Hoş geldiniz, Ziyaretçi
Kullanııcı Adı: Parola: Bilgilerim hatırlansın
  • Sayfa:
  • 1

KONU:

TCP SESSION HIJACKING: 5 yıl 4 hafta önce #1334

Hacking için bazı durumlarda kendi IP adresimizden farklı bir adresle hedef sunucuya bağlanmamız gerekebilir. Örneğin elimizde bir web sunucusu olsun. Sunucuya dosya güncellemek için sysadmin şirketin local ağına ve lease line sattığı x.x.x.x static IP adresi olan müşterisine izin vermiş olsun. Yani web sunucusunun önündeki firewall, sunucunun ftp portuna gelen isteklerden sadece x.x.x.x adresinden gelenlere izin veriyor. Bu tip bir durumda bir hackerın ftp root/admin şifresini bilmesine rağmen sisteme girebilmesi için bu x.x.x.x IP adresine sahip olması gereklidir. Bunu sağlamak için hacker sistemde tanımlı olan x.x.x.x IP adresinden sahte bir bağlantı oluşturmalıdır. Karşımıza şu sorun ortaya çıkar: Biz gönderdiğimiz paketleri editleyerek kaynak adreslerini değiştirebiliyoruz ama sunucu aldığı paketlere vereceği cevapları nereye yollayacak? Tabi ki sunucu cevapları bizim verdiğimiz sahte IP adresine yollayacak. TCP protokolündeki bağlantı kontrolünü bildiğinizi varsayarak böyle bir durumda sunucunun gönderdiği ve bizim alamadığımız paketlere karşılık gelen doğru cevapların (ve Seq# Ack#lerin) yollanmasının ne kadar zor olduğunu tahmin edebileceğinizi sanıyorum.

MySystem
(Spoofed packet x.x.x.x:1027) ->hedefim:80
(hedefim:1405 -> x.x.x.x:1027

Eğer bu gelen (kaybolan) paketlere doğru cevapları verirsek sahte bir oturum oluştururuz. Buna da session hijacking denir. Hijacking de yapılan spoof ikiye ayrılıyor blind ve active spoof. Örnekte belirtilen x.x.x.x adresinin sizin local ağınızda bir makinaya ait olduğunu düşünelim. Böyle bir durumda x.x.x.x adresine gönderilen paketleri sniff yöntemiyle alıp, gereken seq#, ack#leri öğrendikten sonra hedef makinaya yeniden spoofed paketler yollarsanız sahte oturumunuz hatasız çalışır. Gelen paketler sniff yöntemiyle görülebildiğinden buna active spoof denir. Ama eğer x.x.x.x adresine gönderilen paketlerin sniff yöntemiyle alınamayacağı bir durumdaysanız, yani bu paketler sizinle aynı local ağda değil veya ağda hub yerine switch kullanılıyorsa, o zaman blind spoof yapmanız gerekir. Blind spoofde deneme yanılma ve tahmin yoluyla sunucunun gönderdiği paketlerdeki seq# numarasını bulmak gerekir. İnternette IP spoof kelimelerini aratırsanız sizde bu kaynağa ulaşırsınız. Bulamazsanız benden boşuna istemeyin.

CIS ( Cerberus Internet Security )

CIS ile uzak sistem çalışan NETBIOS dahil bir çok servis ve kaynak hakkında bilgi alabiliriz bunun yanı sıra hedef makinedeki kullanıcı ve grup listesi ,bunların yetki ve izinleri , çalışan NT servisleri FTP servisleri SMTP ve POP3 servisleri gibi önemli bilgileri görme imkanı tanır www.cerberus-infosec.uk


NBTSTAT + MAC ADRESİ ÖĞRENMEK

Nbtstat / NETBIOS over TCP/IP ile hedef sistemdeki NETBIOS isim tablosunu görmek
Mümkündür bu tablo sayesinde hedef makinenin ismi ait olduğu etki alanı ve mac adresi
Öğrenilinebilir


C:\nbtstat A 85.105.3.48

NETBIOS remote machine name table

NAME TYPE STATUS
ARES <00> UNIQUE registered
ARES <20> UNIQUE registered
DOMAIN <00> GROUP registered
DOMAIN <0E> GROUP registered

MAC adres= 00-06-29-2E-41-51
Yukarda görüldüğü gibi ARES isimli makine domain etki alanına üye değildir
Ve MAC adresi 00-06-29-2E-41-51 şeklindedir <xx> kodlar ise sistemle ilgili
Spesifik bilgiler verir bunları aşağıda hazırladım


NTRK yada NTHK

Microsoft Windows NT yi piyasaya sürdüğünde + olarak ayrı satılan WINDOWS NT RESOURCE KIT yada kısaca NTRK olarak adlandırılan içersinde çok güçlü yönetim araçlarının bulunduğu bir program kitini çıkardı bu kitteki programlar gerçekten çok güçlü ve Kullanışlıydı ki sistem yöneticileri kadar hackerlarda bu kiti kullanmaya başladı böylece Vazı saldırılarda Microsoft kendi silahıyla vuruldu zamanla NTRK ismi NTHK yani
NT HACKING KIT olarak değişti NTRK içersinde çok güçlü sistem ve ağ yönetim araçları bulunmaktadır ama bu bölümde NETBIOS tabanlı yapılan taramalara bakıcaz ileride bunu daha detaylı göstericem bazı bilinen NTRK komutları


Nltest: Bir etki alanındaki birincil ve ikincil etki alanı sunucularının listesini verir
Srvcheck: Gizli ve açık paylaşımları ve yetkili kullanıcıları gösterir
Rmtshare: Uzak sistemdeki paylaşımları gösterir
GETmac: Uzak sistemdeki MAC adresini gösterir


BOŞ BAĞLANTI ( NULL SESSION 139 PORT )

NETBIOS ve CIF/SMB içerdiği API ler sayesinde yetkisiz kulacılara TCP 139 nolu porttan bağlantı imkanı sunmaktadır ( aslında sistem açığı ) bu bağlantı sayesinde kullanıcılar gruplar paylaşımlar etki alanları gibi bir çok kaynağa erişmek mümkündür eğer bir sistem paylaştırılmış bir kaynak varsa yada TCP 139 port açıksa bu bağlantı şu şekilde yapılır



C:\ net use \\85.105.3.48\IPC$ / USER:
The command completed successfully


Bu komutla 85.105.3.48 nolu makinedeki gizli paylaşım olan IPC$ yerleşik locak kullanıcıyla /USER ve boş şifreyle bağlanılmaktadır
Hedef sisteme null sessions ile bağlantı kuran hacker bundan sonra sistemdeki paylaşımları kullanıcı adlarını bilmek isteyecektir bunun için

C:\net view / domain adı

DOMAIN
-- --- -- --- --- --- ---- ----
DOMAIN -1
DOMAIN -2

The command completed succesfully
Belli bir etki alanındaki bilgisayarları görmek içinse bir etki alanı belirtilir

C:\net view /domain: domain adı


SERVER NAME REMARK
----


-- - - - -- - - - - - --
\\belgelerim
\\yedek
\\hard *****

The command completed succesfully
Bir makinedaki paylaşımları görmek içinse sadece o makinenin ismini vermek yeterlidir

C:\net view \\85.105.3.48
Shared resources at \\85.105.3.48


SHARE NAME TYPE COMMENT




hp laser jet print hp laser jet 1100
dosyalarım directory dosyalarım

WINFINGERPRINT

winfingerprint.com>

Windows sistemlerinde çalışan program açık kaynak kodlu bir yazılımdır
Çoğu bilgiye IPC$ paylaşımıyla erişir uzak sistemlerdeki kullanıclar gruplar paylaşımlar
Event log kayıtları gibi önemli bilgilere ulaşmasının yanında active directory yapısı hakkında Önemli bilgiler verir.

Lütfen sohbete katılmak için Giriş ya da Hesap açın.

  • Sayfa:
  • 1
Sayfa oluşturma süresi: 0.294 saniye

NDK Hoş Geldin

Ders Kafe Anketi

Uzaktan Eğitim sistemini hangi cihazlardan takip ediyorsunuz?

loader
Bu anket sona erdi Oca 04 2021 at 08:00 PM
Tüm anketleri görüntüleyin