arp poisoning etiketine sahip kayıtlar gösteriliyor. Tüm kayıtları göster
arp poisoning etiketine sahip kayıtlar gösteriliyor. Tüm kayıtları göster

27 Ocak 2016 Çarşamba

MITMf + FilePwn = ARP Spoofing ile Shell Açma

MITMf (Man-In-The-Middle Attack Framework), MITM saldırıları için byt3bl33d3r tarafından geliştirilen bir Ortadaki Adam saldırı aracıdır. 

MITMf içerisinde çok sayıda hazır saldırı modülü bulundurmaktadır. Bunun yanında yeni modüllerin geliştirilmesi ve entegrasyonu oldukça kolaydır. Örnek olarak bir kaç modülüne bakacak olursak;
  • ScreenShotter: Kurbanın browser'ından ekran görüntüsü alır.
  • SSLstrip+: HSTS bypass için kullanılacak modül. 
  • Spoof: Spoofing kullanılacak modülleri başlatmak için kullanılır, örnek modüller: ARP, ICMP, DHCP ve DNS spoofing.
  • BeEFAutorun: Kurban'ın browser tipine göre BeEF modüllerini çalıştırır. 
  • AppCachePoison: Uygulama cache'lerini zehirler.
  • BrowserProfiler: Kurbanların browser'larında yüklü olan pluginleri gösterir. 
  • FilePwn: HTTP üzerinden Backdoor Factory and BDFProxy kullanarak arka kapı yerleştirmemizi sağlar.
  • Inject: HTML içeriğine müdahale etmemizi sağlar. (ör: js veya html kod ekleme) 
  • BrowserSniper: Güncellenmemiş browser pluginleri üzerinde drive-by saldırıları dener.
  • JSkeylogger: Kurbanın açmış olduğu web sayfalarına Javascript yardımıyla keylogger gömer. 
  • Upsidedownternet: Kurbanın ulaştığı sayfalardaki resimler 180 derece çevrilir.

Kurulum

25 Kasım 2015 Çarşamba

MITMf + BeEF + Metasploit = Exploit Combo

ARP Poisoning/Spoofing ile bir network içerisinde çeşitli saldırılar yapılabilir. Örnek olarak aynı ağda bulunduğumuz kurban veya kurbanların trafiğini üstümüze alabiliriz.

Yerel ağ içerisinde makineler birbirleriyle haberleşirken MAC adreslerini kullanırlar. Bu olay OSI modelindeki 2. katman olan Data Link Layer'da gerçekleşmektedir. Ağda bulunan makineler broadcast ile yaydıkları paket sonrası aynı ağda bulunan diğer makinelerin IP-MAC eşleştirmesini yapar. IP-MAC eşleştirmesinin bulunduğu yer ARP (Address Resolution Protocol) tablosudur. Yerel ağda haberleşmek istenilen iki makine arasında kurulacak bağlantı öncesinde ARP tablosundan bakılarak iletişimin kurulacağı IP'ye denk düşen MAC adresi bulunur ve işlemler bu MAC adresi üstünden gerçekleşir.
ARP poisoning saldırısında, seri şekilde gönderilen ARP paketleri ile kurban ve router arasına girilir. Yazıda ARP spoofing ile gerçekleştirilebilecek saldırılardan olan MITM (Man In The Middle – Ortadaki Adam) anlatılacaktır.
Mitm saldırısının gerçekleştirilmesi sırasında saldırgan ve kurban arasında gerçekleşen trafiği aşağıdaki gibi açıklayabiliriz.

Trafiği yönlendiren cihaza(router/switch), kurbanın MAC adresi diye saldırganın MAC adresi gönderilerek, saldırgan kendini, kurban olarak taklit eder ve cihazın ARP tablosunda IP-MAC eşleştirmesi bu şekilde görünür.
Kurban'a, router MAC adresi diye saldırgan MAC adresi gönderilerek kurbanın ARP tablosundaki router MAC adresi saldırganın MAC adresiyle değiştirilir. Poisoning için gönderilen paketler sahte ARP paketleridir.
Bir resim ile olayı özetlemek gerekirse;