Siber Saldırı Trafik Analizleri

Sort

Katılımcı Üye
14 Eki 2019
968
79
Mükemmel Bir Çalışma Olmuş,Şu ana Kadar Gördüğüm En İyi Konulardan.Ellerinize Emeğinize Sağlık
 

ITURKI

Üye
1 Tem 2009
69
1
Merhabalar, Blue Team ekibi olarak siber saldırılara ait trafiklerin analizini nasıl gerçekleştirebileceğimizi bazı başlıklar üzerinde hazırladık. Daha önceden hazırladığımız konulara aşağıdaki bağlantılardan erişebilirsiniz.

Port Tarama Trafik/Paket Analizi
Host Keşif Trafik Analizi
Network Trafiğinde Dosya Türlerinin Tespiti
HTTP Trafiğinde Filtreler
Mac Flooding Saldırısı ve Analizi
MSSQL Brute Force Saldırısı, Analizi ve Korunma Yolları
Telnet Brute Force Saldırı Analizi


SQL INJECTİON SALDIRI TRAFİĞİ ANALİZİ

Merhabalar, bu başlığımızda SQL Injection saldırısı gerçekleşmiş ağ trafiğinin kaydını inceleyerek saldırıyı yorumlayacağız. Saldırı trafiğine ait pcap dosyasını Wireshark aracımızda açarak paketleri görüntüleyelim.

LGFhpS.png


Pcap dosyasını açtığım an itibarıyla http protokolü üzerinde GET isteği yapılmış bir kayıt dikkatimi çekti. Listproducts.php sayfasının cat parametresi üzerinde işlem yapılmış, mutlak bir sql injection tespit işlemi olduğunu yorumlayabiliriz. İsterseniz öncelikle o isteği bir inceleyelim. İlgili isteğe sağ tık yapıp follow http stream diyorum.

TarHc2.png


GET isteği yapıldığı, %2A yani * karakterinin URL karşılığının gönderilerek ilgili parametre üzerinde sql injection tespiti denemesi yapıldığını anlıyorum. User-Agent başlık bilgisinde ise sqlmap yazıyor, saldırının otomatize bir araç olan sqlmap ile gerçekleştiğini de buradan çıkarabiliriz. Bir de bu isteğin dönen yanıtına bakalım. İstek yapılmış da yanıt ne dönmüş, saldırgan buradan ne elde etmiş ona bakalım.

Toc0l1.png


http Response içeriğinde web sayfasında sql hata mesajının yer aldığını görüyoruz. Yani saldırgan burada sql injection saldırısını tespit etmiş, hedefine doğru emin adımlarla ilerliyor.
Şimdi saldırının detaylarına geçmeden ben en başa dönüp biraz farklı detaylara değineceğim, hiçbir şey bilmiyormuş gibi devam edelim.
En başa dönüyorum ve menülerden statistics-protocol hierarchy sekmesini takip ediyorum. Burası bize ilgili ağ trafiğine ait protokollerin paket detaylarına ait ayrıntıları veriyor.



YoYvSA.png


Burada HTTP protokolüne odaklandım ben, HTML Form URL Encoded yazan pakete sağ tık yapıp apply as filter-selected diyerek filtrenin uygulanarak isteğin detayına gitmek istiyorum.

guXZRa.png


Urlencoded-form adında bir filtre uygulanarak bana bir istek gösterdi. Ben bunun url encode edilmiş bir form datasına ait bir istek olduğunu anladım. http Stream diyerek bir bakalım burada neler dönmüş.

H29oiI.png


Burada listproducts.php?cat=3 adlı sayfada bir post data gönderilmiş, bu data içerisinde bir sql sorgusu var tabii ki. Bu istek sonucunda da 200 değeri dönmüş tabii ama yanıt saldırganı tatmin etmiş mi tüm mevzu o. Şimdi bunu bir geçelim de şu post data olarak gönderilen sql sorgusunun ne olduğunu anlamaya çalışalım. Şöyle bir bakınca url encode edilmiş bir yapı var, içerisinde script, cmdshell bilmemne geçiyor hiçbir şey anlamadım açıkçası ben bu sorgudan biraz anlamlandırmaya çalışacağım inşallah anlarız. İlgili sorguyu kopyalayıp url decode edelim.

44p4wm.png


and 1=1 kısmından sonra bende hatlar karıştı, xss çalıştırma mı dersin, xp_cmdshell komutu mu dersin, ortaya karışık yapalım der gibi bir sql sorgusu gönderilmiş. Gönderilmiş de, ne dönmüş mevzu bu. Response içeriğinde bir bakalım.

b1Ceyd.png


Tabii bu yanıt içerisinde uzunca bir html kod var da ben öylesine göstermek için bir kısmını çektim. İçerisinde tatmin edici hiçbir şey yok. Bir şey gönderilmiş ama sonuç yok yani. Benim şu ana kadar anladığım şey, burada sql sorguları gönderilerek sql injection işlemi yapılmaya çalışılmış.


lhjgZq.png


HTTP filtresi uygulayıp http isteklerine bakıyorum. Buna öyle bir baktım sadece ve biraz daha spesifik bir hale getirip sadece GET isteklerine bakayım, ki zaten sql injection saldırısı mutlak olarak burada GET üzerinden gerçekleşmiş şu ana kadar öyle bir izlenim elde ettim.

8HTY6c.png


İlgili filtreyi uyguladığım zaman bana tüm get isteklerini gösterdi. Burada zaten görüldüğü gibi ilgili sayfanın cat parametresine epey bir sql sorgusu gönderilmiş. Yani biz buraya odaklanacağız. Ondan önce bir de http üzerindeki detaylara bakmak istiyorum. Statistics-http-packet counter yolunu izliyorum ve karşıma çıkan tabloya bakıyorum.

pVMa3m.png


Bu tabloyu yorumlamak gerekirse 200 ok dönen 173 istek olduğunu yani başarılı istek olduğunu, 1119 http isteği olduğunu, bu isteklerin 168 adetinin GET, 1 tanesinin POST olduğunu görüyorum. GET İsteklerine odaklanmadan şu 1 adet yalnız POST isteğine bakmak istiyorum. Ben bir şey tahmin ediyorum ama

X4jBN4.png


Hani az önce url encode edilmiş bir data bulmuştuk ya, bu aslında o yani POST ile gönderilen data. Şimdi tekrar içeriğine bakmayalım geçelim bunu.

4NEzoX.png


Şu get isteklerine şöyle bir tekrar bakalım, burada gördüğünüz gibi sorgular gönderilmiş ama anlamsız sorgular, aslında anlamlı da şu an bize anlamsız geliyor. Bunlar aslında encode edilmiş istekler. Bir tanesine sağ tık yapıp inceliyorum.

zD0ljP.png


İlgili sorguyu kopyalıyorum, tabii bunu yapmadan önce dönen yanıta da bakıyorum ama tatmin edici bir şey yok. Şimdi şu sorguyu bir anlamlı hale getirelim. Ben bunun base64 olduğunu düşünüyorum ve base64 decode eden herhangi bir online web sitesine girip decode ediyorum.

6ZSNwV.png


Gördüğünüz gibi anlamlı bir şekle büründü. Böyle fasa fiso bir sorgu gönderilmiş. Burada INFORMATION_SCHEMA.USER_PRIVILEGES kısmına dikkat edersek burada aslında mysql kullanıcısına ait yetkiler tespit edilmeye çalışılmış. Bununla alakalı referans kaynak: MySQL :: MySQL 5.6 Reference Manual :: 21.3.28 The INFORMATION_SCHEMA USER_PRIVILEGES Table
Şimdi bu değişik sorgular arasında kayboluyor gibiyiz, ben bu sorgular arasında sadece select geçen sorguları listelemek istiyorum.



4yi1ae.png


Hiçbir şey dönmedi. Zaten saldırının bütününe bakarsak hep base64 encode edilmiş istekler gönderildiğini anlıyoruz.

vBe8tf.png


Sorguyu bu biçimde değiştiriyorum. Oraya ne yazdığıma gelirsek SELECT deyiminin base64 karşılığını paketler içerisinde arattım. Gördüğünüz gibi başarılı bir şekilde select geçen istekler bana getirildi. Bu şekilde filtreler uygulayarak saldırı içerisinde tespitler yapabilirsiniz. Bu analiz böyle uzar da gider. İstiyorsanız daha sade bir saldırı analizini de yapabiliriz.

E5EY61.png


Bu sefer daha farklı bir saldırının trafik kaydına baktığımız zaman sorguların apaçık ortada olduğunu görebiliyoruz.
http-requests ayrıntılarına bakarsak yapılan requestleri detaylıca görebiliriz.



Kji4be.png


Bu ağ trafiğini çok kullanışlı olan NetworkMiner üzerinden de inceleyebiliriz.

hONPEp.png


Pcap dosyasını açtığım zaman files sekmesinde hangi dosyalara istekler yapıldığını net bir şekilde görüyorum ki bu saldırı boyunca listproducts.php dosyasına odaklanıldığını görüyorum. Buradan elde edilen bilgiyle aslında Wireshark da incelememizi kolaylaştırabiliriz.

wEEXre.png


Bu şekilde sadece url de listproducts.php geçen istekleri filtreleyebiliriz.

R79V7h.png


Yine NetworkMiner üzerinde Parameters sekmesi üzerinden giden isteklerde HTTP başlığına ait bilgileri elde edebiliriz. Örneğin X-Powered By başlığında sunucunun PHP/5.3 sürümünü çalıştırdığını da öğrenmiş olduk. Aynı zamanda Nginx sunucusu üzerinde çalışıyormuş. Zaten bunları yine http response içeriğinde görebilirdik.


kWngai.png


Aynı zamanda NetworkMiner üzerinde yer alan en güzel kolaylıklardan bir tanesi de files sekmesinde ilgili dosyaya sağ tık yapıp Open File dediğimiz zaman tarayıcımızda sayfanın açılması da güzel bir olay.

BsA2GK.png


Görüldüğü gibi web sayfasında o an çalıştırılan isteğe ait sayfanın görünümü yer alıyor.
Open folder diyerek tüm dosyaları klasörde görüntüleyerek inceleyebilirsiniz.



7cVTdp.png


Bu şekilde bir saldırı trafiğinin Wireshark ve NetworkMiner üzerinde nasıl incelenebileceğini uygulamalı olarak görmüş olduk.
Ben uzun süredir saldırı altındayım üstesinden gelemiyorum bana yardımcı olcak arkadaşlar varsa mesaj atabilir mi
 

fayrtek

Uzman üye
9 Nis 2021
1,172
384
23
İnternetin Derinliklerinde...
Merhabalar, Blue Team ekibi olarak siber saldırılara ait trafiklerin analizini nasıl gerçekleştirebileceğimizi bazı başlıklar üzerinde hazırladık. Daha önceden hazırladığımız konulara aşağıdaki bağlantılardan erişebilirsiniz.

Port Tarama Trafik/Paket Analizi
Host Keşif Trafik Analizi
Network Trafiğinde Dosya Türlerinin Tespiti
HTTP Trafiğinde Filtreler
Mac Flooding Saldırısı ve Analizi
MSSQL Brute Force Saldırısı, Analizi ve Korunma Yolları
Telnet Brute Force Saldırı Analizi


SQL INJECTİON SALDIRI TRAFİĞİ ANALİZİ

Merhabalar, bu başlığımızda SQL Injection saldırısı gerçekleşmiş ağ trafiğinin kaydını inceleyerek saldırıyı yorumlayacağız. Saldırı trafiğine ait pcap dosyasını Wireshark aracımızda açarak paketleri görüntüleyelim.

LGFhpS.png


Pcap dosyasını açtığım an itibarıyla http protokolü üzerinde GET isteği yapılmış bir kayıt dikkatimi çekti. Listproducts.php sayfasının cat parametresi üzerinde işlem yapılmış, mutlak bir sql injection tespit işlemi olduğunu yorumlayabiliriz. İsterseniz öncelikle o isteği bir inceleyelim. İlgili isteğe sağ tık yapıp follow http stream diyorum.

TarHc2.png


GET isteği yapıldığı, %2A yani * karakterinin URL karşılığının gönderilerek ilgili parametre üzerinde sql injection tespiti denemesi yapıldığını anlıyorum. User-Agent başlık bilgisinde ise sqlmap yazıyor, saldırının otomatize bir araç olan sqlmap ile gerçekleştiğini de buradan çıkarabiliriz. Bir de bu isteğin dönen yanıtına bakalım. İstek yapılmış da yanıt ne dönmüş, saldırgan buradan ne elde etmiş ona bakalım.

Toc0l1.png


http Response içeriğinde web sayfasında sql hata mesajının yer aldığını görüyoruz. Yani saldırgan burada sql injection saldırısını tespit etmiş, hedefine doğru emin adımlarla ilerliyor.
Şimdi saldırının detaylarına geçmeden ben en başa dönüp biraz farklı detaylara değineceğim, hiçbir şey bilmiyormuş gibi devam edelim.
En başa dönüyorum ve menülerden statistics-protocol hierarchy sekmesini takip ediyorum. Burası bize ilgili ağ trafiğine ait protokollerin paket detaylarına ait ayrıntıları veriyor.



YoYvSA.png


Burada HTTP protokolüne odaklandım ben, HTML Form URL Encoded yazan pakete sağ tık yapıp apply as filter-selected diyerek filtrenin uygulanarak isteğin detayına gitmek istiyorum.

guXZRa.png


Urlencoded-form adında bir filtre uygulanarak bana bir istek gösterdi. Ben bunun url encode edilmiş bir form datasına ait bir istek olduğunu anladım. http Stream diyerek bir bakalım burada neler dönmüş.

H29oiI.png


Burada listproducts.php?cat=3 adlı sayfada bir post data gönderilmiş, bu data içerisinde bir sql sorgusu var tabii ki. Bu istek sonucunda da 200 değeri dönmüş tabii ama yanıt saldırganı tatmin etmiş mi tüm mevzu o. Şimdi bunu bir geçelim de şu post data olarak gönderilen sql sorgusunun ne olduğunu anlamaya çalışalım. Şöyle bir bakınca url encode edilmiş bir yapı var, içerisinde script, cmdshell bilmemne geçiyor hiçbir şey anlamadım açıkçası ben bu sorgudan biraz anlamlandırmaya çalışacağım inşallah anlarız. İlgili sorguyu kopyalayıp url decode edelim.

44p4wm.png


and 1=1 kısmından sonra bende hatlar karıştı, xss çalıştırma mı dersin, xp_cmdshell komutu mu dersin, ortaya karışık yapalım der gibi bir sql sorgusu gönderilmiş. Gönderilmiş de, ne dönmüş mevzu bu. Response içeriğinde bir bakalım.

b1Ceyd.png


Tabii bu yanıt içerisinde uzunca bir html kod var da ben öylesine göstermek için bir kısmını çektim. İçerisinde tatmin edici hiçbir şey yok. Bir şey gönderilmiş ama sonuç yok yani. Benim şu ana kadar anladığım şey, burada sql sorguları gönderilerek sql injection işlemi yapılmaya çalışılmış.


lhjgZq.png


HTTP filtresi uygulayıp http isteklerine bakıyorum. Buna öyle bir baktım sadece ve biraz daha spesifik bir hale getirip sadece GET isteklerine bakayım, ki zaten sql injection saldırısı mutlak olarak burada GET üzerinden gerçekleşmiş şu ana kadar öyle bir izlenim elde ettim.

8HTY6c.png


İlgili filtreyi uyguladığım zaman bana tüm get isteklerini gösterdi. Burada zaten görüldüğü gibi ilgili sayfanın cat parametresine epey bir sql sorgusu gönderilmiş. Yani biz buraya odaklanacağız. Ondan önce bir de http üzerindeki detaylara bakmak istiyorum. Statistics-http-packet counter yolunu izliyorum ve karşıma çıkan tabloya bakıyorum.

pVMa3m.png


Bu tabloyu yorumlamak gerekirse 200 ok dönen 173 istek olduğunu yani başarılı istek olduğunu, 1119 http isteği olduğunu, bu isteklerin 168 adetinin GET, 1 tanesinin POST olduğunu görüyorum. GET İsteklerine odaklanmadan şu 1 adet yalnız POST isteğine bakmak istiyorum. Ben bir şey tahmin ediyorum ama

X4jBN4.png


Hani az önce url encode edilmiş bir data bulmuştuk ya, bu aslında o yani POST ile gönderilen data. Şimdi tekrar içeriğine bakmayalım geçelim bunu.

4NEzoX.png


Şu get isteklerine şöyle bir tekrar bakalım, burada gördüğünüz gibi sorgular gönderilmiş ama anlamsız sorgular, aslında anlamlı da şu an bize anlamsız geliyor. Bunlar aslında encode edilmiş istekler. Bir tanesine sağ tık yapıp inceliyorum.

zD0ljP.png


İlgili sorguyu kopyalıyorum, tabii bunu yapmadan önce dönen yanıta da bakıyorum ama tatmin edici bir şey yok. Şimdi şu sorguyu bir anlamlı hale getirelim. Ben bunun base64 olduğunu düşünüyorum ve base64 decode eden herhangi bir online web sitesine girip decode ediyorum.

6ZSNwV.png


Gördüğünüz gibi anlamlı bir şekle büründü. Böyle fasa fiso bir sorgu gönderilmiş. Burada INFORMATION_SCHEMA.USER_PRIVILEGES kısmına dikkat edersek burada aslında mysql kullanıcısına ait yetkiler tespit edilmeye çalışılmış. Bununla alakalı referans kaynak: MySQL :: MySQL 5.6 Reference Manual :: 21.3.28 The INFORMATION_SCHEMA USER_PRIVILEGES Table
Şimdi bu değişik sorgular arasında kayboluyor gibiyiz, ben bu sorgular arasında sadece select geçen sorguları listelemek istiyorum.



4yi1ae.png


Hiçbir şey dönmedi. Zaten saldırının bütününe bakarsak hep base64 encode edilmiş istekler gönderildiğini anlıyoruz.

vBe8tf.png


Sorguyu bu biçimde değiştiriyorum. Oraya ne yazdığıma gelirsek SELECT deyiminin base64 karşılığını paketler içerisinde arattım. Gördüğünüz gibi başarılı bir şekilde select geçen istekler bana getirildi. Bu şekilde filtreler uygulayarak saldırı içerisinde tespitler yapabilirsiniz. Bu analiz böyle uzar da gider. İstiyorsanız daha sade bir saldırı analizini de yapabiliriz.

E5EY61.png


Bu sefer daha farklı bir saldırının trafik kaydına baktığımız zaman sorguların apaçık ortada olduğunu görebiliyoruz.
http-requests ayrıntılarına bakarsak yapılan requestleri detaylıca görebiliriz.



Kji4be.png


Bu ağ trafiğini çok kullanışlı olan NetworkMiner üzerinden de inceleyebiliriz.

hONPEp.png


Pcap dosyasını açtığım zaman files sekmesinde hangi dosyalara istekler yapıldığını net bir şekilde görüyorum ki bu saldırı boyunca listproducts.php dosyasına odaklanıldığını görüyorum. Buradan elde edilen bilgiyle aslında Wireshark da incelememizi kolaylaştırabiliriz.

wEEXre.png


Bu şekilde sadece url de listproducts.php geçen istekleri filtreleyebiliriz.

R79V7h.png


Yine NetworkMiner üzerinde Parameters sekmesi üzerinden giden isteklerde HTTP başlığına ait bilgileri elde edebiliriz. Örneğin X-Powered By başlığında sunucunun PHP/5.3 sürümünü çalıştırdığını da öğrenmiş olduk. Aynı zamanda Nginx sunucusu üzerinde çalışıyormuş. Zaten bunları yine http response içeriğinde görebilirdik.


kWngai.png


Aynı zamanda NetworkMiner üzerinde yer alan en güzel kolaylıklardan bir tanesi de files sekmesinde ilgili dosyaya sağ tık yapıp Open File dediğimiz zaman tarayıcımızda sayfanın açılması da güzel bir olay.

BsA2GK.png


Görüldüğü gibi web sayfasında o an çalıştırılan isteğe ait sayfanın görünümü yer alıyor.
Open folder diyerek tüm dosyaları klasörde görüntüleyerek inceleyebilirsiniz.



7cVTdp.png


Bu şekilde bir saldırı trafiğinin Wireshark ve NetworkMiner üzerinde nasıl incelenebileceğini uygulamalı olarak görmüş olduk.
elinize sağlık
 
Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.