayın!
Bu, İnternetten yanıt veren IP'leri bulmanın kısa bir bölümü olacak. Bu durumda bazı IP kapsamlarınız (belki birkaç aralık) var ve sadece hangi IP'lerin yanıt verdiğini bulmanız gerekiyor.
Bu, bir hostun açık olup olmadığını keşfetmenin en kolay ve en hızlı yoludur.
Bazı ICMP paketleri göndermeyi deneyebilir ve yanıt bekleyebilirsiniz. En kolay yol, sadece bir echo isteği göndermek ve yanıtı beklemektir. Bunu basit bir ping
kullanarak veya aralıklar için fping
kullanarak yapabilirsiniz.
Ayrıca, diğer tür ICMP paketleri göndermek için nmap kullanabilirsiniz (bu, yaygın ICMP echo istek-yanıt filtrelerini atlatacaktır).
Her türlü ICMP paketinin filtrelendiğini bulmak çok yaygındır. O zaman, bir hostun açık olup olmadığını kontrol etmek için yapabileceğiniz tek şey açık portları bulmaya çalışmaktır. Her hostun 65535 portu vardır, bu yüzden eğer "büyük" bir kapsamınız varsa, her hostun her portunun açık olup olmadığını test edemezsiniz, bu çok fazla zaman alır. O zaman, ihtiyacınız olan şey hızlı bir port tarayıcısı (masscan) ve en çok kullanılan portların bir listesidir:
Bu adımı nmap
ile de gerçekleştirebilirsiniz, ancak daha yavaştır ve nmap
'in hostları tanımlamada bazı sorunları vardır.
Bu, HTTP hizmetlerini keşfetmeye odaklanmak istediğinizde faydalı olan bir TCP port keşfidir:
Ayrıca, bir host'a daha fazla dikkat etmeniz gerekip gerekmediğini belirlemek için bazı UDP portlarının açık olup olmadığını kontrol etmeyi deneyebilirsiniz. UDP hizmetleri genellikle boş bir UDP prob paketine hiçbir veri ile yanıt vermediğinden, bir portun filtrelenip filtrelenmediğini veya açık olup olmadığını söylemek zordur. Bunu belirlemenin en kolay yolu, çalışan hizmetle ilgili bir paket göndermektir ve hangi hizmetin çalıştığını bilmediğiniz için, port numarasına dayalı olarak en olası olanı denemelisiniz:
Önceden önerilen nmap satırı, /24 aralığındaki her hostta en iyi 1000 UDP portunu test edecektir, ancak bu bile >20dk sürecektir. En hızlı sonuçlar gerekiyorsa udp-proto-scanner kullanabilirsiniz: ./udp-proto-scanner.pl 199.66.11.53/24
Bu, bu UDP probelerini beklenen portlarına gönderecektir (bir /24 aralığı için bu sadece 1 dk sürecektir): DNSStatusRequest, DNSVersionBindReq, NBTStat, NTPRequest, RPCCheck, SNMPv3GetRequest, chargen, citrix, daytime, db2, echo, gtpv1, ike, ms-sql, ms-sql-slam, netop, ntp, rpc, snmp-public, systat, tftp, time, xdmcp.
Burada yazıldığı dönemdeki tüm bilinen Wifi saldırılarına dair güzel bir rehber bulabilirsiniz:
Pentesting WifiAğ içinde iseniz, yapmak isteyeceğiniz ilk şeylerden biri diğer hostları keşfetmek olacaktır. Ne kadar gürültü yapabileceğinize/istemediğinize bağlı olarak, farklı eylemler gerçekleştirilebilir:
Bağlı bir ağ içindeki hostları pasif olarak keşfetmek için bu araçları kullanabilirsiniz:
Dışarıdan hostları keşfetme (TCP/HTTP/UDP/SCTP Port Discovery) bölümünde bahsedilen tekniklerin burada da uygulanabileceğini unutmayın. Ancak, diğer hostlarla aynı ağda olduğunuz için daha fazla şey yapabilirsiniz:
Dışarıdan hostları keşfetme bölümünde yorumlanan tekniklerin (ICMP)(ICMP) burada da uygulanabileceğini unutmayın. Ancak, diğer hostlarla aynı ağda olduğunuz için daha fazla şey yapabilirsiniz:
Eğer bir alt ağ yayın adresine ping atarsanız, ping her hosta ulaşmalı ve size yanıt verebilirler: ping -b 10.10.5.255
Ağ yayın adresine ping atarak diğer alt ağlar içindeki hostları bile bulabilirsiniz: ping -b 255.255.255.255
Host keşfi yapmak için nmap
'in -PE
, -PP
, -PM
bayraklarını kullanarak sırasıyla ICMPv4 echo, zaman damgası ve alt ağ maskesi istekleri gönderin: nmap -PE -PM -PP -sn -vvv -n 10.12.5.0/24
Wake On Lan, bilgisayarları bir ağ mesajı aracılığıyla açmak için kullanılır. Bilgisayarı açmak için kullanılan sihirli paket, yalnızca bir MAC Dst sağlanan ve ardından aynı paket içinde 16 kez tekrarlanan bir pakettir. Bu tür paketler genellikle ethernet 0x0842 veya UDP paketi ile port 9'a gönderilir. Eğer hiçbir [MAC] sağlanmazsa, paket yayın ethernet'e gönderilir (ve yayın MAC, tekrarlanan MAC olacaktır).
Derinlemesine taramak istediğiniz tüm IP'leri (harici veya dahili) keşfettikten sonra, farklı eylemler gerçekleştirilebilir.
Açık port: SYN --> SYN/ACK --> RST
Kapalı port: SYN --> RST/ACK
Filtrelenmiş port: SYN --> [YANIT YOK]
Filtrelenmiş port: SYN --> ICMP mesajı
Bir UDP portunu taramak için 2 seçenek vardır:
Kapalı ise port için ICMP ulaşılmaz yanıtını kontrol etmek amacıyla bir UDP paketi gönderin (birçok durumda ICMP filtrelenebilir, bu nedenle portun kapalı mı yoksa açık mı olduğuna dair herhangi bir bilgi almayacaksınız).
Bir hizmetten (örneğin, DNS, DHCP, TFTP ve nmap-payloads 'da listelenen diğerleri) yanıt almak için formatlanmış datagramlar gönderin. Eğer bir yanıt alırsanız, o zaman port açık demektir.
Nmap, "-sV" kullanarak her iki seçeneği de karıştıracaktır (UDP taramaları çok yavaştır), ancak UDP taramalarının TCP taramalarından daha yavaş olduğunu unutmayın:
SCTP (Akış Kontrol İletim Protokolü), TCP (İletim Kontrol Protokolü) ve UDP (Kullanıcı Datagram Protokolü) ile birlikte kullanılmak üzere tasarlanmıştır. Ana amacı, IP ağları üzerinden telefon verilerinin taşınmasını kolaylaştırmak ve Signaling System 7 (SS7)'de bulunan birçok güvenilirlik özelliğini yansıtmaktır. SCTP, SS7 sinyallerini IP ağları üzerinden taşımayı amaçlayan SIGTRAN protokol ailesinin temel bir bileşenidir.
SCTP desteği, IBM AIX, Oracle Solaris, HP-UX, Linux, Cisco IOS ve VxWorks gibi çeşitli işletim sistemleri tarafından sağlanmakta olup, telekomünikasyon ve ağ alanındaki geniş kabulünü ve faydasını göstermektedir.
nmap tarafından SCTP için iki farklı tarama sunulmaktadır: -sY ve -sZ
Yanlış yapılandırılmış yönlendiriciler, güvenlik duvarları ve ağ cihazları bazen kamusal olmayan kaynak adresleri kullanarak ağ sorgularına yanıt verir. tcpdump, test sırasında özel adreslerden alınan paketleri tanımlamak için kullanılabilir. Özellikle, Kali Linux'ta, paketler eth2 arayüzünde yakalanabilir; bu arayüz kamu Internet'inden erişilebilir. Kurulumunuzun bir NAT veya Güvenlik Duvarı arkasında olduğunu belirtmek önemlidir; bu tür paketlerin muhtemelen filtrelenecektir.
Sniffing ile IP aralıkları, alt ağ boyutları, MAC adresleri ve ana bilgisayar adları hakkında ayrıntılar öğrenebilirsiniz. Yakalanan çerçeveleri ve paketleri inceleyerek. Ağ yanlış yapılandırılmışsa veya anahtarlama yapısı stres altındaysa, saldırganlar pasif ağ sniffing yoluyla hassas materyalleri yakalayabilir.
Eğer bir anahtarlı Ethernet ağı düzgün yapılandırılmışsa, yalnızca yayın çerçevelerini ve MAC adresinize yönelik materyalleri göreceksiniz.
Birisi, ayrıca, Wireshark'ı GUI olarak kullanarak bir SSH oturumu üzerinden uzaktaki bir makineden paketleri gerçek zamanlı olarak yakalayabilir.
Açıkça.
Bir pcap veya canlı bir arayüzden kimlik bilgilerini ayrıştırmak için https://github.com/lgandx/PCredz gibi araçlar kullanabilirsiniz.
ARP Sahtekarlığı, bir makinenin IP'sinin cihazımızın MAC'ine sahip olduğunu belirtmek için gereksiz ARP Yanıtları göndermeyi içerir. Ardından, kurban ARP tablosunu değiştirecek ve sahte IP ile iletişim kurmak istediğinde her seferinde cihazımıza başvuracaktır.
Anahtarın CAM tablosunu farklı kaynak MAC adresleriyle çok sayıda paket göndererek taşır. CAM tablosu dolduğunda, anahtar bir hub gibi davranmaya başlar (tüm trafiği yayar).
Modern anahtarlarda bu güvenlik açığı giderilmiştir.
Dinamik Trunking Protokolü (DTP), trunking için otomatik bir sistem sağlamak amacıyla bir bağlantı katmanı protokolü olarak tasarlanmıştır ve anahtarların trunk modunu (Trunk) veya non-trunk modunu otomatik olarak seçmelerine olanak tanır. DTP'nin kullanımı genellikle suboptimal ağ tasarımının bir göstergesi olarak görülür ve trunk'ların yalnızca gerektiğinde manuel olarak yapılandırılmasının ve uygun belgelerin sağlanmasının önemini vurgular.
Varsayılan olarak, anahtar portları Dinamik Otomatik modda çalışacak şekilde ayarlanmıştır, bu da komşu bir anahtar tarafından tetiklendiğinde trunking başlatmaya hazır oldukları anlamına gelir. Bir pentester veya saldırgan anahtara bağlandığında ve bir DTP İstenilen çerçevesi gönderdiğinde, portun trunk moduna girmesi sağlanır. Bu eylem, saldırgana STP çerçeve analizi yoluyla VLAN'ları listeleme ve sanal arayüzler kurarak VLAN segmentasyonunu aşma imkanı tanır.
Birçok anahtarda varsayılan olarak DTP'nin varlığı, düşmanlar tarafından bir anahtarın davranışını taklit etmek için istismar edilebilir ve böylece tüm VLAN'lar üzerindeki trafiğe erişim sağlanabilir. dtpscan.sh betiği, bir arayüzü izlemek için kullanılır ve bir anahtarın Varsayılan, Trunk, Dinamik, Otomatik veya Erişim modunda olup olmadığını gösterir; sonuncusu VLAN hopping saldırılarına karşı tek korumasız yapılandırmadır. Bu araç, anahtarın güvenlik açığı durumunu değerlendirir.
Ağ güvenlik açığı tespit edilirse, Yersinia aracı DTP protokolü aracılığıyla "trunking'i etkinleştirmek" için kullanılabilir ve bu da tüm VLAN'lardan paketlerin gözlemlenmesine olanak tanır.
VLAN'ları listelemek için DTPHijacking.py** ile DTP Desirable çerçevesi oluşturmak da mümkündür. **Scripti hiçbir koşulda durdurmayın. Her üç saniyede bir DTP Desirable enjekte eder. Anahtardaki dinamik olarak oluşturulan trunk kanalları yalnızca beş dakika boyunca canlı kalır. Beş dakikadan sonra, trunk düşer.
Access/Desirable (0x03), DTP çerçevesinin İstenilen türde olduğunu belirtir, bu da porta Trunk moduna geçmesini söyler. Ve 802.1Q/802.1Q (0xa5), 802.1Q kapsama türünü belirtir.
STP çerçevelerini analiz ederek, VLAN 30 ve VLAN 60'ın varlığını öğreniyoruz.
VLAN ID'lerini ve IP değerlerini bildiğinizde, belirli bir VLAN'a saldırmak için sanal bir arayüz yapılandırabilirsiniz. Eğer DHCP mevcut değilse, o zaman ifconfig kullanarak statik bir IP adresi ayarlayın.
Tartışılan saldırı olan Dinamik Trunking ve sanal arayüzler oluşturma ve diğer VLAN'lar içindeki hostları keşfetme işlemleri, araç tarafından otomatik olarak gerçekleştirilir: https://github.com/nccgroup/vlan-hopping---frogger
Eğer bir saldırgan kurban hostun MAC, IP ve VLAN ID değerlerini biliyorsa, çift etiketli bir çerçeve oluşturmayı deneyebilir ve kendi belirlediği VLAN ile kurbanın VLAN'ını kullanarak bir paket gönderebilir. Kurban geri bağlanamayacağı için, saldırgan için en iyi seçenek, bazı ilginç eylemler gerçekleştirebilen protokollerle (örneğin SNMP) UDP üzerinden iletişim kurmaktır.
Saldırgan için bir diğer seçenek, saldırgan tarafından kontrol edilen ve kurban tarafından erişilebilen bir IP'yi taklit ederek bir TCP port taraması başlatmaktır (muhtemelen internet üzerinden). Ardından, saldırgan, kurbanın gönderdiği bazı paketleri alıp almadığını görmek için kendisine ait ikinci hostta dinleme yapabilir.
Bu saldırıyı gerçekleştirmek için scapy kullanabilirsiniz: pip install scapy
Eğer doğrudan bağlı olduğunuz bir anahtara erişiminiz varsa, ağ içinde VLAN segmentasyonunu atlama yeteneğine sahip olursunuz. Basitçe portu trunk moduna geçirin (diğer adıyla trunk), hedef VLAN'ların kimlikleri ile sanal arayüzler oluşturun ve bir IP adresi yapılandırın. Adresi dinamik olarak (DHCP) talep etmeyi deneyebilirsiniz veya statik olarak yapılandırabilirsiniz. Duruma bağlıdır.
Lateral VLAN Segmentation BypassBelirli ortamlarda, misafir kablosuz ağlar gibi, port izolasyonu (özel VLAN olarak da bilinir) ayarları, bir kablosuz erişim noktasına bağlı istemcilerin doğrudan birbirleriyle iletişim kurmasını önlemek için uygulanır. Ancak, bu izolasyon önlemlerini aşabilen bir teknik tanımlanmıştır. Bu teknik, ya ağ ACL'lerinin yokluğundan ya da yanlış yapılandırılmasından yararlanarak, IP paketlerinin bir yönlendirici üzerinden aynı ağdaki başka bir istemciye yönlendirilmesini sağlar.
Saldırı, hedef istemcinin IP adresini taşıyan ancak yönlendiricinin MAC adresi ile birlikte olan bir paket oluşturularak gerçekleştirilir. Bu, yönlendiricinin paketi yanlışlıkla hedef istemciye iletmesine neden olur. Bu yaklaşım, kurbanın erişebileceği bir ana bilgisayarı kontrol etme yeteneğinin güvenlik açığını istismar etmek için kullanıldığı Double Tagging Saldırıları ile benzerdir.
Saldırının Ana Adımları:
Bir Paket Oluşturma: Hedef istemcinin IP adresini içeren ancak yönlendiricinin MAC adresi ile birlikte özel olarak hazırlanmış bir paket oluşturulur.
Yönlendirici Davranışını İstismar Etme: Hazırlanan paket, yönlendiriciye gönderilir; yapılandırma nedeniyle, paket hedef istemciye yönlendirilir ve özel VLAN ayarları tarafından sağlanan izolasyonu aşar.
VTP (VLAN Trunking Protocol) VLAN yönetimini merkezileştirir. VLAN veritabanı bütünlüğünü korumak için revizyon numaralarını kullanır; herhangi bir değişiklik bu numarayı artırır. Anahtarlar, kendi VLAN veritabanlarını güncelleyerek daha yüksek revizyon numaralarına sahip yapılandırmaları benimser.
VTP Sunucusu: VLAN'ları yönetir—oluşturur, siler, değiştirir. Alan üyelerine VTP duyuruları yayınlar.
VTP İstemcisi: VLAN veritabanını senkronize etmek için VTP duyurularını alır. Bu rol, yerel VLAN yapılandırma değişikliklerinden kısıtlanmıştır.
VTP Şeffaf: VTP güncellemelerine katılmaz ancak VTP duyurularını iletir. VTP saldırılarından etkilenmez, sıfır olan sabit bir revizyon numarasını korur.
Özet Duyurusu: VTP sunucusu tarafından her 300 saniyede bir yayınlanır ve temel alan bilgilerini taşır.
Alt Küme Duyurusu: VLAN yapılandırma değişikliklerinden sonra gönderilir.
Duyuru Talebi: Genellikle daha yüksek bir yapılandırma revizyon numarasını tespit etmesi üzerine bir Özet Duyurusu talep etmek için bir VTP istemcisi tarafından verilir.
VTP zafiyetleri yalnızca trunk portları aracılığıyla istismar edilebilir, çünkü VTP duyuruları yalnızca bu portlar üzerinden dolaşır. DTP saldırı senaryolarından sonra VTP'ye geçiş yapılabilir. Yersinia gibi araçlar, VLAN veritabanını silmeyi hedefleyerek VTP saldırılarını kolaylaştırabilir ve ağı etkili bir şekilde kesintiye uğratabilir.
Not: Bu tartışma VTP sürüm 1 (VTPv1) ile ilgilidir.
Yersinia'nın grafiksel modunda, VLAN veritabanını temizlemek için tüm VTP VLAN'larını silme seçeneğini seçin.
Eğer arayüzlerinizde BPDU çerçevelerini yakalayamıyorsanız, STP saldırısında başarılı olmanız pek olası değildir.
Birçok BPDU TCP (Topoloji Değişikliği Bildirimi) veya Conf (topoloji oluşturulduğunda gönderilen BPDU'lar) göndererek, anahtarlar aşırı yüklenir ve doğru çalışmayı durdurur.
Bir TCP gönderildiğinde, anahtarların CAM tablosu 15 saniyede silinecektir. Ardından, bu tür paketleri sürekli gönderiyorsanız, CAM tablosu sürekli (veya her 15 saniyede bir) yeniden başlatılacak ve yeniden başlatıldığında, anahtar bir hub gibi davranacaktır.
Saldırgan, ağın STP kökü olmak için bir anahtarın davranışını simüle eder. Ardından, daha fazla veri onun üzerinden geçecektir. Bu, iki farklı anahtara bağlı olduğunuzda ilginçtir. Bu, öncelik değerinin gerçek kök anahtarın gerçek önceliğinden daha az olduğunu söyleyen BPDUs CONF paketleri göndererek yapılır.
Eğer saldırgan 2 anahtara bağlıysa, yeni ağacın kökü olabilir ve bu anahtarlar arasındaki tüm trafik onun üzerinden geçecektir (bir MITM saldırısı gerçekleştirilecektir).
CISCO Discovery Protocol (CDP), CISCO cihazları arasında iletişim için gereklidir ve onların birbirlerini tanımlayıp yapılandırma detaylarını paylaşmalarını sağlar.
CDP, bilgileri tüm portlar üzerinden yayınlayacak şekilde yapılandırılmıştır, bu da bir güvenlik riski oluşturabilir. Bir saldırgan, bir anahtar portuna bağlandığında, Wireshark, tcpdump veya Yersinia gibi ağ dinleyicileri kullanabilir. Bu eylem, ağ cihazı hakkında model ve çalıştığı Cisco IOS sürümü gibi hassas verileri açığa çıkarabilir. Saldırgan, ardından belirlenen Cisco IOS sürümündeki belirli zafiyetleri hedef alabilir.
Daha agresif bir yaklaşım, anahtarın belleğini aşırı yükleyerek bir Hizmet Reddi (DoS) saldırısı başlatmaktır; bu, meşru CISCO cihazları gibi davranarak yapılır. Aşağıda, Yersinia kullanarak böyle bir saldırıyı başlatmak için gereken komut dizisi bulunmaktadır:
Bu saldırı sırasında, anahtarın CPU'su ve CDP komşu tablosu ağır bir şekilde yüklenir, bu da aşırı kaynak tüketimi nedeniyle genellikle “ağ felci” olarak adlandırılan duruma yol açar.
You could also use scapy. Be sure to install it with scapy/contrib
package.
VoIP telefonları, giderek IoT cihazlarıyla entegre hale gelerek, kapıları açma veya termostatları kontrol etme gibi işlevler sunar. Ancak, bu entegrasyon güvenlik riskleri oluşturabilir.
Aracı voiphopper, çeşitli ortamlarda (Cisco, Avaya, Nortel, Alcatel-Lucent) bir VoIP telefonunu taklit etmek için tasarlanmıştır. Ses ağının VLAN kimliğini CDP, DHCP, LLDP-MED ve 802.1Q ARP gibi protokoller kullanarak keşfeder.
VoIP Hopper, Cisco Discovery Protocol (CDP) için üç mod sunar:
Sniff Modu (-c 0
): VLAN kimliğini belirlemek için ağ paketlerini analiz eder.
Spoof Modu (-c 1
): Gerçek bir VoIP cihazının paketlerini taklit eden özel paketler oluşturur.
Önceden Yapılmış Paket ile Spoof Modu (-c 2
): Belirli bir Cisco IP telefon modeliyle aynı olan paketleri gönderir.
Hız için tercih edilen mod üçüncüsüdür. Şunları belirtmek gerekir:
Saldırganın ağ arayüzü (-i
parametresi).
Taklit edilen VoIP cihazının adı (-E
parametresi), Cisco adlandırma formatına (örneğin, SEP ardından bir MAC adresi) uygun olmalıdır.
Kurumsal ortamlarda, mevcut bir VoIP cihazını taklit etmek için şunlar yapılabilir:
Telefonun üzerindeki MAC etiketini incelemek.
Telefonun ekran ayarlarına giderek model bilgilerini görüntülemek.
VoIP cihazını bir dizüstü bilgisayara bağlayarak Wireshark kullanarak CDP isteklerini gözlemlemek.
Üçüncü modda aracı çalıştırmak için bir örnek komut:
DoS
DoS'un iki türü, DHCP sunucularına karşı gerçekleştirilebilir. İlk tür, tüm olası IP adreslerini kullanmak için yeterince sahte ana bilgisayar simüle etmektir. Bu saldırı, yalnızca DHCP sunucusunun yanıtlarını görebiliyorsanız ve protokolü tamamlayabiliyorsanız çalışır (Discover (Comp) --> Offer (server) --> Request (Comp) --> ACK (server)). Örneğin, bu Wifi ağlarında mümkün değildir.
DHCP DoS gerçekleştirmek için başka bir yol, her olası IP'yi kaynak kodu olarak kullanarak bir DHCP-RELEASE paketi göndermektir. Böylece, sunucu herkesin IP'yi kullanmayı bitirdiğini düşünecektir.
Daha otomatik bir yol, DHCPing aracını kullanmaktır.
Belirtilen DoS saldırılarını kullanarak istemcileri ortamda yeni kiralamalar almaya zorlayabilir ve meşru sunucuları tüketerek yanıt veremez hale getirebilirsiniz. Böylece meşru sunucular yeniden bağlanmaya çalıştığında, bir sonraki saldırıda belirtilen kötü niyetli değerleri sunabilirsiniz.
Bir sahte DHCP sunucusu, /usr/share/responder/DHCP.py
konumundaki DHCP betiği kullanılarak kurulabilir. Bu, trafiği kötü niyetli bir sunucuya yönlendirerek HTTP trafiğini ve kimlik bilgilerini yakalamak gibi ağ saldırıları için faydalıdır. Ancak, sahte bir ağ geçidi ayarlamak daha az etkilidir çünkü bu yalnızca istemciden çıkan trafiği yakalamaya izin verir ve gerçek ağ geçidinden gelen yanıtları kaçırır. Bunun yerine, daha etkili bir saldırı için sahte bir DNS veya WPAD sunucusu kurmak önerilir.
Aşağıda sahte DHCP sunucusunu yapılandırmak için komut seçenekleri bulunmaktadır:
IP Adresimiz (Ağ Geçidi İlanı): Makinenizin IP'sini ağ geçidi olarak ilan etmek için -i 10.0.0.100
kullanın.
Yerel DNS Alan Adı: İsteğe bağlı olarak, yerel bir DNS alan adı ayarlamak için -d example.org
kullanın.
Orijinal Yönlendirici/Ağ Geçidi IP'si: Meşru yönlendiricinin veya ağ geçidinin IP adresini belirtmek için -r 10.0.0.1
kullanın.
Birincil DNS Sunucusu IP'si: Kontrol ettiğiniz sahte DNS sunucusunun IP adresini ayarlamak için -p 10.0.0.100
kullanın.
İkincil DNS Sunucusu IP'si: İsteğe bağlı olarak, ikincil bir DNS sunucusu IP'si ayarlamak için -s 10.0.0.1
kullanın.
Yerel Ağın Alt Ağ Maskesi: Yerel ağ için alt ağ maskesini tanımlamak için -n 255.255.255.0
kullanın.
DHCP Trafiği için Arayüz: Belirli bir ağ arayüzünde DHCP trafiğini dinlemek için -I eth1
kullanın.
WPAD Yapılandırma Adresi: Web trafiği kesintisi için WPAD yapılandırma adresini ayarlamak için -w “http://10.0.0.100/wpad.dat”
kullanın.
Varsayılan Ağ Geçidi IP'sini Taklit Etme: Varsayılan ağ geçidi IP adresini taklit etmek için -S
ekleyin.
Tüm DHCP İsteklerine Yanıt Verme: Sunucunun tüm DHCP isteklerine yanıt vermesi için -R
ekleyin, ancak bunun gürültülü olduğunu ve tespit edilebileceğini unutmayın.
Bu seçenekleri doğru bir şekilde kullanarak, ağ trafiğini etkili bir şekilde kesmek için bir sahte DHCP sunucusu kurulabilir.
İşte 802.1X uygulamalarına karşı kullanılabilecek bazı saldırı taktikleri:
EAP üzerinden aktif brute-force şifre kırma
Bozulmuş EAP içeriği ile RADIUS sunucusuna saldırma **(istismarlar)
EAP mesajlarını yakalama ve çevrimdışı şifre kırma (EAP-MD5 ve PEAP)
TLS sertifika doğrulamasını atlamak için EAP-MD5 kimlik doğrulamasını zorlamak
Bir hub veya benzeri bir cihaz kullanarak kimlik doğrulama sırasında kötü niyetli ağ trafiği enjekte etme
Eğer saldırgan, kurban ile kimlik doğrulama sunucusu arasında ise, kimlik doğrulama protokolünü EAP-MD5'ye düşürmeyi (gerekirse) deneyebilir ve kimlik doğrulama girişimini yakalayabilir. Ardından, bunu brute-force ile kırmayı deneyebilir:
FHRP (First Hop Redundancy Protocol), bir sıcak yedek yönlendirme sistemi oluşturmak için tasarlanmış bir ağ protokolleri sınıfıdır. FHRP ile fiziksel yönlendiriciler tek bir mantıksal cihazda birleştirilebilir, bu da hata toleransını artırır ve yük dağılımına yardımcı olur.
Cisco Systems mühendisleri iki FHRP protokolü geliştirmiştir: GLBP ve HSRP.
GLBP & HSRP AttacksYönlendirme Bilgi Protokolü (RIP) için üç versiyonun var olduğu bilinmektedir: RIP, RIPv2 ve RIPng. RIP ve RIPv2, datagramları UDP üzerinden 520 numaralı port aracılığıyla akranlara gönderirken, RIPng datagramları IPv6 çoklu yayını aracılığıyla UDP 521 numaralı portuna yayınlar. MD5 kimlik doğrulama desteği RIPv2 ile tanıtılmıştır. Öte yandan, RIPng yerel kimlik doğrulama içermemektedir; bunun yerine, IPv6 içindeki isteğe bağlı IPsec AH ve ESP başlıklarına güvenilmektedir.
RIP ve RIPv2: İletişim, 520 numaralı portta UDP datagramları aracılığıyla yapılır.
RIPng: IPv6 çoklu yayını aracılığıyla datagramları yayınlamak için 521 numaralı UDP portunu kullanır.
RIPv2'nin MD5 kimlik doğrulamasını desteklediğini, RIPng'nin ise yerel kimlik doğrulama içermediğini ve IPv6'daki IPsec AH ve ESP başlıklarına güvendiğini unutmayın.
EIGRP (Enhanced Interior Gateway Routing Protocol) dinamik bir yönlendirme protokolüdür. Bu bir mesafe vektör protokolüdür. Eğer kimlik doğrulama yoksa ve pasif arayüzlerin yapılandırması yapılmamışsa, bir saldırgan EIGRP yönlendirmesine müdahale edebilir ve yönlendirme tablolarını zehirleyebilir. Ayrıca, EIGRP ağı (diğer bir deyişle, otonom sistem) düzdür ve herhangi bir bölgeye ayrılmamıştır. Eğer bir saldırgan bir rota enjekte ederse, bu rotanın otonom EIGRP sistemi boyunca yayılması muhtemeldir.
EIGRP sistemine saldırmak, meşru bir EIGRP yönlendiricisi ile bir komşuluk kurmayı gerektirir; bu da temel keşiften çeşitli enjekte etmelere kadar birçok olasılığı açar.
FRRouting BGP, OSPF, EIGRP, RIP ve diğer protokolleri destekleyen sanal bir yönlendirici uygulamanıza olanak tanır. Tek yapmanız gereken, bunu saldırganın sistemine dağıtmak ve aslında yönlendirme alanında meşru bir yönlendirici gibi davranmaktır.
EIGRP AttacksColy EIGRP (Enhanced Interior Gateway Routing Protocol) yayınlarını yakalama yeteneklerine sahiptir. Ayrıca, yönlendirme yapılandırmalarını değiştirmek için kullanılabilecek paketlerin enjekte edilmesine de olanak tanır.
Open Shortest Path First (OSPF) protokolünde MD5 kimlik doğrulaması, yönlendiriciler arasında güvenli iletişimi sağlamak için yaygın olarak kullanılır. Ancak, bu güvenlik önlemi Loki ve John the Ripper gibi araçlar kullanılarak tehlikeye atılabilir. Bu araçlar, MD5 hash'lerini yakalayabilir ve kırabilir, kimlik doğrulama anahtarını açığa çıkarabilir. Bu anahtar elde edildikten sonra, yeni yönlendirme bilgileri eklemek için kullanılabilir. Rota parametrelerini yapılandırmak ve ele geçirilmiş anahtarı belirlemek için sırasıyla Injection ve Connection sekmeleri kullanılır.
MD5 Hash'lerini Yakalama ve Kırma: Bu amaçla Loki ve John the Ripper gibi araçlar kullanılır.
Rota Parametrelerini Yapılandırma: Bu, Injection sekmesi aracılığıyla yapılır.
Ele Geçirilmiş Anahtarı Ayarlama: Anahtar, Connection sekmesi altında yapılandırılır.
Above: Ağ trafiğini taramak ve zafiyetleri bulmak için bir araç
Ağ saldırıları hakkında daha fazla bilgi burada bulabilirsiniz.
Saldırgan, yeni ağ üyesinin tüm ağ parametrelerini (GW, IP, DNS) sahte DHCP yanıtları göndererek yapılandırır.
ICMP Redirect, bir IP'ye ulaşmanın en iyi yolunun saldırgan olduğunu belirten ICMP paket türü 1 kod 5 göndermeyi içerir. Ardından, kurban IP ile iletişim kurmak istediğinde, paketi saldırgan üzerinden gönderecektir.
Saldırgan, kurbanın talep ettiği bazı (veya tüm) alan adlarını çözecektir.
dnsmasq ile kendi DNS'inizi yapılandırın
Sistemlere ve ağlara genellikle birden fazla yol vardır. Yerel ağ içindeki MAC adreslerinin bir listesini oluşturduktan sonra, IPv4 yönlendirmesini destekleyen ana bilgisayarları tanımlamak için gateway-finder.py kullanın.
DNS sorguları başarısız olduğunda yerel ana bilgisayar çözümü için Microsoft sistemleri Link-Local Multicast Name Resolution (LLMNR) ve NetBIOS Name Service (NBT-NS)'ye dayanır. Benzer şekilde, Apple Bonjour ve Linux sıfır yapılandırma uygulamaları, bir ağ içindeki sistemleri keşfetmek için Multicast DNS (mDNS) kullanır. Bu protokollerin kimlik doğrulama gerektirmeyen doğası ve UDP üzerinden çalışmaları, mesajları yayınlayarak, kullanıcıları kötü niyetli hizmetlere yönlendirmeyi amaçlayan saldırganlar tarafından istismar edilebilir.
Yanıtlayıcıyı kullanarak ana bilgisayarlar tarafından aranan hizmetleri taklit etmek için sahte yanıtlar gönderebilirsiniz. Daha fazla bilgi için Yanıtlayıcı ile hizmetleri nasıl taklit edeceğinizi buradan okuyun.
Tarayıcılar genellikle Web Proxy Auto-Discovery (WPAD) protokolünü otomatik olarak proxy ayarlarını almak için kullanır. Bu, bir sunucudan yapılandırma ayrıntılarını almak anlamına gelir, özellikle "http://wpad.example.org/wpad.dat" gibi bir URL aracılığıyla. Bu sunucunun istemciler tarafından keşfi çeşitli mekanizmalarla gerçekleşebilir:
DHCP aracılığıyla, burada keşif özel bir kod 252 girişi kullanılarak kolaylaştırılır.
DNS aracılığıyla, bu yerel alanda wpad olarak etiketlenmiş bir ana bilgisayar adını aramayı içerir.
Microsoft LLMNR ve NBT-NS aracılığıyla, DNS sorgularının başarısız olduğu durumlarda kullanılan yedekleme mekanizmalarıdır.
Yanıtlayıcı aracı, kötü niyetli bir WPAD sunucusu olarak hareket ederek bu protokolden yararlanır. İstemcileri kendisine bağlanmaya yönlendirmek için DHCP, DNS, LLMNR ve NBT-NS kullanır. Yanıtlayıcı kullanarak hizmetlerin nasıl taklit edilebileceği hakkında daha fazla bilgi için bunu kontrol edin.
Ağda farklı hizmetler sunarak bir kullanıcıyı bazı düz metin kimlik bilgilerini girmeye kandırmaya çalışabilirsiniz. Bu saldırı hakkında daha fazla bilgi için SSDP ve UPnP Cihazlarını Spoofing.
Bu saldırı, ARP Spoofing'e çok benzer ancak IPv6 dünyasında geçerlidir. Kurbanın, GW'nin IPv6'sının saldırganın MAC'ine sahip olduğunu düşünmesini sağlayabilirsiniz.
Bazı işletim sistemleri, ağda gönderilen RA paketlerinden varsayılan olarak geçidi yapılandırır. Saldırganı IPv6 yönlendiricisi olarak ilan etmek için şunu kullanabilirsiniz:
Varsayılan olarak bazı işletim sistemleri, ağda bir DHCPv6 paketi okuyarak DNS'i yapılandırmaya çalışır. Ardından, bir saldırgan kendisini DNS olarak yapılandırmak için bir DHCPv6 paketi gönderebilir. DHCP ayrıca kurban için bir IPv6 sağlar.
Bu saldırının temel olarak yaptığı şey, eğer kullanıcı bir HTTP sayfasına erişmeye çalışıyorsa ve bu sayfa HTTPS versiyonuna yönlendiriliyorsa. sslStrip, istemci ile bir HTTP bağlantısını ve sunucu ile bir HTTPS bağlantısını sürdürecektir, böylece bağlantıyı düz metin olarak dinleyebilecektir.
Daha fazla bilgi burada.
sslStrip+ ve dns2proxy arasındaki fark, sslStrip'e karşı, örneğin www.facebook.com adresini wwww.facebook.com olarak yönlendirmeleridir (not: ekstra "w" var) ve bu alan adının adresini saldırgan IP'si olarak ayarlayacaklardır. Bu şekilde, istemci wwww.facebook.com (saldırgan) ile bağlanacak, ancak arka planda sslstrip+ gerçek bağlantıyı www.facebook.com ile https üzerinden sürdürecektir.
Bu tekniğin amacı, wwww.facebook.com tarayıcının önbelleğine kaydedilmeyeceği için HSTS'yi atlamaktır; böylece tarayıcı facebook kimlik doğrulamasını HTTP üzerinden gerçekleştirmeye kandırılacaktır. Bu saldırıyı gerçekleştirmek için, mağdurun öncelikle http://www.faceook.com adresine erişmeye çalışması gerektiğini unutmayın ve https değil. Bu, bir http sayfasındaki bağlantıları değiştirerek yapılabilir.
Daha fazla bilgi burada, burada ve burada.
sslStrip veya sslStrip+ artık çalışmıyor. Bunun nedeni, tarayıcılarda önceden kaydedilmiş HSTS kurallarının olmasıdır, bu nedenle bir kullanıcı "önemli" bir alan adına ilk kez erişse bile HTTPS üzerinden erişecektir. Ayrıca, önceden kaydedilmiş kurallar ve diğer üretilen kurallar includeSubdomains
bayrağını kullanabilir, bu nedenle wwww.facebook.com örneği artık çalışmayacaktır çünkü facebook.com includeSubdomains
ile HSTS kullanmaktadır.
TODO: easy-creds, evilgrade, metasploit, factory
Bazen, eğer müşteri CA'nın geçerli olduğunu kontrol ederse, bir CA tarafından imzalanmış başka bir ana bilgisayar adı sertifikası sunabilirsiniz. Diğer ilginç bir test, istenen ana bilgisayar adı için ancak kendinden imzalı bir sertifika sunmaktır.
Test edilecek diğer şeyler, sertifikayı geçerli bir CA olmayan geçerli bir sertifika ile imzalamayı denemek veya geçerli genel anahtarı kullanarak, gerçek özel anahtarla herhangi bir şeyi deşifre etmeye ihtiyaç duymayan bir algoritma (diffie hellman gibi) kullanmaya zorlamaktır ve müşteri gerçek özel anahtarın bir denemesini (bir hash gibi) talep ettiğinde sahte bir deneme göndermek ve müşterinin bunu kontrol etmemesini beklemektir.
Bir UDP paketi, istenen porta sahip olmayan bir cihaza gönderildiğinde, bir ICMP (Port Ulaşılmaz) gönderildiğini dikkate alın.
ARP paketleri, ağ içinde hangi IP'lerin kullanıldığını keşfetmek için kullanılır. PC, her olası IP adresi için bir istek göndermeli ve yalnızca kullanılanlar yanıt verecektir.
Bettercap, _services_.dns-sd._udp.local için bir MDNS isteği gönderir (her X ms) ve bu paketi gören makine genellikle bu isteğe yanıt verir. Ardından, yalnızca "services" yanıt veren makineleri arar.
Araçlar
Avahi-browser (--all)
Bettercap (net.probe.mdns)
Responder
Bettercap, "CKAAAAAAAAAAAAAAAAAAAAAAAAAAA" ismini sormak için 137/UDP portuna paketler yayınlar.
Bettercap, her türlü hizmeti aramak için SSDP paketleri yayınlar (UDP Port 1900).
Bettercap, hizmetleri aramak için WSD paketleri yayınlar (UDP Port 3702).
Ağ Güvenliği Değerlendirmesi: Ağınızı Tanıyın (3. baskı)
Pratik IoT Hacking: Nesnelerin İnternetine Saldırmanın Kesin Rehberi. Fotios Chantzis, Ioannis Stais, Paulino Calderon, Evangelos Deirmentzoglou, Beau Wood tarafından
Hata avı ipucu: Intigriti için kayıt olun, hackerlar tarafından, hackerlar için oluşturulmuş premium bir hata avı platformu! Bugün https://go.intigriti.com/hacktricks adresine katılın ve $100,000'a kadar ödüller kazanmaya başlayın!
AWS Hacking'i öğrenin ve pratik yapın:HackTricks Eğitim AWS Kırmızı Takım Uzmanı (ARTE) GCP Hacking'i öğrenin ve pratik yapın: HackTricks Eğitim GCP Kırmızı Takım Uzmanı (GRTE)