Kategoriler
Siber Güvenlik

Bilgi Toplama Teknikleri

GİRİŞ

Siber güvenliğe merak salan hızlı arkadaşların en büyük hataları, nereyi nasıl hacklerim onu öğreneyim mantığı ile olaya girmeleridir. Ancak sistemi bilmeden, keşif yapmadan sistemin zayıf karnı neresi bilemezsiniz. Öncesinde esaslı bir bilgi toplama evresi geçirmek gerekir. Biz bu bilgi toplama evresini ikiye bölüyoruz: pasif keşif evresi ve aktif keşif evresi. Pasif keşif, sistemi dolaylı yollarla keşfettiğimiz ve karşı tarafla bire bir temasa geçmediğimiz evredir. Aktif keşfe göre daha güvenli sularda yüzeriz. Fark edilme olasılığı pek de yok. Örnek vermek gerekirse bir şirkete dair linkedin üzerinden çalışanlarının isimlerini topluyorsam bu durumdan çalışanların veya şirketin haberi olmayacaktır. Aktif keşifte ise şirket ile bire bir temasa geçeriz. Örneğin bir nmap taraması atarak domainlerinde hangi servislerin çalışmalarına bakmak için istek gönderdiğimde artık benim ip adresim karşı tarafa ulaşmıştır. Web sitesine girip içeriği incelemişsem dahi artık aktif keşifteyiz demektir. Çünkü doğrudan temasa geçtim. 
Daha basite indirgeyelim. Birinden hoşlanıyorsunuz. Hoşlandığınız kişinin en yakın arkadaşına “Nelerden hoşlanır?” diye sorduğunuzda, hoşlandığınız kişi ile doğrudan iletişime geçmeden ve muhtemelen onun haberi olmadan bilgi toplamış olacaksınız. İşte pasif keşif evresi… Peki biraz daha cesursunuz ve hoşlandığınız kişiye “Nelerden hoşlanırsın?” diye sordunuz. Bu durumda onunla doğrudan temas kurdunuz ve artık o da sizden haberdar. Bu da aktif keşif oluyor. Bence yeterli bir örnek oldu. 

Yöntemlerin tamamını saymamız pek mümkün değil fakat biz olabildiğince kapsamlı yazmaya çalışalım.

Whois

Whois kayıtları bir domain adresini kimin, ne zaman aldığını, hangi sunucularda barındırdığını ve ip adresini verir. Aynı zamanda domain sahibinin adresi ve telefon numarasına da ulaşmak mümkün. who.is veya farklı adreslerden sorgu yapabilirsiniz. Aynı zamanda birçok linux dağıtımında “whois domainadi.com” komutu ile terminal üzerinden sorgu yapmak mümkün.


Ripe & Arin

Ripe & Arin ise IP adresini elde ettiğiniz domainin, IP aralıklarını elde etmenizi sağlar. IP adresi ile sorgu yapabilirsiniz.

Netcraft

Web sitesinin daha önce kullandığı IP adreslerini, daha önce kullandığı işletim sistemi ve versiyonlarını, web sunucu servislerini listeler. Yine basit bir whois sorgusu yaptığını da söyleyebiliriz. Sorgu için : toolbar.netcraft.com/site_report

Shodan

Shodan’ın çoğu yerde lanse edilme biçimi “Hackerların arama motoru!” şeklinde. Kısmen haklı olunduğunu söyleyebiliriz. Sıradan bir kullanıcı burada pek de arama yapmaz. API’lerini şimdilik bir tarafa bırakıyorum ve arama kısmını anlatıyorum. Bir web sitesini veya IP adresini aratmanız mümkün. İnternete çıkan ne varsa bir şeyler bulacaksınız.

Ücretsiz olarak birçok özellikten faydalanabilirsiniz. Ancak siz biraz daha kafa yormak istiyorsanız ücretli üyelik almanız gerek. Üniversite öğrencileri “edu” maillerle kayıt olduğunda ve başvurduğunda ücretsiz üyelik veriyorlar diye biliyorum. Aynı zamanda “black friday” döneminde de uygun fiyata üyelik alabilirsiniz. Hızlı biçimde arama parametrelerini vereyim. Bu parametreleri bir arada kullanarak veya değiştirerek aramalarınızı daha spesifik bir hale getirebilirsiniz.

  • port:23 (23 portu açık olanları aramak için)
  • port: 21-25 and 80 (21’den 25’e kadar portu açık olanları aramak için… Ek olarak 80 portu açık olanlara da bakacak.)
  • “apache 2.2.3” “200 OK” (Apache 2.2.3 versiyonu olan sistemleri ve sorunsuz açılan sayfaları listeler.)
  • hostname: selcuk.edu.tr (Domain üzerinden arama yapmak için)
  • IP: 193.140.140.10 (IP adresi üzerinden arama yapmak için)
  • country:TR (Ülke aramaları için)
  • city:Konya (Şehir aramaları için)
  • geo:<Koordinat> (Koordinat üzerinden aramalar için)
  • os:”windows xp” (İşletim sistemi üzerinden aramalar yapmak için)
  • isp:amazon (İnternet servis sağlayıcıları üzerinden arama yapmak için)
  • org:”univercity” (Organizasyon ismi ile arama yapmak için)

Veri Sızıntıları

Saldırganlar, hackledikleri platformların datalarını genelde pastebin ve benzeri sitelerden yayınlarlar. Bu yayınlanan datalar üzerinde arama yapmak da bizim için bulunmaz bir nimet. Öyle ki bazen hiçbir saldırı gerçekleştirmeden kritik bir sisteme girebilirsiniz. Üstelik bunu sadece sizden önce yapan birisi sayesinde yaparsınız. Deep web üzerinden de alternatif kaynaklar bulmak mümkün. Ben bonus olarak birkaç kaynak buraya bırakayım.

  • ghostproject.fr
  • haveibeenpwneed.com
  • Wikileaks
  • cryptome.org

Archive.org

Archive.org ise sitelerin yayın hayatında sık sık yansımalarını kaydeder. 20-30 sene önceki kayıtları dahi elde edebilirsiniz. Çok ciddi oranlarda veri depolayan archive.org sunucularının bir kilisede saklandığı, sebebinin ise bir savaş esnasında dahi oraya zarar verilmeyeceğinin düşünülmesi olduğu söyleniyor. Ben söyleyenlerin yalancısıyım 🙂 Bu site ile daha önceden kurulan sistemleri görüntüleyebilir ve belki de o dosyaların kalıntılarını tespit edebilirsiniz. Sızdırılan fakat kaldırılan dosyaları temin edebilirsiniz. En basit örnekle bir kişinin telefon numarasını, kişisel blogunun geçmiş kayıtlarında arayarak bulmuştum. Örnek bir kayıt göstereyim.

Google Groups

Google groups çok da akla gelmeyen bir kaynak. Ancak birçok kuruluş, çalışanları arasında haberleşmek için burayı kullanır. Çoğu mailleşme açıktan yapılır ancak kimse farkında olmaz. E haliyle gizli sanılan en kritik veriler de aslında herkese açık biçimde yayınlanır. Bununla ilgili örnek vermeyeceğim. Sizin hayal gücünüze kalsın. Adres: https://groups.google.com/

Sosyal Medya & İş İlanları

İş ilanları bir kurumun en çok ihtiyaç duyduğu fakat bir yandan da içerideki sistemleri hakkında bize bilgi veren duyurularıdır. Bir yazılım şirketi hangi alanda ne derece uzman arıyorsa, projelerinde o yazılım dilini kullandığını ve çalışmalarımı ona göre yapacağımı varsayabilirim. Veya duyurunun sıklığına göre o alandaki ihtiyacını ve ağırlığını tahmin edebilirim.  Kariyer.net ve Linkedin bu konuda oldukça verimli platformlar.

Sosyal medya üzerinden bilgi toplamaya gelirsek… Gönderilerin hangi cihazla gönderildiği ve hangi konumdan atıldığı öğrenilebilir. Kişinin ilgi alanları, ne zaman ne yaptığı ve nerede olduğu gibi detaylara da kolayca ulaşılır. Yapılabilecek çok uç analizler var fakat bunlar genelde olaya özgü olacağından size bırakmam gerek. Ama sosyal medya en güzel kaynaklardan biri. Bir diğer mesele ise, kişinin telefon numarası ve mail adresi gibi bilgileri de tespit edebilmemiz. Parolamı unuttum kısmında bu bilgiler sansürlü biçimde verilir. Kişinin ismi veya kullanıcı adı ile mail adresini tahmin edebilmeniz mümkün. Telefon numarasının ise bir kısmı verilir. Ancak kişinin farklı sosyal medya hesaplarında veya mail servislerinde de aynısını deneyerek telefonun kalan kısımlarını öğrenmek mümkün.

Diğer yandan pipl.com adresinde kişinin ismi ile veya farklı varyasyonlar ile arama yaparak diğer hesaplarına ulaşmak mümkün. Diğer yandan https://en.gravatar.com/site/check/ adresinden mail adresi ile aratarak kişinin fotoğrafını da bulabilirsiniz. Şayet gravatar üyeliği varsa tabii…

Domain ve Mail tespiti

Aquatone aracı ile subdomainleri test edebilirsiniz. Arama motoru, kendine ait sözlüğü, shodan ve virustotal API’leri gibi kaynakları ile verdiğiniz domaine ait bulabildiği tüm subdomainleri listeler. Farklı özelliklere de sahip fakat bunu ayrı bir yazıda anlatabiliriz. Amacımızdan sapmayalım bu yazıda.

aquatone-discovery -d selcuk.edu.tr

Maillerin tespit edilmesinde ise en bilindik araç theharvester olsa gerek. Detaylı kullanımı için ayrı bir yazı hazırlamak gerek fakat şimdilik ihtiyacımız olan kadarını anlatacağım. Theharvester arama motorlarındaki sonuçları göz önünde bulundurarak verdiğiniz domaine ait mail adreslerini ve subdomainleri toplamaya çalışır. Aşağıdaki komutta -d ile domain adresini, -b komutu ile kaynaklardan hangilerini kullanmak istediğimizi belirttik.

theharvester -d selcuk.edu.tr -b all

Fierce ise ip aralıklarını ve şayet bir hostnamei varsa onları keşfetmemizi sağlar. Detaylı kullanımını yine bu yazıda anlatmayacağım. Örnek bir ekran çıktısı:

Kullanıcı Adı

Kullanıcı adının nerelerde kullanıldığı da güzel bir bulgu. Namechk adresinden araştırdığınız kullanıcı adının kullanıldığı sosyal medya hesapları, domain adresleri ve birçok platform üyeliğini tespit edebilirsiniz. Bunun için alternatif web siteleri de mevcut. Aslında arama motorlarından dahi bolca bilgi elde edebilirsiniz.

Haritalar

Bir kurumun adresi üzerinden de birçok bilgi elde etmek mümkün. En basit örnek olarak “Google Maps Street View” ile binanın etrafını gezinebilirsiniz. Hiç beklemediğiniz şeyler bulmak mümkün. Ancak yalnızca Google’a bağlı kalmak olmaz. Drone, araç kamerası ve güvenlik kameraları ile çekilen görüntüleri de elde edebileceğiniz bir kaynak listesini aşağıya bırakıyorum.

Mevcut konumdan atılan sosyal medya gönderileri de oldukça kritik olabiliyor. Özellikle kalabalık çalışan nüfusuna sahip bir kurumdan bahsediyorsak, mutlaka çalışanlar kritik veriler sızdırmıştır.

Son Olarak…

Yazıya eklemediğim, ancak blogumda zaten yazdığım diğer bilgi toplama konuları:

Tüm bunların dışında güzel bir OSINT kaynak listesi olarak şu adresleri verebilirim:

Kategoriler
Siber Güvenlik

Bir OSINT Aracı: FOCA

FOCA, hedef web sitede yer alan belgeleri toplayarak metadata analizi yapar. Office dosyaları ve birçok dosya türünü arama motorları aracılığı ile bulur, indirir ve analiz eder. Google, bing ve duckduckgo arama motorlarını kullanır. Güzel bir açık kaynak istihbarat aracı. Dosyaların oluşturulduğu tarihleri, oluşturan kullanıcıları, işletim sistemini, mail adreslerini, yazıcıları ve parolaları(henüz parolaya denk gelmedim) elde etmeniz mümkün. C# ile yazılmış. Haliyle yalnızca Windows’ta çalışıyor. Şuradan indirebilirsiniz : https://github.com/ElevenPaths/FOCA

FOCA’yı verdiğim linkten indirip kurulumunu hallettikten sonra üst menüden Project kısmını seçiyoruz. Domain website kısmına bilgi toplamak istediğimiz adresi yazıyoruz. Genelde kurumsal adreslerde daha başarılı olursunuz. Create diyoruz ve artık proje sayfamız hazır. Yalnız ufak bir not düşeyim. Ben www.selcuk.edu.tr yazdım. Taramamın uzun sürmesini istemedim. Ancak selcuk.edu.tr yazsaydım farklı altdomainleri de tarayacaktı. Elbette farklı araçlar var ancak bu şekilde bazı alt domainleri de elde edebilirsiniz. Ufak bir not düşmüş olalım.

Proje sayfamız karşımızda. Kullanımı oldukça kolay. Search engines kısmından arama motorlarını, Extesions kısmından istediğiniz dosya uzantılarını seçebilirsiniz.En sonunda search all butonuna basıyoruz ve arama motorlarından bulduğu tüm dosyaları bize sıralıyor. Daha sonra dosyalara sağ tıklayarak download all diyoruz. Tüm dosyalar iniyor. Bu elbette biraz zaman alacak.

Sol taraf da oldukça önemli bizim için. network kısmında sunucu, domains kısmında adresler sıralanıyor. Esas olayımız metadata kısmında.İnen dosyalara sağ tıklayarak extract metadata diyoruz ve tüm dosyalardaki metadata bilgilerini toplamasını sağlıyoruz. Sonra yine sağ tıklayarak analyze metadata seçeneğini seçiyoruz. Toplanan verileri bir araya getirerek bir istatistik oluşturuyor. Hangi kullanıcıdan kaç tane var, hangi mailler var görebiliyorsunuz. (Yaptığımız şey herkese açık dosyaları analiz etmek. Ancak yine de kişisel mailleri kapatmaya özen gösterdim.) Diğer yandan maillerin formatına bakarak bir isim soyisme ait mailin nasıl oluşacağını da tahmin etmek mümkün genel anlamda. Ancak bu her durumda geçerli de denemez.

Son olarak gelelim bu aracın eklentilerine. Üst tarafta bulunan alışveriş arabası ikonuna tıklayarak eklentilere gidebilirsiniz. Peki ne işe yarıyorlar?

  • Information Gathering : DNS, whois gibi siteye ait bilgileri temin eder.
  • Git Finder : Sitedeki gizli git dosyalarını bulmak için bazı eklemeler yapar.
  • SVN Finder :  Sitedeki gizli SVN dosyalarını bulmak için bazı özellikler ekler.
  • Certificate Transparency Checker : Sitede Sertifika Transparency SCT doğrulaması ekler.
  • SQLi : SQLMap API kullanarak SQL enjeksiyon güvenlik açıklarını tespit eder.
  • Have I Been Pwned : Dosyalardan elde edilen mailleri haveIbeenpwned.com ve hesidohackeado.es adresinde sorgulatarak daha önce hacklenen maillerin parolalarını size getirir.
  • PluginAPI.dll : Tüm eklentileri tek seferde indirir.

Kategoriler
Siber Güvenlik

CanYouPwnMe CTF Çözümleri

CanYouPwnMe CTF sorularını çözdükçe buradan paylaşacağım ve aralıklarla güncelleyeceğim. https://ctf.canyoupwn.me adresinden kayıt yaparak çözmeye başlayabilirsiniz. Vakit ayırdıkça güncelleme yapacağım. İnternette çok güzel çözümler var ama bazı sorularda farklı çözümlerim oldu kıyaslayınca fark ettim.

Flag Form : cypwn_{h4ckm3} formatında girilerek çözümler yazılacak. Süslü parantezin arasına cevabımızı yazacağız. Flag Form kısmına bunu kopyalayıp girmeniz halinde de on puan vererek yarışmayı başlatıyor sistem.

Trivia

Git101 (20 Puan)

Unutma dökümantasyon önemli.

https://github.com/londragecidi/londragecidi

Adı üstünde 101 sorusu. Girdim github hesabına, birkaç kurcalamadan sonra wiki sekmesine göz attım ve flag karşıladı beni.

Flag : cypwn_{ben_git_biliom_abi}

First DEUCE (50 Puan)

EE bre deyyus nedir bu ilk DEUCE ??

Doğrusu sorunun cevabını çok farklı yerlerde aradım. Dizi çıktı, film çıktı, tenis çıktı, daha neler neler…Tek tek flag olarak denedim farklı kombinasyonları. Ancak tutturamadım. Tutmayan her şeyi google aramamdan eledim. Sonunda karşıma bir bilgisayar markası çıktı. Alan Turing ilgimi çekti ve onu da aramama dahil ettim. Çok karıştı değil mi? 🙂

Google’daki aramam şu hali aldı :
-“The deuce” “first” “DEUCE” “Alan Turing” “computer” -dizi -şarkı -2017 -music -tennis -dictionary -shoes -ayakkabı -lyrics

http://www.alanturing.net/turing_archive/archive/infopages/london1st.html

Burada şu cümleyi gördüm : “The Pilot Model ACE was London’s first electronic computer and the third stored-program computer to function in Britain.”

Demek The Pilot Model ACE Londra’nın ilk elektronik bilgisayarı. Bunun da birkaç kombinasyonunu denerken tam hayal kırıklığına uğruyordum ki tutturdum. Bu soruya bu kadar vakit harcadığım için üzüldüm doğrusu.

Flag : cypwn_{pilot_ace}

Carrot (50 Puan)

At boyutunda ördek?

Bu soruyu aramaya başladığımda “At boyutunda bir civcivle mi yoksa yüz ördek boyutundaki bir atla mı savaşmayı tercih edersiniz?” şeklinde bir soru ile karşılaştım. Olası cins cevapları, soruyu işe alım mülakatında sorduğu iddia edilen şirket isimlerini ve birkaç denemeyi daha cevap olarak girdim ancak önceki sorudan dilim yandı bir defa. Bu işte başka bir iş var. İngilizce aramaya başladım ancak bunu keşfetmem çok zaman aldı. Aynı sorularla karşılaşınca aramamda ufak dokunuşlar yaptım ve ikinci arama sayfamda Wikipedia’nın farklı bir başlığını gördüm. Nihayetinde at boyutunda bir ördeğe benzeyen dinazor türü ile karşılaştım. Yine o kadar umutlu değilken ikinci denememde cevap geldi.

https://en.wikipedia.org/wiki/Dromornithidae

Flag : cypwn_{dromornithidae}

INTELLIGENCE (50 Puan)

Bu çocuk müthiş istihbarat tekniği kullandı. 🙂

Yine bir iki denemem oldu. İstihbarat tekniklerini yazdım ancak doğru çıkmadı. Sonra çark ettim ki aradığım tüm sayfaların ortak noktası OSINT. Eh, öyleyse biz de bunu yazarız dedik. Bingo 🙂

Flag : cypwn_{OSINT}

Forensics

Flog (25 Puan)

http://s3.dosya.tc/server10/ol4jyx/canyoupwnme.rar.html

Rar dosyasının içinden bir log kaydı çıkıyor. Ben de “cypwn_{” yazarak aratıyorum. Ve tam üstüne denk geliyorum. Tertemiz kurtuluyorum sorudan 🙂

Flag : cypwn_{canyoupwnme_log}

Is Empty? (50 Puan)

Daha dün baktım burdaydı ama şimdi bulamıyorum?

https://drive.google.com/open?id=0B5i8WVYofXg6QWxVNUQyTkRfRW8

Parola korumalı bir zip dosyası söz konusu. Öyleyse john the ripper aracı imdadımıza yetişir.

“zip2john demorepo.zip > demorepo.hash” komutunu kullanıyorum. Şimdi şu hash dosyasını kırmaya bakalım.

“john demorepo.hash –show” parametresi ile son hamlemi yapıyorum. Parola : 12345

Sonra dosyaların içinde deli danalar gibi gezinmeye başlıyorum. Bakalım işe yarar ne var? Aradığım şeyin config dosyasında olduğunu buluyorum.

url = https://github.com/stolera/demorepo.git

Github hesabından flagi elde ediyorum.

Flag : cypwn_{easy_peasy_lemon_squeezy}

OSINT

NS (10 Puan)

canyoupwn.me ‘nin nameserverlarından birisi?

Herhangi bir web sitesi üzerinden CanYouPwnMe nameserverlarını sorgulayabiliriz. Ben linux araçlarından dig ile yaptım.

Komut : dig canyoupwnme mx
Karşıma iki NS çıktı.

ada.ns.cloudflare.com
zod.ns.cloudflare.com
Flag : cypwn_{ada.ns.cloudflare.com}

Mail (25 Puan)

Bu canyoupwn.me mailleri nerede barındırıyor acaba?

OSINT kategorisindeki NS sorusunda dig aracı ile yaptığım sorgu aslında bu sorunun da cevabını verdi. Şans 🙂

Flag : cypwn_{mx.yandex.net}

xCyberX (50 Puan)

Siber suçlular gizli ağlardan erişim sağlayarak orjinal Mona Lisa tablosunun taranmış digital kopyasını ele geçirdiler. Bu orjinal resmin yerine ise başka bir resim bırakmışlar. Siber suçluları takibe hazır mısın ? Bıraktıkları resim dosyası aşağıdadır.

https://drive.google.com/open?id=0B5i8WVYofXg6c29VYlg2MUZTQkk

Her gördüğüm fotoğrafta bir fotoforensic işlemi arıyorum. Bunda da ilk önce onu yaptım. Didik didik ettim hiçbir şey çıkmadı. Sonra soruya dikkat etmediğimi düşünüp tekrar döndüm. Dedim şunu steghide ile açayım. xcyberx ve ona yakın bazı anahtarlar belirledim kendime ve denemeye başladım. Sonucu aşağıdaki komut verdi. Yani cyberx.

steghide extract -sf RockYouFor_cyber_.jpg

Nihayet hint.txt isimli bir belge çıkıyor fotoğrafın içinden. Onda da aşağıdaki link yer alıyor.

https://yadi.sk/i/zxpANdeJ38yUKK

Karşımıza bir karekod çıkıyor. Bunu da herhangi bir karekod decode sitesinde çözüyorum. Bu sefer de tahminimce base64 ile şifrelenmiş bir metin var.

Doğru yoldasın dostum devam et..go go go!!!flag : aWV2Y3Rfe20wMGpfcDBIX0h4MF9lMGFfQHgzX0BfbkBpcTNYfQ==

Decode ettiğimde şununla karşılaşıyorum : ievct_{m00j_p0H_Hx0_e0a_@x3_@_n@iq3X}

Bir iki denemeden sonra da ROT ile şifrelendiğini keşfediyorum ve çözdüğümde flag karşıma çıkıyor.

Flag : cypwn_{g00d_j0B_Br0_y0u_@r3_@_h@ck3R}

Secret (100 Puan)

secret.canyoupwn.me

Verilen adrese erişim yok. Ne ola ki? Sazanlık edip soru bozuk bile dedim itiraf ediyorum. Sonra DNS sorgusundan cevabı buldum.

http://www.iyinet.com/dns-sorgulama/url/secret.canyoupwn.me

Flag : cypwn_{kks271723jjjasd9asd771239}