Siber Uzay'ın Haber Platformu

H4cktimes Youtube Kanalı

OSINT – Bölüm 1 – Pasif Keşif ve Analiz

0

İlk bölümü pasif keşif ve analiz olarak başlayacak olan bu 3 bölümlük yazıda hedefler üzerinde iz bırakmadan muazzam ölçüde bilgi toplamanın yollarını öğreneceğiz.

Pasif Keşif Nedir?

Pasif kelimesinin tanımı sözlükteki diğer anlamlarından farklı olabilir ancak bizler bununla normal trafik akışı içerisinde gizlenebilecek, müdahale edilemeyecek veya kolayca tespit edilemeyecek şekilde analizler gerçekleştireceğiz. Temel olarak, bir saldırgan mı yoksa bir ziyaretçi mi olduğunuz anlaşılmıyorsa ve siz bir potansiyel tehdit olarak algılanıp engellenmiyorsanız bunun anlamı pasif keşiftir.

Nereden Başlayacağız?

Güzel bir soruyla başlıyoruz. Öncelikle yapacak olduğumuz keşfin, uygulamakta olduğumuz Pentest türü ile ilişkisini belirlemeliyiz: Black Box Pentest, White Box Pentest ve bunların arasında kalan her şey.

Bir Black Box Pentest yapıyorsanız, bir saldırganı simüle ettiğinizde size tek bir başlangıç bilgisayarı ve genellikle kapsam dışı IP adreslerinin bir listesi verilir ve elinizdeki tüm bilgi budur. Yürütülen hizmetleri, ağ tasarımını ve bu tür şeyleri keşfetmeye başlayarak ilk adımı atabilirsiniz.

Eğer bu bir White Box Pentest ise size bir kurum çalışanının sahip olacağı bilgilerin(uygulama kaynak kodları, ağ tasarımı yapılandırmaları ve diyagramları) verilmesi dışında yine benzer bir şekilde başlayabilirsiniz.

Tipik bir Black Box Pentest sırasında, dışarıdaki bir saldırganın neredeyse hiç bilgisi olmadan şirket hakkında ne kadar bilgi keşfedilebileceği de gösterildiğinden çoğu şirketin aradığı şey olarak bu seride de Black Box ile benzer aşamalar kaydedeceğiz.

Şimdi, sizlere kapsamlı IP adreslerinin bir listesinin verildiğini söylediğimi fark edeceksiniz. Tüm bu IP’leri basitçe taramak ve bunların üzerinde yoğunlaşmak gerçekçi bir bakış açısı olmayacağından hedefi analiz ederek başlamalısınız. Bunu yapmanın birden fazla yolu var ve biz Google‘ı şirket’in web sitesi olarak kullanacağız. https://www.google.com/

Pasif Burp Suite Taraması

Burp Suite Passive, tıpkı bir Sherlock Holmes gibi gözlem yapabilmekte ve biz bunu kullanacağız.

Bununla ne yapabiliriz? Yapmayı sevdiğim ilk şey, web siteyi BurpSuite’i proxy olarak kullanacak şekilde ayarlamak ve SSL sertifikası yüklü durumda ziyaret etmek.

BurpSuite’inizin kenar çubuğuna bakarsanız, Target>Site map>https://www.google.com/ şeklinde arama ve dizinlerini görebilirsiniz. Çok hızlı bir şekilde önümüze sitenin dosya yapıları, yüklü komut dosyaları, site haritası ve barındırılan diğer siteler gelmekte ve tüm bu bilgiler bizim işimize yarayacaktır. Her zamanki gibi, çok fazla bilgi toplayıp onları silmemek daha sonraki aşamalarda bunlara ihtiyacınız olabildiğinde hızlıca erişebilmenizi sağlayacaktır. Unutmayın, bu bir pasif keşif. Bu aşamalarda çok sessiz kalmalı ve alarm zillerini çaldırmamalıyız. Eğer bu web site normalde çok fazla görüntülenme almıyorsa bu taramalar esnasında VPN kullanabilirsiniz. SOC/SIEM çözümleri hassas olarak ayarlanmış olabilir ve aynı adresten yapmış olduğunuz istekler uyarı oluşturabilir. Taramalarınız herhangi bir kontrol esnasında tespit edilemiyorsa doğru yoldasınız demektir.

BurpSuite Professional hesabınız varsa, bu taramayı “Passively Scan This Host” öğesine sağ tıklayarak seçebilirsiniz ve bilinen güvenlik açıklarını, e-posta adreslerini vb. bilgileri istenilen sayfa kodu içerisinden sizin yerinize bulabilir.

Sırada Shodan ile pasif port taraması yapmak var. Akıllarda bir soru olacak pasif port taraması mı ? O da ne? 🙂

Web siteye girdik ve anladık ki en azından 80 veya 443 port’u açık ancak arkada başka neler çalışıyor? Bunun için sadece Shodan’ı açabilir ve çılgınca Nmap scriptlerini kullanabilirsiniz.

Shodan’dan API key’imizi istiyoruz ve onu nmap ile aynı taramada kullanıyoruz. Hepsi bu kadar.

nmap --script=shodan-api --script-args 'shodan-api.apikey=XXXXXX' google.com

Görseldeki API key’imi sansürledim çünkü bununla bir çok şey yapılabilir 🙂

-sn: Port taraması yapmasını istemiyoruz.
-Pn: Makineye ping atılmasını da istemiyoruz.
-n: Son olarak DNS çözümlemesi de yapmayarak yüksek oranda gizlilik sağlıyoruz.

Burada Nmap’i hiçbir yere göndermeyerek yalnızca shodan.io‘da tarama yaptırmaya zorluyoruz. Belkide elde edeceğimiz bilgiler bakış açımızı değiştirecek.

Bu derslerin amacı, normal bir pentest sırasında neler göreceğinize dair gerçekçi bir görüş sunmaktır ve genellikle remote code execution (RCE) gibi 5. seviye zafiyetleri ilk aşamada tespit edemezsiniz. Öncelikle 5. seviye zafiyetleri 3’lülerden bulacaksınız ve bunları daha sonra reverse shell almak, bir panele erişmek sağlamak veya phishing saldırısı yapmak için kullanacaksınız. Bunları, bu serinin exploitation bölümünde daha ayrıntılı olarak göreceksiniz.

DNS Brute-forcing (çok hızlı bir şekilde)

DNS brute-forcing’e geçmeden önce DNS’in bir meyvesi olan zone transfer’lerden bahsedeceğiz. Zone transfer’ler sistem yöneticilerinin DNS veritabanlarının çoğaltması ve bunların yeni alan adlarına aktarılması gibi işlemleri kolayca yapmalarını sağlar. Eğer hedef şirket daha önce böyle bir geçiş yapmışsa ve güvenlik konusunda farkındalığı azsa, bu yöntem genellikle işinize yarayacaktır.

Dnsenum adlı aracı kullanarak alan adı transflerini kolayca bulabiliriz. Perl ile yazılan bu uygulama cephaneliğimde duran soylu bir araçtır. Burada görebileceğiniz gibi, dnsenum alan adı hakkında birkaç ilginç bilgi ortaya çıkardı.

Host’s Addresses: Alan adına basit bir nslookup sorgusu çektiğinizde gelecek olan IP adresidir.

Wild Card Host: Şanslı olmadıkça, rastgele bir alan adı çağırdığınızda tıpkı kttfvatukbld gibi bir subdomain adresi ile karşılaşmazsınız. Fakat bu çok güzel bir olaydır çünkü döndürülecek olan IP adresi DNS sağlayıcınız ya da ISP’nizden döner.

Name Servers: Bunlar arama yapmakta kullanmış olduğunuz ad sunucularıdır, genellikle küçük-orta ölçekli bir şirkette bu DNS başka bir yerde barındırılır ve genellikle alan adı kaydı alan şirketin izniyle olabilir. Bu bilgiler ileride işimize yarayabilir.

MX Servers: Günümüzde bu bilgiler kolayca göz ardı edilebiliyor ancak bu bilgilerden neler elde edilebileceği ise çok şaşırtıcı. Bu, alan adına ait MX sunucularını ortaya çıkaracak, şirket alan adındanki Google veya Microsoft Exchange gibi e-postaları bulmanızı sağlayacaktır. Microsoft Lync sunucuları, kullanıcı e-postaları ve giriş panelleri gibi bir çok bilgiyi buralardan elde edebiliriz.

Zone Transfers: Bugünlerde oldukça nadir görülen bir durum bu, tespit edildiği takdirde kayıtlı tüm subdomain adreslerininin bir listesini döndürmektedir.

Tamam, şimdi biraz hızlanıyoruz. Hiç Aiodns‘i duydunuz mu? Evet şimdi duymuş oldunuz. Aiodns, senkronize olmayan istekleri yine aynı şekilde asenkronize bir ortamdan yapan çözümleyicidir. Kısacası, bu, her bir istekten sonra bağlantıyı kapatmadan birden fazla arama yapabileceğiniz anlamına gelmektedir. Demek oluyor ki aramalarımız gerçekten çok hızlı olacak.

Aiodnsbrute ile tanışın! Blark bunu akıllı bir brute-forcing aracına dönüştürmüş ve gerçekten çok iyi çalışıyor.

Yapılan denemelerde, küçük bir VPS ana bilgisayarında 1.5-2 dakikada yaklaşık 100.000 DNS çözümlemesi yapabiliyor. Bulunduğunuz mesafeye bağlı olarak değişebilir ancak sadece 3 dakika içinde 1 milyon istek Amazon M3 kutusu kullanılarak  yapıldı. Eğer hız konusunda takıntılıysanız Google’ın çözümleyicilerini kullanmaktan kaçınmak sizin için çok iyi olabilir.

Peki 1 milyon istek yapsak. Bu aracı SecLists‘den yakalanmış bir keşif sözlüğü(Discovery> DNS> subdomains-top1mil-110000.txt bunun için çok iyi) ile denerseniz, oraya bu alan adlarının tamamını yakıp yıkmaya ve keşfetmeye gidiyorsunuz demektir.

Bunu daha da cool yapan şey, PCI uyumluluğunun bir standart olması ve gereksinimlerinin bir parçası olarak her ana bilgisayarın geçerli bir imzaya ve sertifikaya sahip olmasıdır. Peki bir IP üzerinde geçerli sertifikaya sahip olmayan firmalar ne yapıyor? SSL erişimine ihtiyaç duydukları her şey için subdomainler üretiyorlar. Evet, tahmin ettiğiniz gibi bunlar VPN portalları, e-mail girişleri ve geliştirici sitelerdir.

Tamam, bunu google.com’da görelim.

aiodnsbrute google.com

Hımm, ilginç bir şey oldu ve nedense aynı IP adresine ait 92 alan adı mevcut. Çünkü bunlar DNS çözümleyiciler. DNS Wildcard araması yaptığımızı hatırlıyorsunuz değil mi? Evet, bunlar oradaki IP’lerle aynı. Bunu bir grep komutu ile kolayca çözebiliriz.

aiodnsbrutegoogle.com | grep -v "the resolver IP"

Kabul ediyorum, verilen biçimlendirmeler biraz bozuldu ama bu gerçek bir pentest olayı, sonucun göz kamaştırıcı olması gerekmiyor. Şu alan adlarına da bir bakın hepsi bir yerlere gidiyor. Şimdi bu IP adreslerini de incelemek için bir text dosyasına kaydedebilir veya belki de yeni öğrendiğiniz pasif shodan yetenekleriniz ile taramak isteyebilirsiniz. Bunların yanı sıra IP’ler üzerinden ters nslookup sorguları çekebilir ve çözümlenip çözümlenmediklerini de görebilirsiniz.

E-Mail Adreslerini Bulma

Daha önce bu çok havalı aracı kullanmışsınızdır. Onun adı “theHarvester”. Google arama sonuçlarından elde edilen başlıkları, açıklamaları ve meta dataları sıyırıp içlerindeki e-mail’e benzeyen yazıları arar.

./theHarvester.py -d companydomain.com -b google

Sizlere göstermek amacıyla protonmail.com adresini kullandım ancak istediğiniz mail uzantısı ile taratabilirsiniz. Eğer bu tarama sonucunda bir cevap alamazsanız Hunter.io kullanabilirsiniz. Hunter.io’yu Google’ın sadece e-mail aramaya yarayan versiyonu olarak düşünebilirsiniz.

16.427 adet e-mail adresi, hiçte fena bir sayı değil. Bunu, isimlerden e-mail adresleri üretmek için kullanabiliriz (Bunlara Bölüm 2’de değineceğiz). Daha sonra, her bir e-mail adresi için tek bir parola deneyen saldırılar da yapabiliriz. Bir diğer can alıcı nokta ise bu e-mail adreslerinin parolaları herhangi bir sızıntıda çalındı mı?

Weleakinfo.com

Adobe, LinkedIn, MySpace ve en yakın zamandaki MongoDB, buralardaki veri sızıntılarını hatırlıyor musunuz? Eh yani, bu ihlallerden elde edilen veriler hala dışarıda ve insanlar onları yayımlamaya devam ediyorlar. Ancak bu durum öyle bir hal aldı ki resmen kurtarılması gereken binlerce çöplüğün olduğu bir yer oldu.

Weleakinfo, tüm bu çöplükteki verileri kendi veritabanında derliyor ve eğer bu e-mail adreslerini bulmak isterseniz de çok hızlı bir şekilde nereden çalındığını da sizlere gösteriyor.

16.427 tane e-mail adresini yalnızca 10 saniyede taratabildim. Bu mailleri bir de teker teker aradığınızı düşünsenize, yaklaşık 48 saat boyunca durmadan kopyala yapıştır yapmanız gerekirdi. Eğer uyuma gibi bir huyunuz yoksa ve Avni Yıldırım kadar kaslı parmaklara sahip değilseniz bunu otomatikleştirmenizi öneririm. Weleakinfo aslında herkese açık bir API’da sağlıyor https://weleakinfo.com/api/public adresinden saniyede 3 istek almanızı sağlıyor ancak bu hız bana yaramaz derseniz ProxyDock gibi bir araç deneyebilirsiniz.

Sonuç olarak, sadece nereye bakılacağını bilerek elde edebileceğiniz bilgi sayısı oldukça fazladır. Araştırmak sabır gerektiren bir iş olup mükafatı ise çabalarınızdır.

Yorum Bırak

Your email address will not be published.

This site uses Akismet to reduce spam. Learn how your comment data is processed.