Esenlikler dilerim efendim,
bu yazımızda sizlere web hacking ve defacing'e yeni başlayan arkadaşlarımızın ne kadar tavsiye etmesek de bazen CTF'lerde ve kurumsal pentest işlemlerinde bile gerek duyulabilen bir konuyu inceleyeceğiz, evet kaba-kuvvet saldırısını.
Kaba-Kuvvet (diğer bir adıyla Brute-Force) saldırısını yapmak için GNU/Linux ve Windows işlemlerinde bolca araç bulunmakta, ayrıca bazı araçlar Wordpress, Joomla, VBulletin, Drupal benzeri diğer sistemlere özelleştirilmiş şekilde. Ancak biz (ben) bu yazıda sizlere çok amaçlı, gelişmiş, İsveç çakısı gibi bir Proxy aracı olan BurpSuite üzerinden istediğiniz herhangi bir siteye Brute-Force işlemi yapmayı göstereceğim, tabi bu kaba-kuvvet (bundan sonra KK diyeceğim) yöntemini sadece admin panellerinden credentials eşleştirmek için değil, günlük hayattaki işlerinizde bile kullanabilirsiniz, örneğin bazı sitelerde domain kontrolü yaparken, ya da Zula,Wolfteam, Metin2 (PVP'ler dahil) vb. oyunlarda parola kırmaya çalışırken, bazı web uygulamalarında ya da tarayıcı tabanlı oyunlarda spam yaparken.
REM Kayıp kısım burada başlıyor
KK saldırısı örneğinin akılda kalıcı olması adına, bir PKK sitesinde deneyeceğiz.
Aşağıda PKK bağlantısı olduğunu öğrendiğim bir site var.
Admin panelini bulmak için GNU/Linux ve Windows'taki tonla aracı kullanmak yerine birazcık kafamızı kullanarak küçük bir numaraya başvuruyoruz.
Tamamdır, paneli elimizle koymuş gibi bulduk ama bakalım taşınmış mı?
Tamam şimdi paneli bulduk ancak KK Saldırısını nasıl uygulayacağız?
Burp Suite'i açalım ve aşağıdaki resimdeki gibi ayarlamalarımızı yapalım.
Burada "Loopback only" derseniz bu proxy uygulamasını sadece lokal olarak kullanabilirsiniz ancak "All Interfaces" seçili olursa diğer cihazlardan da istekleri yakalayabilirsiniz.
Tamam bilgisayarımızın 5553 numaralı sanal portunda Burp Suite bizim için bir proxy servisi çalıştırmakta ancak eğer herhangi bir uygulamaya veya tarayıcıya al sen bu vekil adresini kullan demezsek hiçbir işe yaramayacaktır o yüzden şu güzelim eklentiyi indiriyoruz.
Hemen yine resimdeki gibi ayarlarımızı yapalım.
HeisenBurp kısmına istediğiniz bir profil ismini yazın, önemli değil. Yazmazsanız da canınız sağ olsun.
Normalde ben Firefox'ta yukarıdaki gibi yapıyordum ancak belki eklentiden ama büyük ihtimalle de sertifika'dan dolayı Socks proxy olarak işaretleyince kabul etmedi bu yüzden HTTP Proxy yaptım (10-20 saniye falan bekleyin). Eğer HTTPS trafiklerini de dinlemek istiyorsanız Burp Suite'in sertifikasını eklemeniz gerekmekte.
Ardından siteye gelip bir deneme yapalım.
Yanıt dönmeyecek bu normal ve iyi, böylece isteği Burp Suite'den görüntüleyebilir, değiştirebilir ve tekrarlayabiliriz. Eğer istek kayıt altına alınmazsa "Intercept is on" butonun tıklanmış olduğundan emin olun.
Burp Suite'den isteği yolla (Forward) diyelim.
Yukarıda'da gördüğünüz gibi kullanıcı adı ve parola gözükmekte şimdi biz bu parametleri KK ile bulmaya çalışacağız bu senaryoda.
HTTP History sekmesine gelip oturum bilgilerinin gönderildiği isteği buluyoruz. Sağ tıklayıp "Send to Intruder" seçeneğine tıklayıp Burp Suite'in diğer bir aracına geçiyoruz.
Ardından "Intruder" kısmından gerekli ayarları yapacağız.
KK Saldırısı yaparken bazı değişken değerler var, admin ve parola gibi. Bazı zamanlarda Cookie ve başka gerekli parametreler de olabilmekte bunu Burp Suite olabildiğince kendisi bulmaya çalışıyor § § işaretleri arasındaki yerlerde potansiyel olarak değiştirebileceğimiz yerler.
İstersek kendimiz de ekleyebiliriz
3. kısımda saldırı metodları yer almakta basitçe Sniper tek parametre için, diğerleri ise gelişmişliğine göre daha fazla sayıdaki parametreler için biz burada Sniper'ı kullanacağız varsayılan kullanıcı adını "admin" olarak kabul ediyoruz.
Ardından bütün bölüm işaretlerini "§" temizleyip (4) parola gördüğümüz kısma ekliyoruz (5 ve 6.)
Payloads sekmesini açıyoruz.
Daha sonra Payload set kısmından her payload için ayrı bir liste seçebilirsiniz ancak biz "Sniper" yöntemini seçtiğimiz için zaten bir tane payload var.
Payload type kısmında "Simple List" ile kendi Listenizi alt kısımdan yükleyebilirsiniz, ek olarak elle kelime de ekleyebilirsiniz ancak ben burada KK saldırısın göstermek için "Bruteforcer" seçeneğine tıklıyorum.
Alt kısımda Türkçe karakterleri de ekleyebilirsiniz. Varsayılan maksimum ve minimum seçeneklerini değiştirmeyi unutmayın.
Ve "Start Attack" deyip fitili ateşliyoruz.
Daha sonra Burp Suite bana ücretsiz versiyonunda hız limiti olduğunu belirtiyor, yüz civarı istekten sonra saniyede 15 istek gönderiyor ancak forumdan lisansını bulabilirsiniz.
Açılan pencerede istekler başlamış ve otomatize bir biçimde denenmekte burada Status ve Length değerleri çok önemli çünkü şifreyi bulduğumuzda doğru olup olmadığını buradan anlayacağız. Eğer farklı bir durum kodu veya uzunluk dönerse demek ki doğru sonucu bulduk (veya firewall tarafından yasaklandık) demektir.
Bizim örneğimizde bahsi geçen terör örgütü sitesi BTK tarafından engellenmiş durumda olduğu için bize sürekli 404 yanıtı döndürmekte ancak proxy, VPN ile herhangi bir sitede denerseniz sıkıntı olmayacaktır.
Umarım anlaşılır ve faydalı olmuştur.
Aslında dikkat etmeye çok özen gösteririm ama eğer herhangi yazım yanlışı veya teknik hatalar fark ederseniz kusura bakmayın. Yazıyı yazmaya gece 2 civarı Arch Enemy eşliğinde başladım.
Not: Aslında konuyu daha önceden daha akıcı ve çok çok daha ayrıntılı bir biçimde hazırlamıştım fakat proxy'i deneyip, konuyu önizle derken hepsi gitti ve bu beni gerçekten bayağı bir sinirlendirdi, eski motivasyonumu da kaybettim. O yüzden böyle bir yazı oldu. Umarım işinize yaramış ve okuduğunuza değmiştir.
Esen kalın.
bu yazımızda sizlere web hacking ve defacing'e yeni başlayan arkadaşlarımızın ne kadar tavsiye etmesek de bazen CTF'lerde ve kurumsal pentest işlemlerinde bile gerek duyulabilen bir konuyu inceleyeceğiz, evet kaba-kuvvet saldırısını.
Kaba-Kuvvet (diğer bir adıyla Brute-Force) saldırısını yapmak için GNU/Linux ve Windows işlemlerinde bolca araç bulunmakta, ayrıca bazı araçlar Wordpress, Joomla, VBulletin, Drupal benzeri diğer sistemlere özelleştirilmiş şekilde. Ancak biz (ben) bu yazıda sizlere çok amaçlı, gelişmiş, İsveç çakısı gibi bir Proxy aracı olan BurpSuite üzerinden istediğiniz herhangi bir siteye Brute-Force işlemi yapmayı göstereceğim, tabi bu kaba-kuvvet (bundan sonra KK diyeceğim) yöntemini sadece admin panellerinden credentials eşleştirmek için değil, günlük hayattaki işlerinizde bile kullanabilirsiniz, örneğin bazı sitelerde domain kontrolü yaparken, ya da Zula,Wolfteam, Metin2 (PVP'ler dahil) vb. oyunlarda parola kırmaya çalışırken, bazı web uygulamalarında ya da tarayıcı tabanlı oyunlarda spam yaparken.
REM Kayıp kısım burada başlıyor
KK saldırısı örneğinin akılda kalıcı olması adına, bir PKK sitesinde deneyeceğiz.
Aşağıda PKK bağlantısı olduğunu öğrendiğim bir site var.
Admin panelini bulmak için GNU/Linux ve Windows'taki tonla aracı kullanmak yerine birazcık kafamızı kullanarak küçük bir numaraya başvuruyoruz.
Tamamdır, paneli elimizle koymuş gibi bulduk ama bakalım taşınmış mı?
Tamam şimdi paneli bulduk ancak KK Saldırısını nasıl uygulayacağız?
Burp Suite'i açalım ve aşağıdaki resimdeki gibi ayarlamalarımızı yapalım.
Burada "Loopback only" derseniz bu proxy uygulamasını sadece lokal olarak kullanabilirsiniz ancak "All Interfaces" seçili olursa diğer cihazlardan da istekleri yakalayabilirsiniz.
Tamam bilgisayarımızın 5553 numaralı sanal portunda Burp Suite bizim için bir proxy servisi çalıştırmakta ancak eğer herhangi bir uygulamaya veya tarayıcıya al sen bu vekil adresini kullan demezsek hiçbir işe yaramayacaktır o yüzden şu güzelim eklentiyi indiriyoruz.
Firefox için https://addons.mozilla.org/en-US/firefox/addon/proxy-switcher/
Chromium tabanlı tarayıcılar için https://chrome.google.com/webstore/detail/proxy-switcher-and-manage/onnfghpihccifgojkpnnncpagjcdbjod
Hemen yine resimdeki gibi ayarlarımızı yapalım.
HeisenBurp kısmına istediğiniz bir profil ismini yazın, önemli değil. Yazmazsanız da canınız sağ olsun.
Normalde ben Firefox'ta yukarıdaki gibi yapıyordum ancak belki eklentiden ama büyük ihtimalle de sertifika'dan dolayı Socks proxy olarak işaretleyince kabul etmedi bu yüzden HTTP Proxy yaptım (10-20 saniye falan bekleyin). Eğer HTTPS trafiklerini de dinlemek istiyorsanız Burp Suite'in sertifikasını eklemeniz gerekmekte.
Ardından siteye gelip bir deneme yapalım.
Yanıt dönmeyecek bu normal ve iyi, böylece isteği Burp Suite'den görüntüleyebilir, değiştirebilir ve tekrarlayabiliriz. Eğer istek kayıt altına alınmazsa "Intercept is on" butonun tıklanmış olduğundan emin olun.
Burp Suite'den isteği yolla (Forward) diyelim.
Yukarıda'da gördüğünüz gibi kullanıcı adı ve parola gözükmekte şimdi biz bu parametleri KK ile bulmaya çalışacağız bu senaryoda.
HTTP History sekmesine gelip oturum bilgilerinin gönderildiği isteği buluyoruz. Sağ tıklayıp "Send to Intruder" seçeneğine tıklayıp Burp Suite'in diğer bir aracına geçiyoruz.
Ardından "Intruder" kısmından gerekli ayarları yapacağız.
KK Saldırısı yaparken bazı değişken değerler var, admin ve parola gibi. Bazı zamanlarda Cookie ve başka gerekli parametreler de olabilmekte bunu Burp Suite olabildiğince kendisi bulmaya çalışıyor § § işaretleri arasındaki yerlerde potansiyel olarak değiştirebileceğimiz yerler.
İstersek kendimiz de ekleyebiliriz
3. kısımda saldırı metodları yer almakta basitçe Sniper tek parametre için, diğerleri ise gelişmişliğine göre daha fazla sayıdaki parametreler için biz burada Sniper'ı kullanacağız varsayılan kullanıcı adını "admin" olarak kabul ediyoruz.
Ardından bütün bölüm işaretlerini "§" temizleyip (4) parola gördüğümüz kısma ekliyoruz (5 ve 6.)
Payloads sekmesini açıyoruz.
Daha sonra Payload set kısmından her payload için ayrı bir liste seçebilirsiniz ancak biz "Sniper" yöntemini seçtiğimiz için zaten bir tane payload var.
Payload type kısmında "Simple List" ile kendi Listenizi alt kısımdan yükleyebilirsiniz, ek olarak elle kelime de ekleyebilirsiniz ancak ben burada KK saldırısın göstermek için "Bruteforcer" seçeneğine tıklıyorum.
Alt kısımda Türkçe karakterleri de ekleyebilirsiniz. Varsayılan maksimum ve minimum seçeneklerini değiştirmeyi unutmayın.
Ve "Start Attack" deyip fitili ateşliyoruz.
Daha sonra Burp Suite bana ücretsiz versiyonunda hız limiti olduğunu belirtiyor, yüz civarı istekten sonra saniyede 15 istek gönderiyor ancak forumdan lisansını bulabilirsiniz.
Açılan pencerede istekler başlamış ve otomatize bir biçimde denenmekte burada Status ve Length değerleri çok önemli çünkü şifreyi bulduğumuzda doğru olup olmadığını buradan anlayacağız. Eğer farklı bir durum kodu veya uzunluk dönerse demek ki doğru sonucu bulduk (veya firewall tarafından yasaklandık) demektir.
Bizim örneğimizde bahsi geçen terör örgütü sitesi BTK tarafından engellenmiş durumda olduğu için bize sürekli 404 yanıtı döndürmekte ancak proxy, VPN ile herhangi bir sitede denerseniz sıkıntı olmayacaktır.
Umarım anlaşılır ve faydalı olmuştur.
Aslında dikkat etmeye çok özen gösteririm ama eğer herhangi yazım yanlışı veya teknik hatalar fark ederseniz kusura bakmayın. Yazıyı yazmaya gece 2 civarı Arch Enemy eşliğinde başladım.
Not: Aslında konuyu daha önceden daha akıcı ve çok çok daha ayrıntılı bir biçimde hazırlamıştım fakat proxy'i deneyip, konuyu önizle derken hepsi gitti ve bu beni gerçekten bayağı bir sinirlendirdi, eski motivasyonumu da kaybettim. O yüzden böyle bir yazı oldu. Umarım işinize yaramış ve okuduğunuza değmiştir.
Esen kalın.