Selamlar TurkHackTeam Ailesi
Selamlar dostlarım ben Fladd. Bugün sizlere "bettercap" aracı nedir?, bettercap aracı ile ne yapılır,belirli saldırı türlerine örnek gibi konuları ele alacağım umarım beğenirsiniz seviliyorsunuz.
-Bettercap Nedir?
Bettercap ağ güvenliği ve çeşitli pentegrasyon(sızma) işlemleri için kullanılar siber güvenlik açısından oldukça kullanışlı bir araçtır ettercap in daha gelişmiş bir versiyonudur. Ayrıca Go dili ile yazılmış olup esneklik ve performans açısından oldukça güçlüdür.
Bettercap Kurulumu?
Bettercap aracı kali linux için oldukça basit bir kurulumu vardır eskiden gömülü olarak geliyorken güncel versiyonlarda ne yazıkkı indirmemiz gerekiyor.
Adım-1:
Kali Linux terminali açalım
Adım-2:
sudo apt-get install bettercap
Adım-3:
terminale bettercap yazıp çalıştıralım
Alternatif:
terminale direk bettercap yazarak da kurulumu yapabiliriz
Bettercap aracını Çalıştırma:
terminale "bettercap" yazarak başlatabiliriz fakat daha sağlıklı olması için benim size tavsiyem "ifconfig" komutu çalıştıralım ve wifi kartımızın ismine bakalım
gördüğünüz gibi wlan0 olarak gözüküyor şimdi ise "bettercap -iface wlan0" diyerek bettercap aracımızı çalıştıralım
Bettercap Parametreleri:
help:
bettercap'te parametreleri ve durumlarını gösterir(açık/kapalı olduğunu) ayrıca help "parametre ismi" olarak belli bir parametrenin ne işe yaradığını görebiliriz örneğin help net.probe gibi
ayrıca "set" komutu ile alt parametreleri ayarlayabiliriz örneğin set arp.spoof.targets 192.168.1.2
events.stream:
genellikte her zaman açıktır bettercap ile yaptığımız canlı akışı gösterir
any.proxy:
belli bir hedefe giden trafiği yakalar ve bu trafiği kendi üzerinden geçirir. Bu sayede belirli port yönlendirmeleri protokol değişikli örneğin http protokolü ftp olarak geri dönüş gibi genellikle "MITM" saldırılarında oldukça kullanışlıdır
alt parametreler:
arkadaşlar bazıları yine aynı şekilde Önemi fazla yok bunları atlıyorum eğer tamamını isterseniz yazabilirim
any.proxy.dst_address :
proxy'nin dinlendiği adres varsayılan wlan0
an.proxy.dst_port :
proxy'nin dinlendiği port adresi varsayılan 8080
any.proxy.iface:
Paketlerin yönlendirileceği arayüz varsayılan wlan0
any.proxy.protocol:
proxy protokolü varsayılan TCP
any.proxy.src_address:
çeviri şöyle: herhangi bir kaynak adresini yakalamak içi boş bırakın
any.proxy.src_port:
Modül etkinleştiğinde yönlendirilecek uzak port
api.rest:
api.rest bettecap aracını belli bir web sayfası veya uzak shell komutuyla çalıştırmamızı sağlar http istekleri üzerinde yönlendirir
alt parametreler:
api.rest.record FILENAME:
rest api'yi bir rar dosyasına kaydeder
api.rest.record off :
kaydı durdurur
api.rest.replay FILENAME:
kayıtlı dosyayı tekrar oynatma moduna alır
api.rest.address:
api rest sunucusunun bağlanacağı adress host
api.rest.alloworigin:
Tam bilmiyorum bunu
çevirisi: API sunucusunun Access-Control-Allow-Origin değeri
api.rest.certificate:
API TLS seltifikası varsayılan betercap
api.rest.certificate.commonname:
Oluşturulan HTTPS seltifikasının isim alanı
api.rest.certificate.county:
Oluşturulan HTTPS seltifikasının ülke alanı varsayılan Us
api.rest.key
API TLS anahtarı
api.rest.password:
API kimlik doğrulama şifresi varsayılan boş
api.rest.port :
API rest sunucusunun bağlanacağı port
api.rest.username:
API kimlik doğrulama kullanıcı adı
api.rest.websocket:
"true" ise /api/events rotası HTTPS yerine bir WebSocket son noktası olarak kullanlılabilir varsayılan false
arp.spoof :
Arp zehirleme olarak bilinir MITM saldırısı için oldukça önemlidir. Bir cihazın IP adresini başka bir cihazın mac adresi ile eşleşmesini sağlar kısaca MITM
alt parametreler:
arp.ban :
bettercap içinde deauth saldırısı yapmamıza yarar
arp.spoof.fullduplex(true/false):
eğer true ise hem hedef cihaz hemde router saldırımızdan etkilenir false ise sadece hedef cihaz etkilenir
arp.spoof.skip.restore(true/false):
eğer true ayarlanmışsa spoofing durdurulduğunda hedeflerin arp önbellekleri geri yüklenmeyecektir
arp.spoof.interal(true/false):
eğer true ise ağ üzerindeki bilgisayarlar arasında yerel bağlantılar spoof edilecek
arp.spoof.targets:
spoof edilecek hedef ıp adresleri
arp.spoof.whitelist :
hedef sırasında atlanacak ip adresleri
c2:
IRC sunucusuna bağlanan raporlama ve komutlar için kullanılan CnC modülü
alt parametreler:
c2.channel.control:
Komut almak için kullanılacak IRC kanalı
c2.channel.output:
Komut çıktılarının gönderileceği IRC kanalı
c2.server:
IRC sunucu adresi ve portu varsayılan localhost:6697
c2.server.tls:
tls etkinleştir
caplets:
bettercap için geliştirilmiş belli görevleri ve testleri yerine getirmek için yazılmış özelleştirilebilir komut dosyalarıdır
caplets.show:
kurulu capletsleri gösterir
caplets.paths:
kurulu capletslerin dosya yolunu gösterir
caplets.update:
capletleri kurar ve günceller
dhcp6.spoof :
IPv6 protokolüne Ağ'da sahte bir DHCPv6 sunucusu oluşturur MITM saldırında kullanılabilir.
alt parametre:
dhcp6.spoof.domain:
taklit edilecek domain adları varsayılan microsoft
dns.spoof:
genel bakimdan yine spoof işlemidir yani yönlendirme işlemi domainleri belli başlı ıp adreslerine yönlendirir
dns.spoof.all(true/false):
eğer true ise modül tüm dns isteklerine yanıt verir
dns.spoof.domains:
taklit edilecek alan adları varsayılan boş
dns.spoof.hosts:
Boş değilse host dosyası alan adlarını IP adreslerine eşleştirmek için kullanacaktır varsayılan boş
dns.spoof.ttl:
Sahte DNS yanıtlarının TTS süreleri
gps:
gps donanımından veya gps daemon servisinden konum verisi almayı sağlar.
alt parametreler:
gps.show :
gps donanımı tarafından son kordinatları gösterir
hid:
2.4ghz spektrumundaki HID cihazları tarar ve enjekte işlemleri yapmayı sağlar
hid.sniff "adress":
belirli bir adres üzerinde sniffing yapar
hid.inject:
tam bilmiyorum bunuda çevirisi : DuckyScript FILENAME dosyasını araştırır ve belirtilen ADDRESS cihazını taklit ederek HID çerçeveleri olarak enjekte eder LAYOUT klavye haritalamasını kullanır
alt parametreler:
hid.force.type:
Cihaz görünmüyorusa veya türü belli değilse cihaz türüne isim zorlar örn "logitech" "amazon" Bunlar betercap içindeki örnekler
hid.hop-period
Her kanalda kalma süresi(milisaniye)
hid.ping-period:
sniffer modunda bir cihazı belirli bir kanalda pingleme süresi
hid.sniff-period:
Cihazın tespit edilmesinden sonra otomatik olarak yükleri sniffleme süresi (bunları bende fazla bilmiyorum)
hid.ttl
cihazın menzil dışında olduğunu değerlendirmek için inacivity süresi
Selamlar dostlarım ben Fladd. Bugün sizlere "bettercap" aracı nedir?, bettercap aracı ile ne yapılır,belirli saldırı türlerine örnek gibi konuları ele alacağım umarım beğenirsiniz seviliyorsunuz.
-Bettercap Nedir?
Bettercap ağ güvenliği ve çeşitli pentegrasyon(sızma) işlemleri için kullanılar siber güvenlik açısından oldukça kullanışlı bir araçtır ettercap in daha gelişmiş bir versiyonudur. Ayrıca Go dili ile yazılmış olup esneklik ve performans açısından oldukça güçlüdür.
Bettercap Kurulumu?
Bettercap aracı kali linux için oldukça basit bir kurulumu vardır eskiden gömülü olarak geliyorken güncel versiyonlarda ne yazıkkı indirmemiz gerekiyor.
Adım-1:
Kali Linux terminali açalım
Adım-2:
sudo apt-get install bettercap
Adım-3:
terminale bettercap yazıp çalıştıralım
Alternatif:
terminale direk bettercap yazarak da kurulumu yapabiliriz
Bettercap aracını Çalıştırma:
terminale "bettercap" yazarak başlatabiliriz fakat daha sağlıklı olması için benim size tavsiyem "ifconfig" komutu çalıştıralım ve wifi kartımızın ismine bakalım
gördüğünüz gibi wlan0 olarak gözüküyor şimdi ise "bettercap -iface wlan0" diyerek bettercap aracımızı çalıştıralım
Bettercap Parametreleri:
help:
bettercap'te parametreleri ve durumlarını gösterir(açık/kapalı olduğunu) ayrıca help "parametre ismi" olarak belli bir parametrenin ne işe yaradığını görebiliriz örneğin help net.probe gibi
ayrıca "set" komutu ile alt parametreleri ayarlayabiliriz örneğin set arp.spoof.targets 192.168.1.2
events.stream:
genellikte her zaman açıktır bettercap ile yaptığımız canlı akışı gösterir
any.proxy:
belli bir hedefe giden trafiği yakalar ve bu trafiği kendi üzerinden geçirir. Bu sayede belirli port yönlendirmeleri protokol değişikli örneğin http protokolü ftp olarak geri dönüş gibi genellikle "MITM" saldırılarında oldukça kullanışlıdır
alt parametreler:
arkadaşlar bazıları yine aynı şekilde Önemi fazla yok bunları atlıyorum eğer tamamını isterseniz yazabilirim
any.proxy.dst_address :
proxy'nin dinlendiği adres varsayılan wlan0
an.proxy.dst_port :
proxy'nin dinlendiği port adresi varsayılan 8080
any.proxy.iface:
Paketlerin yönlendirileceği arayüz varsayılan wlan0
any.proxy.protocol:
proxy protokolü varsayılan TCP
any.proxy.src_address:
çeviri şöyle: herhangi bir kaynak adresini yakalamak içi boş bırakın
any.proxy.src_port:
Modül etkinleştiğinde yönlendirilecek uzak port
api.rest:
api.rest bettecap aracını belli bir web sayfası veya uzak shell komutuyla çalıştırmamızı sağlar http istekleri üzerinde yönlendirir
alt parametreler:
api.rest.record FILENAME:
rest api'yi bir rar dosyasına kaydeder
api.rest.record off :
kaydı durdurur
api.rest.replay FILENAME:
kayıtlı dosyayı tekrar oynatma moduna alır
api.rest.address:
api rest sunucusunun bağlanacağı adress host
api.rest.alloworigin:
Tam bilmiyorum bunu
çevirisi: API sunucusunun Access-Control-Allow-Origin değeriapi.rest.certificate:
API TLS seltifikası varsayılan betercap
api.rest.certificate.commonname:
Oluşturulan HTTPS seltifikasının isim alanı
api.rest.certificate.county:
Oluşturulan HTTPS seltifikasının ülke alanı varsayılan Us
api.rest.key
API TLS anahtarı
api.rest.password:
API kimlik doğrulama şifresi varsayılan boş
api.rest.port :
API rest sunucusunun bağlanacağı port
api.rest.username:
API kimlik doğrulama kullanıcı adı
api.rest.websocket:
"true" ise /api/events rotası HTTPS yerine bir WebSocket son noktası olarak kullanlılabilir varsayılan false
arp.spoof :
Arp zehirleme olarak bilinir MITM saldırısı için oldukça önemlidir. Bir cihazın IP adresini başka bir cihazın mac adresi ile eşleşmesini sağlar kısaca MITM
alt parametreler:
arp.ban :
bettercap içinde deauth saldırısı yapmamıza yarar
arp.spoof.fullduplex(true/false):
eğer true ise hem hedef cihaz hemde router saldırımızdan etkilenir false ise sadece hedef cihaz etkilenir
arp.spoof.skip.restore(true/false):
eğer true ayarlanmışsa spoofing durdurulduğunda hedeflerin arp önbellekleri geri yüklenmeyecektir
arp.spoof.interal(true/false):
eğer true ise ağ üzerindeki bilgisayarlar arasında yerel bağlantılar spoof edilecek
arp.spoof.targets:
spoof edilecek hedef ıp adresleri
arp.spoof.whitelist :
hedef sırasında atlanacak ip adresleri
c2:
IRC sunucusuna bağlanan raporlama ve komutlar için kullanılan CnC modülü
alt parametreler:
c2.channel.control:
Komut almak için kullanılacak IRC kanalı
c2.channel.output:
Komut çıktılarının gönderileceği IRC kanalı
c2.server:
IRC sunucu adresi ve portu varsayılan localhost:6697
c2.server.tls:
tls etkinleştir
caplets:
bettercap için geliştirilmiş belli görevleri ve testleri yerine getirmek için yazılmış özelleştirilebilir komut dosyalarıdır
caplets.show:
kurulu capletsleri gösterir
caplets.paths:
kurulu capletslerin dosya yolunu gösterir
caplets.update:
capletleri kurar ve günceller
dhcp6.spoof :
IPv6 protokolüne Ağ'da sahte bir DHCPv6 sunucusu oluşturur MITM saldırında kullanılabilir.
alt parametre:
dhcp6.spoof.domain:
taklit edilecek domain adları varsayılan microsoft
dns.spoof:
genel bakimdan yine spoof işlemidir yani yönlendirme işlemi domainleri belli başlı ıp adreslerine yönlendirir
dns.spoof.all(true/false):
eğer true ise modül tüm dns isteklerine yanıt verir
dns.spoof.domains:
taklit edilecek alan adları varsayılan boş
dns.spoof.hosts:
Boş değilse host dosyası alan adlarını IP adreslerine eşleştirmek için kullanacaktır varsayılan boş
dns.spoof.ttl:
Sahte DNS yanıtlarının TTS süreleri
gps:
gps donanımından veya gps daemon servisinden konum verisi almayı sağlar.
alt parametreler:
gps.show :
gps donanımı tarafından son kordinatları gösterir
hid:
2.4ghz spektrumundaki HID cihazları tarar ve enjekte işlemleri yapmayı sağlar
hid.sniff "adress":
belirli bir adres üzerinde sniffing yapar
hid.inject:
tam bilmiyorum bunuda
çevirisi : DuckyScript FILENAME dosyasını araştırır ve belirtilen ADDRESS cihazını taklit ederek HID çerçeveleri olarak enjekte eder LAYOUT klavye haritalamasını kullanıralt parametreler:
hid.force.type:
Cihaz görünmüyorusa veya türü belli değilse cihaz türüne isim zorlar örn "logitech" "amazon" Bunlar betercap içindeki örnekler
hid.hop-period
Her kanalda kalma süresi(milisaniye)
hid.ping-period:
sniffer modunda bir cihazı belirli bir kanalda pingleme süresi
hid.sniff-period:
Cihazın tespit edilmesinden sonra otomatik olarak yükleri sniffleme süresi (bunları bende fazla bilmiyorum
)hid.ttl
cihazın menzil dışında olduğunu değerlendirmek için inacivity süresi
http.proxy:
tüm http trafiğini yönlendirme işlemidir
alt parametreler:
http.port:
proxy etkinleştirildiğinde yönlendirilecek port
http.proxy.address:
HTTP proxy'yi bağlayacak adres
http.proxy.blacklist:
proxy sırasında saldırılacak cihazlar
http.proxy.injectjs:
her html sayfasına enjekte edilecek jscript dosyası
http.proxy.port :
HTTP proxy'i bağlanacağı port
http.proxy.redirect(true/false):
eğer true ise iptables ile port yönlendirme açılacaktır
http.proxy.script:
proxy js nin dosya yolu
http.proxy.sslstrip(true/false):
SSL stripping'i etkinleştirme
http.proxy.whitelist:
blacklist ayarlı ise es geçilecek cihazlar
http.server:
bir bilgisayarı basit bir HTTP sunucusuna dönüştürerek, dosyaları ve betikleri ağ üzerinden paylaşmanızı sağlar.
alt parametreler:
http.server.address:
http sunucusunu bağlanacağı adress
http.server.path:
sunucu klasörü dosya yolu
http.server.port:
http sunucusunun bağlanacağı port
https.proxy:
HTTPS trafiğini yönlendirebilen ve kötü niyetli içerikler ekleyebilen tam özellikli bir HTTPS proxy'sidir.
alt parametreler hemen hemen http ile aynı sadece farklı olanları yazacağım:
https.proxy.certificate:
https proxy seltifikasyon TLS seltifikası dosya yolu
https.proxy.certificate.bits:
https seltifikasının rsa anahtar bit sayısı :/ tam bende anlamadım
https.proxy.key:
https seltifikasının tls anahtarı dosya yolu
mac.changer:
adı üzere arayüzün yanı wlan0 gibi bir arayüzün mac adresini değiştirmeye yarar
alt parametreler:
mac.changer.address:
kullanılacak mac adresi varsayılan random
mac.changer.iface :
mac değiştirilecek arayüz
mdns.server:
Multicast hizmetleri oluşturmak veya mevcut olanları taklit etmek için kullanılan bir mDNS sunucu modülü.
alt parametreler:
mdns.server.address:
mDNS hizmeti için kullanılacak IPv4 adresi. Varsayılan arayüzün IP adresi.
mdns.server.address6:
mDNS hizmeti için kullanılacak IPv6 adresi
mdns.server.domain:
mDNS hizmetinin alan adı.
mdns.server.host:
Ağ üzerinde duyurulacak mDNS ana bilgisayar adı.
mdns.server.info:
mDNS sunucusu için bilgi içeren TXT kayıtları. Bu kayıtlar, genellikle çeşitli bilgileri veya özellikleri içerir.
mdns.server.port:
mDNS hizmeti için kullanılacak port numarası.
mdns.server.service:
Ağda duyurulacak mDNS hizmet adı.
mysql.server:
bir mysql serveri oluşturur
alt parametreler
mysql.server.address:
MySQL sunucusunun bağlanacağı IP adresi.
mysql.server.infile:
İstemciden okunacak dosya. Varsayılan olarak /etc/passwd kullanılır
mysql.server.outfile:
INFILE tamponunun kaydedileceği yol. Eğer belirtilirse, bu yol kullanılır; aksi takdirde loglanır.
mysql.server.port:
MySQL sunucusunun bağlanacağı port numarası.
ndp.spoof:
Seçilen ağdaki hedefleri taklit ederek sahte NDP yönlendirici reklamları gönderir.
alt parametreler:
ndp.spoof.neighbour:
Sahte NDP ilanları için kullanılacak komşu IPv6 adresi.
ndp.spoof.prefix:
IPv6 yönlendirici ilanları için kullanılacak önek.
ndp.spoof.prefix.length:
IPv6 yönlendirici ilanları için önek uzunluğu.
ndp.spoof.targets:
Hedef IPv6 adreslerinin listesi
net.probe:
Ağdaki yeni hostları belirlemek için alt ağdaki her IP adresine dummy UDP paketleri gönderir.Yani Ağdaki bağlı kişileri gösterir
alt parametreler
net.probe.mdns :
mDNS keşif taramalarını etkinleştirme
net.probe.nbns :
NetBIOS isim servisi keşif taramalarını etkinleştirme.
net.probe.throttle :
0'dan büyükse, tarama paketleri bu değere göre sınırlanır (milisaniye cinsinden). (varsayılan=10)
net.probe.upnp :
UPNP keşif taramalarını etkinleştirme.
net.probe.wsd :
WSD keşif taramalarını etkinleştirme.
net.recon:
Ağdaki yeni hostları izlemek için ARP önbelleğini periyodik olarak okur.Genellikle net.probe ile beraber açılır
net.show :
Önbellekteki host listesini gösterir.
alt parametreler
net.show.filter:
net.show komutunda kullanılacak düzenli ifade filtresini tanımlar.
net.show.limit:
net.show komutunda görüntülenecek sonuç sayısını sınırlar.
net.show.meta:
Eğer true olarak ayarlanırsa net.show komutu her uç nokta hakkında toplanan tüm meta bilgileri gösterir.
net.sniff:
Ağdan paketleri yakalamak için kullanılır.
net.fuzz:
yakalanan her pakette belirtilen katmanlarda fuzzing (rastgele veri testi) yapılmasını sağlar.
alt parametreler:
net.fuzz.layers:
Fuzzing yapılacak katman türlerini belirtir
net.fuzz.rate:
Fuzzing yapılacak paketlerin oranını belirler
net.fuzz.ratio:
Her paket içindeki fuzzing yapılacak baytların oranını belirtir
net.fuzz.silent:
Eğer true olarak ayarlanırsa, fuzzing yapılan paketler raporlanmaz.
net.sniff.filter:
Sniffer için BPF filtresi tanımlar. Varsayılan olarak ARP paketleri hariç tutulur.
net.sniff.local:
Eğer true olarak ayarlanırsa, bu bilgisayardan veya bu bilgisayara gelen paketleri de dikkate alır.
net.sniff.output:
Yakalanan paketlerin yazılacağı dosyayı belirtir
net.sniff.regexp:
Yalnızca bu düzenli ifadeye uyan paketlerin yakalanmasını sağlar.
net.sniff.source:
Belirtilmişse, sniffer mevcut arayüz yerine pcap dosyasındaki paketleri okur
net.sniff.verbose:
Eğer true olarak ayarlanırsa, yakalanan ve ayrıştırılan her paket olay akışına gönderilir.
packet.proxy:
tam bilmiyorum bende çevirisi şu şekilde: paketleri filtrelemek için NFQUEUE'ları kullanan bir Linux modülüdür
alt parametreler:
packet.proxy.chain:
Kullanılacak iptables zincir adını belirtir
packet.proxy.plugin:
Paketler için çağrılacak Go eklenti dosyasını belirtir.
packet.proxy.queue.num:
Bağlanılacak NFQUEUE numarasını belirtir.
packet.proxy.rule:
Kuyruğu daha seçici hale getirmek için ek bir iptables kuralı belirler
syn.scan:
SYN port taraması gerçekleştirmek için kullanılan bir modüldür
syn.scan IP-range Start-port end-port:
Belirtilen IP aralığı ve portlar içinde SYN port taraması yapar. IP aralığı ve port aralığı sağlamanız gerekir.
syn.scan.progress:
Mevcut SYN tarama oturumunun ilerleme durumunu gösterir.
alt parametreler:
syn.scan.show-progress-every: Tarama ilerlemesinin kaç saniyede bir raporlanacağını belirtir
tcp.proxy:
Belirli bir uzak adrese ve porta tüm TCP trafiğini yönlendiren tam özellikli bir TCP proxy ve tüneldir.
alt parametreler:
tcp.address:
Trafiğin yönlendirileceği uzak TCP adresini belirtir.
tcp.port:
TCP proxy etkinleştirildiğinde kullanılacak uzak port numarasını belirtir
tcp.proxy.address:
TCP proxy'sinin bağlanacağı yerel adresi belirtir.
tcp.proxy.port:
TCP proxy'sinin bağlanacağı yerel port numarasını belirtir
tcp.proxy.script:
TCP proxy'si için kullanılacak JavaScript dosyasının yolunu belirtir.
tcp.tunnel.address:
TCP tünelinin yönlendirileceği uzak adresi belirtir
tcp.tunnel.port:
TCP tünelinin yönlendirileceği port numarasını belirtir
ticker:
belirli bir süre aralığında bir veya daha fazla komutu çalıştırmak için kullanılan bir modüldür Örnek Vermek gerekirse sqlmap te --batch komutu gibi
alt parametreler:
ticker.commands:
Belirli aralıklarla çalıştırılacak komutların listesini belirtir. net.show vb
ticker.period:
Komutların kaç saniyede bir çalıştırılacağını belirler.
wifi:
arkadaşlar bu parametre açıklaması çok uzun ve konu parametre konusunda çok uzun oldu kusuruma bakmayın kısaca açıklamak gerekirse "airgeddon" tooluna benzer işler yapar mesela sahte bir wifi ağı oluşturur veya bir wifi deauth saldırısı yapar ayrıca 802.11 kanalındaki wi-fi adreslerini tarar
wol:
Wake On LAN" (WOL) teknolojisi, bir bilgisayarı uzaktan, ağ üzerinden uyandırmak için kullanılır. Bu teknoloji genellikle bilgisayarları kapalıyken veya uyku modundayken etkinleştirmek için kullanılır.
alt parametreler:
wol.eth MAC:
Belirtilen MAC adresine raw Ethernet paketi olarak WOL sinyali gönderir.
wol.udp MAC:
Belirtilen MAC adresine IPv4 yayın paketi olarak UDP port 9 üzerinden WOL sinyali gönderir
Bettercap İle Yapabileceğimiz Bazı Saldırı Türleri Ve Kısaca Yapım aşaması:
Arp Zehirleme Ve Ortadaki Adam Saldırısı(Arp spoofing, MITM):
bu saldırımız hedef cihaz ve router arasındaki bağlantıya bir kişi daha ekler yani saldırganı ve bu paketler saldırgan üzerinden geçer böylece paketi istediğimiz gibi değiştirebiliriz
Yapım:
bettercap -iface wlan0 diyerek bağlı wifi ağımıza girelim
help komutu ile çalışan parametrelerimize bakalım
şimdi net.probe on parametremizi çalıştıralım
net.show ile bağlı cihazlarımız geldi
şimdi görüldüğü üzere wifi mac adresi bu şekildedir
buda hedef cihazdan görüntü
şimdi sırasıyla
set arp.spoof.targets <IP> diyerek hedefimizi seçelim
sırasıyla "set arp.spoof.fullduplex true"
ve "arp.spoof on" yaparak arp saldırımızı başlatalım
VE tadaa görüldüğü üzere saldırı pc mac adresimiz ile wifi arayüz adresimizin mac adresi aynı olmuştur
artık hedefe yukarıda verdiğim parametreler ile istediğimizi yapabiliriz
Kapanış
Evet Arkadaşlar uzun bir konu oldu biraz parametre konusunda kusuruma bakmayın
Özet olarak bugün sizlere bettercap aracı ile neler yapılır,nasıl kurulur, saldırı türleri hakkında bilgi verdim.
Konuda bazı yerlerinde benimde bilmediğim alt parametreler var bunları bettercap aracının help
komutundaki yazıları çevirerek aldım konu daha bitmedi ama ben bittim saldırı türlerinin devamını yapacağım
seviliyorsunuz
Teşekkürler
Kulüp Hocam DarkS0LDİER ve yeni üyeler kulübü tüm arkadaşlarıma
tüm http trafiğini yönlendirme işlemidir
alt parametreler:
http.port:
proxy etkinleştirildiğinde yönlendirilecek port
http.proxy.address:
HTTP proxy'yi bağlayacak adres
http.proxy.blacklist:
proxy sırasında saldırılacak cihazlar
http.proxy.injectjs:
her html sayfasına enjekte edilecek jscript dosyası
http.proxy.port :
HTTP proxy'i bağlanacağı port
http.proxy.redirect(true/false):
eğer true ise iptables ile port yönlendirme açılacaktır
http.proxy.script:
proxy js nin dosya yolu
http.proxy.sslstrip(true/false):
SSL stripping'i etkinleştirme
http.proxy.whitelist:
blacklist ayarlı ise es geçilecek cihazlar
http.server:
bir bilgisayarı basit bir HTTP sunucusuna dönüştürerek, dosyaları ve betikleri ağ üzerinden paylaşmanızı sağlar.
alt parametreler:
http.server.address:
http sunucusunu bağlanacağı adress
http.server.path:
sunucu klasörü dosya yolu
http.server.port:
http sunucusunun bağlanacağı port
https.proxy:
HTTPS trafiğini yönlendirebilen ve kötü niyetli içerikler ekleyebilen tam özellikli bir HTTPS proxy'sidir.
alt parametreler hemen hemen http ile aynı sadece farklı olanları yazacağım:
https.proxy.certificate:
https proxy seltifikasyon TLS seltifikası dosya yolu
https.proxy.certificate.bits:
https seltifikasının rsa anahtar bit sayısı :/ tam bende anlamadım
https.proxy.key:
https seltifikasının tls anahtarı dosya yolu
mac.changer:
adı üzere arayüzün yanı wlan0 gibi bir arayüzün mac adresini değiştirmeye yarar
alt parametreler:
mac.changer.address:
kullanılacak mac adresi varsayılan random
mac.changer.iface :
mac değiştirilecek arayüz
mdns.server:
Multicast hizmetleri oluşturmak veya mevcut olanları taklit etmek için kullanılan bir mDNS sunucu modülü.
alt parametreler:
mdns.server.address:
mDNS hizmeti için kullanılacak IPv4 adresi. Varsayılan arayüzün IP adresi.
mdns.server.address6:
mDNS hizmeti için kullanılacak IPv6 adresi
mdns.server.domain:
mDNS hizmetinin alan adı.
mdns.server.host:
Ağ üzerinde duyurulacak mDNS ana bilgisayar adı.
mdns.server.info:
mDNS sunucusu için bilgi içeren TXT kayıtları. Bu kayıtlar, genellikle çeşitli bilgileri veya özellikleri içerir.
mdns.server.port:
mDNS hizmeti için kullanılacak port numarası.
mdns.server.service:
Ağda duyurulacak mDNS hizmet adı.
mysql.server:
bir mysql serveri oluşturur
alt parametreler
mysql.server.address:
MySQL sunucusunun bağlanacağı IP adresi.
mysql.server.infile:
İstemciden okunacak dosya. Varsayılan olarak /etc/passwd kullanılır
mysql.server.outfile:
INFILE tamponunun kaydedileceği yol. Eğer belirtilirse, bu yol kullanılır; aksi takdirde loglanır.
mysql.server.port:
MySQL sunucusunun bağlanacağı port numarası.
ndp.spoof:
Seçilen ağdaki hedefleri taklit ederek sahte NDP yönlendirici reklamları gönderir.
alt parametreler:
ndp.spoof.neighbour:
Sahte NDP ilanları için kullanılacak komşu IPv6 adresi.
ndp.spoof.prefix:
IPv6 yönlendirici ilanları için kullanılacak önek.
ndp.spoof.prefix.length:
IPv6 yönlendirici ilanları için önek uzunluğu.
ndp.spoof.targets:
Hedef IPv6 adreslerinin listesi
net.probe:
Ağdaki yeni hostları belirlemek için alt ağdaki her IP adresine dummy UDP paketleri gönderir.Yani Ağdaki bağlı kişileri gösterir
alt parametreler
net.probe.mdns :
mDNS keşif taramalarını etkinleştirme
net.probe.nbns :
NetBIOS isim servisi keşif taramalarını etkinleştirme.
net.probe.throttle :
0'dan büyükse, tarama paketleri bu değere göre sınırlanır (milisaniye cinsinden). (varsayılan=10)
net.probe.upnp :
UPNP keşif taramalarını etkinleştirme.
net.probe.wsd :
WSD keşif taramalarını etkinleştirme.
net.recon:
Ağdaki yeni hostları izlemek için ARP önbelleğini periyodik olarak okur.Genellikle net.probe ile beraber açılır
net.show :
Önbellekteki host listesini gösterir.
alt parametreler
net.show.filter:
net.show komutunda kullanılacak düzenli ifade filtresini tanımlar.
net.show.limit:
net.show komutunda görüntülenecek sonuç sayısını sınırlar.
net.show.meta:
Eğer true olarak ayarlanırsa net.show komutu her uç nokta hakkında toplanan tüm meta bilgileri gösterir.
net.sniff:
Ağdan paketleri yakalamak için kullanılır.
net.fuzz:
yakalanan her pakette belirtilen katmanlarda fuzzing (rastgele veri testi) yapılmasını sağlar.
alt parametreler:
net.fuzz.layers:
Fuzzing yapılacak katman türlerini belirtir
net.fuzz.rate:
Fuzzing yapılacak paketlerin oranını belirler
net.fuzz.ratio:
Her paket içindeki fuzzing yapılacak baytların oranını belirtir
net.fuzz.silent:
Eğer true olarak ayarlanırsa, fuzzing yapılan paketler raporlanmaz.
net.sniff.filter:
Sniffer için BPF filtresi tanımlar. Varsayılan olarak ARP paketleri hariç tutulur.
net.sniff.local:
Eğer true olarak ayarlanırsa, bu bilgisayardan veya bu bilgisayara gelen paketleri de dikkate alır.
net.sniff.output:
Yakalanan paketlerin yazılacağı dosyayı belirtir
net.sniff.regexp:
Yalnızca bu düzenli ifadeye uyan paketlerin yakalanmasını sağlar.
net.sniff.source:
Belirtilmişse, sniffer mevcut arayüz yerine pcap dosyasındaki paketleri okur
net.sniff.verbose:
Eğer true olarak ayarlanırsa, yakalanan ve ayrıştırılan her paket olay akışına gönderilir.
packet.proxy:
tam bilmiyorum bende çevirisi şu şekilde: paketleri filtrelemek için NFQUEUE'ları kullanan bir Linux modülüdür
alt parametreler:
packet.proxy.chain:
Kullanılacak iptables zincir adını belirtir
packet.proxy.plugin:
Paketler için çağrılacak Go eklenti dosyasını belirtir.
packet.proxy.queue.num:
Bağlanılacak NFQUEUE numarasını belirtir.
packet.proxy.rule:
Kuyruğu daha seçici hale getirmek için ek bir iptables kuralı belirler
syn.scan:
SYN port taraması gerçekleştirmek için kullanılan bir modüldür
syn.scan IP-range Start-port end-port:
Belirtilen IP aralığı ve portlar içinde SYN port taraması yapar. IP aralığı ve port aralığı sağlamanız gerekir.
syn.scan.progress:
Mevcut SYN tarama oturumunun ilerleme durumunu gösterir.
alt parametreler:
syn.scan.show-progress-every: Tarama ilerlemesinin kaç saniyede bir raporlanacağını belirtir
tcp.proxy:
Belirli bir uzak adrese ve porta tüm TCP trafiğini yönlendiren tam özellikli bir TCP proxy ve tüneldir.
alt parametreler:
tcp.address:
Trafiğin yönlendirileceği uzak TCP adresini belirtir.
tcp.port:
TCP proxy etkinleştirildiğinde kullanılacak uzak port numarasını belirtir
tcp.proxy.address:
TCP proxy'sinin bağlanacağı yerel adresi belirtir.
tcp.proxy.port:
TCP proxy'sinin bağlanacağı yerel port numarasını belirtir
tcp.proxy.script:
TCP proxy'si için kullanılacak JavaScript dosyasının yolunu belirtir.
tcp.tunnel.address:
TCP tünelinin yönlendirileceği uzak adresi belirtir
tcp.tunnel.port:
TCP tünelinin yönlendirileceği port numarasını belirtir
ticker:
belirli bir süre aralığında bir veya daha fazla komutu çalıştırmak için kullanılan bir modüldür Örnek Vermek gerekirse sqlmap te --batch komutu gibi
alt parametreler:
ticker.commands:
Belirli aralıklarla çalıştırılacak komutların listesini belirtir. net.show vb
ticker.period:
Komutların kaç saniyede bir çalıştırılacağını belirler.
wifi:
arkadaşlar bu parametre açıklaması çok uzun ve konu parametre konusunda çok uzun oldu kusuruma bakmayın kısaca açıklamak gerekirse "airgeddon" tooluna benzer işler yapar mesela sahte bir wifi ağı oluşturur veya bir wifi deauth saldırısı yapar ayrıca 802.11 kanalındaki wi-fi adreslerini tarar
wol:
Wake On LAN" (WOL) teknolojisi, bir bilgisayarı uzaktan, ağ üzerinden uyandırmak için kullanılır. Bu teknoloji genellikle bilgisayarları kapalıyken veya uyku modundayken etkinleştirmek için kullanılır.
alt parametreler:
wol.eth MAC:
Belirtilen MAC adresine raw Ethernet paketi olarak WOL sinyali gönderir.
wol.udp MAC:
Belirtilen MAC adresine IPv4 yayın paketi olarak UDP port 9 üzerinden WOL sinyali gönderir
Bettercap İle Yapabileceğimiz Bazı Saldırı Türleri Ve Kısaca Yapım aşaması:
Arp Zehirleme Ve Ortadaki Adam Saldırısı(Arp spoofing, MITM):
bu saldırımız hedef cihaz ve router arasındaki bağlantıya bir kişi daha ekler yani saldırganı ve bu paketler saldırgan üzerinden geçer böylece paketi istediğimiz gibi değiştirebiliriz
Yapım:
bettercap -iface wlan0 diyerek bağlı wifi ağımıza girelim
help komutu ile çalışan parametrelerimize bakalım
şimdi net.probe on parametremizi çalıştıralım
net.show ile bağlı cihazlarımız geldi
şimdi görüldüğü üzere wifi mac adresi bu şekildedir
buda hedef cihazdan görüntü
şimdi sırasıyla
set arp.spoof.targets <IP> diyerek hedefimizi seçelim
sırasıyla "set arp.spoof.fullduplex true"
ve "arp.spoof on" yaparak arp saldırımızı başlatalım
VE tadaa görüldüğü üzere saldırı pc mac adresimiz ile wifi arayüz adresimizin mac adresi aynı olmuştur
artık hedefe yukarıda verdiğim parametreler ile istediğimizi yapabiliriz
Kapanış
Evet Arkadaşlar uzun bir konu oldu biraz parametre konusunda kusuruma bakmayın
Özet olarak bugün sizlere bettercap aracı ile neler yapılır,nasıl kurulur, saldırı türleri hakkında bilgi verdim.
Konuda bazı yerlerinde benimde bilmediğim alt parametreler var bunları bettercap aracının help
komutundaki yazıları çevirerek aldım
konu daha bitmedi ama ben bittim saldırı türlerinin devamını yapacağım seviliyorsunuz
Teşekkürler
Kulüp Hocam DarkS0LDİER ve yeni üyeler kulübü tüm arkadaşlarıma
