- 14 Eyl 2012
- 1,002
- 0
MERHABA ARKADASLAR SINAVDAYIM ŞUAN YARDIMCI OLURMUSUNUZ BİRAZ. BİLDİKLERİNİZİ YAPABİLDİKLERİNİZİ SÖYLERMİSİNİZ RİCA ETSEM
Vulnerable URL: example.com/[email protected]
I. Sql injection
II. Local File Inclusion
III. HTTP Parameter Pollution
IV. Command Injection
V. Insecure Direct Object Referance
1. Soru: Yukarıdaki URL ile uygulama üzerinde kurbanlara ait kullanıcı parolalarını resetleyerek kullanıcı hesaplarını ele geçirmeye çalışan saldırganın gerçekleştirebileceği mantıksal zafiyetler hangileridir?
Yalnız V
Yalnız III
III ve V
Yalnız IV
Hepsi
BİLGİ:
Cross Site Script Zafiyeti
2. Soru: Yukarıdaki Cross Site Script zafiyetini suistimal edecek payload'u yazınız.
Yanıtınız
BİLGİ:
WPS özelliği açık bir modemin olduğu ortamda cihaza ait PIN numarasının aşağıdaki gibi 3 rakamının ne olduğu bilinmektedir.
PIN = ? 3 ? 6 ? ? ? 2
3. Soru: PIN içindeki diğer rakamların ne olduğunu bulmak isteyen bir saldırgan, kaba kuvvet yöntemi ile en fazla kaç deneme sonrasında PIN numarasını doğru olarak tespit edebilir ?
Yanıtınız
4. Soru: Yerel ağdaki bir saldırganın DHCP havuzunu sahte MAC adresleri ile doldurduktan sonra kendi sahte DHCP sunucusunu ayağa kaldırdığını varsayalım. Ağa yeni dahil olan bir kullanıcının sahte DHCP sunucusundan IP adresi alması aşağıdakilerden hangisi ile tespit edilebilir ?
Windows Security Loglarından
Threat Intelligence Çözümünden
Netflow Datasından
APT Çözümünden
5. Soru: Linux sistemlerde istenilen bir kullanıcın parola bilgisi, aşağıda belirtilen yöntemlerden hangisi veya hangileri ile başarılı bir şekilde değiştirilebilir?
Passwd komutunu ilgili kullanıcı için çalıştırmak.
/etc/passwd dosyası içerisinde ilgili kullanıcının id değerini 1000 olarak değiştirmek
Başka bir linux sistemde ilgili kullanıcıya ait /etc/shadow dosyası içerisindeki satırın alınarak mevcut sistemdeki /etc/shadow dosyasındaki ilgili kullanıcının bulunduğu satır ile değiştirmek.
Chage komutunu ilgili kullanıcı için çalıştırmak
BİLGİ:
#!/usr/bin/env python
try:
import sys
import argparse
import logging
logging.getLogger("scapy.runtime").setLevel(logging.ERROR)
from scapy.all import *
except ImportError, err:
sys.stderr.write("{0}\n".format(err))
sys.exit(1)
class BGA(object):
def __init__(self)
parser = argparse.ArgumentParser()
parser.add_argument('-n', '--network', dest = 'network', action = 'store', help = 'Network', required = True)
args = parser.parse_args()
self.__network = args.network
def _run(self):
bcast="ff:ff:ff:ff:ff:fe"
ans,unans = srp(Ether(dst=bcast)/ARP(pdst=self.__network),
filter="arp and arp[7] = 2", timeout=1, iface_hint=self.__network)
ans = ARPingResult(ans.res, name="bga.com.tr")
for snd,rcv in ans:
print rcv.sprintf("%ARP.psrc%")
if __name__ == "__main__":
bga = BGA()
bga._run()
6. Soru: Yukarıda belirtilen kod ile ne yapılması amaçlanmaktadır?
Yanıtınız
BİLGİ:
1. Zip Dosyasının Bağlantısı: https://www.dropbox.com/s/21ltb4y92djwjki/1.zip?dl=0
İpucu:
Dosyaları çıkartmak için gerekli parola bilgisi olarak NetSec Ağ ve Bilgi Güvenliği Topluluğu adresinde ana sayfada en çok geçen 10 kelime kullanılmalıdır.
7. Soru: 1.zip dosyası içerisindeki Pcap dosyası analiz edildiğinde 104.28.9.29 hedef ip adresinin en çok hangi portuna istek gönderilmiştir?
Yanıtınız
8. Soru: ICMP Protokolu hangi katmanda çalışmaktadır ?
4
3
2
2-3
7
9. Soru: Farklı bir subnetde yer alan bir cihazın MAC adres bilgisi için;
ARP protokolü yardımı ile öğrenilebilir.
Ping komutu yardımı ile öğrenilebilir.
RARP protokolü yardımı ile öğrenilebilir.
ICMP code 0, type 8 paketleri gönderilerek öğrenilebilir
Hepsi
Hiçbiri
10. Soru: Zararlı yazılım bulaştığı muhtemel bir Linux sistemde analiz amaçlı aşağıdaki adımlardan hangisi veya hangilerinin uygulanması öncelikli olarak beklenmektedir?
Last
W
dd if=/dev/sda of=/mnt/external/medium/file.dd
lsof +D /var/log/
ifconfig
Ping 192.168.1.1
find / -perm -2 ! -type l 2>/dev/null
BİLGİ:
11. Soru: C cihazı eth0 isminde tek ağ arayüze sahip bir linux sistem olmak üzere; A cihazının C cihazı ile sağlıklı bir biçimde iletişim sağlayabilmesi için C cihazı üzerinde aşağidaki adımlardan hangisi veya hangileri gerçeklestirilmelidir?
route add -net 192.168.2.0 netmask 255.255.255.0 dev eth0
route add default
route add default 192.168.2.11 dev eth0
route -n
route add -host 192.168.1.2 dev eth0 gw 192.168.2.1
route del -host 192.168.1.2 dev eth0
route add -net 192.168.1.0 netmask 255.255.255.0 dev eth0 gw 192.168.2.1
12. Soru: Açık metin protokoller için aşağidakilerden hangisi veya hangileri doğrudur?
telnet protokolü üzerinden iletişim şifreli olarak sağlanmaktadır.
Ağın dinlenebilmesi halinde veriler açık bir şekilde görülebilmektedir.
sftp ile açık metin olarak iletim sağlanmaktadır.
telnet protokolü üzerinden iletişim açık metin olarak sağlanmaktadır.
dhcp ve ssh protokolü üzerinden iletişim açık metin olarak sağlanmaktadır.
imap protokolü üzerinden iletişim açık metin olarak sağlanmaktadır
13. Soru: Wireshark ile ağ analizinin gerçekleştirildiği sırada MjEyMzJGMjk3QTU3QTVBNzQzODk0QTBFNEE4MDFGQzM= şeklinde bir veri göze çarpmaktadır. İletilmek istenen mesaj bilgisi nedir?
Yanıtınız
BİLGİ:
PORT STATE SERVICE
21/tcp open ftp
80/tcp open http
443/tcp open https
445/tcp open microsoft-ds
14. Soru: 192.168.1.1 ip adresli cihaz için gerçekleştirilen port taraması sonucu yukarıda belirtilen çıktı elde edilmektedir. Sadece yukarıdaki çıktılar değerlendirildiğinde hedef işletim sistemi tespit etmeye yönelik aşağidaki yargılardan hangisi veya hangileri doğru olabilir?
Hedef işletim sistemi Windows
Hedef işletim sistemi Windows 7 veya Windows 8
Hedef işletim sistemi bilgisi kesinlikle Linux olamaz
Hedef işletim sistemi bilgisi Linux
Hedef işletim sistemi bu bilgiler ile net olarak tespit edilemez
8080/tcp portuda açık olsa hedef işletim sistemi Windows kanısına varılırdı
15. Soru: Aşağıdaki adımlardan hangisi veya hangileri hedef sistemdeki açık ip adreslerinin tespit edilmesine yönelik bir davranış olarak yorumlanabilir?
fping -a -r 2 -g 192.168.163.0/24 2>/dev/null
ping Google
for line in {1..254}; do ip="192.168.163.$line"; hping3 --icmp --icmptype 8 --icmpcode 0 192.168.163.3 -c 1 2>/dev/null | grep -Eq "^len\=" ; done
nmap -n -PN sS p 21,80,443,445 192.168.163.0/24 oA results
route add -net 192.168.2.0 netmask 255.255.255.0 dev eth0 gw 192.168.2.1
16. Soru: Kurum dış ağında hizmet vermekte olan DNS servisine yönelik DDOS saldırısının başarılı olması durumunda, asağıda belirtilen servislerden hangisi veya hangilerinde kullanıcılarının hizmet almasında aksaklıklar yaşanabilir?
HTTP
SMTP
FTP
DHCP
DNS
VPN
17. Soru: DNS protokolu için aşağıdakilerden hangisi veya hangileri doğrudur?
IP aldatmacası (spoofing) işlemi gerçekleştirilebilir.
Sadece UDP protokolü üzerinden çalışmaktadır.
4. Katmanda çalışmaktadır.
DNS sorgularında büyük harf küçük harf ayrımı gözetilmez.
Zone transfer işleminde TCP protokolü üzerinden çalışmaktadır.
18. Soru: Windows işletim sisteminde bir alan adının internet adresinin (IP) çözümlenmesi hangi sıra ile gerçekleştirilmektedir?
Yerel DNS ön belleği, Host dosyası, DNS sunucusuna sorgu gönderilir, LLMNR sorgusu gönderilir, Netbios-NS sorgusu gönderilir.
Host dosyası, DNS sunucusuna sorgu gönderilir, Yerel DNS ön belleği, LLMNR sorgusu gönderilir, Netbios-NS sorgusu gönderilir.
Host dosyası, Yerel DNS ön belleği, DNS sunucusuna sorgu gönderilir, LLMNR sorgusu gönderilir, Netbios-NS sorgusu gönderilir.
LLMNR sorgusu gönderilir, Yerel DNS ön belleği, DNS sunucusuna sorgu gönderilir, Netbios-NS sorgusu gönderilir.
Netbios-NS sorgusu gönderilir, Yerel DNS ön belleği, DNS sunucusuna sorgu gönderilir, LLMNR sorgusu gönderilir.
19. Soru: Google.com.tr arama motoru yardımı ile bga.com.tr alan adı için www haricindeki alan adlarından, html uzantılı ve url kısmında eğitim kelimesi geçen kaç tane sonuç tespit edilmesi beklenmektedir?
Yanıtınız
20. Soru: Saldırgan Bing arama motoru yardımı ile lifeoverip.net alan adı için bilgi toplamaya çalışmaktadır. Öncelikle lifeoverip.net alanadlarını tespit edip, bu alan adları ile aynı ip adresinde host edilen siteleri tespit etmeye çalışmaktadır. Bu amaçla sadece Bing arama motorunu kullanabilmektedir. Bu durumda lifeoverip.net alan adı haricinde tespit edebileceği site adresi ve ip adresi ne olmalıdır?
Yanıtınız
21. Soru: MITM saldırılarından korunabilmek adına aşağidaki adımlardan hangisi veya hangilerinin gerçekleştirilmesi önlem olarak değerlendirilebilir?
Vpn kullanımı
Tcp/Ip yapılandırmasını DHCP sunucu üzerinden temin edilmesi.
Ağa bağlanıldıktan sonra default gw cihazın mac adresinin static arp kaydı olarak girilmesi ?
Endpoint security ürünlerinin kullanılması.
Kişisel bilgisayar parolasınının daha karmaşık hale getirilmesi
BİLGİ:
Güvenlik analisti hacklendiği düşünülen bir linux sunucuda web shell olduğunu düsünerek analizini gerçekleştirmek istemektedir. Bu amaçla sırası ile aşağıda belirtilen komutları çalıştırmış ve gösterilen cıktıları elde etmiştir.
# uname -a
Linux ubuntu 4.4.0-31-generic #50~14.04.1-Ubuntu SMP Wed Jul 13 01:07:32 UTC 2016 x86_64 x86_64 x86_64 GNU/Linux
# netstat -nlput | grep -E ":80"
tcp6 0 0 :::80 :::* LISTEN 23299/apache2
# dpkg -l | grep -E "php" | awk '{print $1, $2}'
ii libapache2-mod-php5
ii php-gettext
ii php5
ii php5-cli
ii php5-common
ii php5-mysql
22. Soru: Bütün bu veriler ışığında hacklendigi düşünülen sunucudaki web shelli tespit edebilmek için aşağıda belirtilen adımlardan hangisi veya hangileri ile muhtemel web shell ayrıntılarını tespit etmesi beklenmektedir ?
netstat -nlput | grep 3306
find / -name "*.php" -type f -exec grep -EH "(system|eval|passthru)" {} \;
find / -name "*.python" -type f -exec grep -EH "(system|eval|exec)" {} \;
find / -name "*.asp" -type f -exec grep -Ei shell {} \;
grep cmd /var/log/access.log
cat /var/log/apache/access.log | grep -i 'picture.jpeg.php'
23. Soru: Geleneksel durum korumalı güvenlik duvarları için aşağıdakilerden hangisi veya hangileri söylenebilir?
Her bir TCP bağlantısının üçlü el sıkışmayı tamamladığını garantilemez.
Uygulama katmanı saldırılarını belirleyemez.
UDP akışlarını desteklemez.
Oturum sonlandırılsa dahi TCP oturum durumları durum tablosunda tutulur
Port yönlendirme ve NAT işlemlerini gerçekleştirebilir.
24. Soru: Seçeneklerden hangisi verinin iletim esnasında değiştirilmediğini garanti eder?
Authentication
Integrity
Authorization
Confidentiality
25. Soru: Windows sistemlerde tüm açık portları process id bilgisi ile aşağıdaki komutlardan hangisi veya hangileri ile elde edilebilir?
netstat -na
netstat -nao
netstat -nat
netstat pnao -p tcp
tasklist /
pslist
BİLGİ:
#!/bin/bash
function get_mac() {
mac="`ifconfig eth0 | grep ether | tr -s " " "#" | cut -d "#" -f3`"
echo "$mac"
}
function get_ip() {
ip="`ifconfig eth0 | grep -E "inet " | tr -s " " "#" | cut -d "#" -f3`"
echo "$ip"
}
while [ 1 ]
do
mac="`get_mac`"
ip="`get_ip`"
echo "IpAddr: $ip -> MacAddr: $mac"
output_file="`mktemp /tmp/$USER.XXXXXX`"
macchanger -r eth0 > $output_file
dhclient eth0 2>/dev/null
count=$(($count+1))
if [ $count -eq 5 ]
then
sleep 1
count=0
fi
rm -f $output_file
done
26 Soru: Saldırgan yukarıda belirtilen betiği kullanarak aşağıda belirtilen saldırı türlerinden hangisini gerçekleştirmeyi amaçlamaktadır?
Arp Spoofing
Dhcp Snooping
Smurf saldirisi
Dhcp Starvation
Dhcp Session Clicking
Ip Spoofing
27. Soru: Sadece 192.168.2.1 kaynaklı ip adresinden 192.168.1.0/24 hedefinin, tcp 80 veya 443 TCP portu hedefli veya UDP 53 portu kaynaklı ağ trafiğinin izlenmesi için aşağıda belirtilen tcpdump filtrelerinden hangisi kullanılmalıdır?
tcpdump -tttnn -i eth0 src host 192.168.2.1 and dst net 192.168.1.0/24 and '( ( tcp dst port ( 80 or 443 ) ) or ( udp dst port 53 ) )'
tcpdump -tttnn -i eth0 src host 192.168.2.1 and dst host 192.168.1.2 and '( ( tcp dst port ( 80 or 443 ) ) or ( udp src port 53 ) )'
tcpdump -tttnn -i eth0 src host 192.168.2.1 and dst net 192.168.1.0/24 and '( ( tcp dst port ( 80 or 443 ) ) or ( udp src port 53 ) )'
tcpdump -tttnn -i eth0 src host 192.168.2.1 and dst net 192.168.1.0/24 and '( ( tcp dst port ( 80 or 443 ) ) or ( udp src port 53 ) )'
tcpdump -tttnn -i eth0 dst host 192.168.2.1 and dst net 192.168.1.0/24 and '( ( tcp dst port ( 80 or 443 ) ) or ( udp src port 53 ) )'
tcpdump -tttnn -i eth0 src host 192.168.2.1 and src net 192.168.1.0/24 and '( ( tcp dst port ( 80 or 443 ) ) or ( udp src port 53 ) )'
28. Soru: Aşağıda belirtilen yöntemlerden hangisi veya hangileri Spam içerikli epostaları almayı önleme amaçlı kullanılabilir?
Gönderici domain için PTR kaydı kontrolünün gerçekleştirilmesi.
Ip Spoofing engellenmesi.
Greylisting özelligini aktif hale getirilmesi.
Gönderici domain için SPF kaydı kontrolünün gerçekleştirilmesi.
Kurum içinden kurum dışına 25/tcp portunun kapatılması
29. Soru: Saldırgan http://vulnerableapp.com/s?= adresindeki arama kutusuna %22%3E%20%3Cscript%3Ealert(1)%3C%2Fscript%3E payloadunu göndererek basarılı bir şekilde saldırıyı gerçekleştirebilmektedir. Bu saldırı türü aşağidakilerden hangisidir?
SQL Injection
Stored XSS
Dom tabanlı XSS
Blind SQL Injection
Reflected XSS
Brute Force
Ip Spoofing
BİLGİ:
ngrep q W byline -v ^GET|PUT|POST|HTTP/1.[01] tcp port 80
30. Soru: Sistem yöneticisi sorumlu oldugu linux ağ geçidi üzerinde yukarıda belirtilen komut ile aşağıdakilerden hangisini gerçekleştirmeyi amaçlamaktadır?
Dnssec kullanımını aktif hale getirmek.
IP Spoofing işlemini tespit etmeye çalışmak.
80/tcp portu icin HTTP protokol anormalliğini tespit etmeye çalışmak.
443/tcp portundan SSH kullanımı yasaklamak.
80/tcp portuna gerçekleştirilecek olan port taramalarını tespit etmek
BİLGİ:
Picture.jpg dosyası: https://www.dropbox.com/s/yyg9xtl015ypti0/picture.jpg?dl=0
31. Soru: Yukarıdaki picture.jpg resim dosyası içerisindeki mesaj bilgisi nedir?
Yanıtınız
BİLGİ:
01100011001100110110100001111001010010010100011101110000001101100110001100110011010110100111000001001001010010000110100001110011011000100101100001011010011011000101100100110011011100000110100101001001010001110100101000110110011000010110100101000010011010010110001101101101010100100110111001100101011001110011110100111101
32. Soru: Ağı dinleyen sistem yöneticisi yukarıda görülen mesajı yakalamıştır. İletilmek istenen mesaj nedir?
Yanıtınız
BİLGİ:
Sample1 dosyası: https://www.dropbox.com/s/sqzp22jyyym6j8y/sample1?dl=0
33. Soru: Yukarıda verilen Sample1 dosyası için flag değeri nedir?
Yanıtınız
BİLGİ:
00:00:00.000000 ARP, Request who-has 192.168.1.154 tell 192.168.1.170, length 28
00:00:00.001724 ARP, Reply 192.168.1.154 is-at 00:0c:29:c0:55:3f, length 46
00:00:00.004418 IP 192.168.1.170.37881 > 192.168.1.154.22: Flags, seq 2904346171, win 1024, options [mss 1460], length 0
00:00:00.000198 IP 192.168.1.170.37881 > 192.168.1.154.80: Flags, seq 2904346171, win 1024, options [mss 1460], length 0
00:00:00.001153 IP 192.168.1.154.22 > 192.168.1.170.37881: Flags [S.], seq 3031656930, ack 2904346172, win 29200, options [mss 1460], length 0
00:00:00.000031 IP 192.168.1.170.37881 > 192.168.1.154.22: Flags [R], seq 2904346172, win 0, length 0
00:00:00.000083 IP 192.168.1.154.80 > 192.168.1.170.37881: Flags [S.], seq 1250330942, ack 2904346172, win 29200, options [mss 1460], length 0
00:00:00.000008 IP 192.168.1.170.37881 > 192.168.1.154.80: Flags [R], seq 2904346172, win 0, length 0
00:00:00.001033 IP 192.168.1.170.38137 > 192.168.1.154.53: 0 stat [0q] (12)
00:00:00.000445 IP 192.168.1.154.53 > 192.168.1.170.38137: 0 stat NotImp- [0q] 0/0/0 (12)
00:00:00.000027 IP 192.168.1.170 > 192.168.1.154: ICMP 192.168.1.170 udp port 38137 unreachable, length 48
34. Soru: Yukarıda port taraması sırasında elde edilmiş tcpdump çıktısı görülmektedir. Bu çıktılar göz önüne alınarak port taraması sırasında kullanılmış olan nmap tarama seçenekleri aşağıdakilerden hangisi olabilir ?
nmap -n -Pn -sS -p 22,53,80 192.168.1.154
nmap -n -Pn -sU -p 53 192.168.1.154
nmap -n -Pn -sU -sS -p T:53,80,U:22 192.168.1.154
nmap -n -Pn -sU -sS -p T:22,80,U:53 192.168.1.144
nmap -n -Pn -sS -p 22,80 192.168.1.154
nmap -n -Pn -sU -sS -p T:80,U:53 192.168.1.144
BİLGİ:
Sample2.pcap dosyası: https://www.dropbox.com/s/vhxuc1ol3gavn73/sample2.pcap?dl=0
35. Soru: Sample2.pcap başarılı bir şekilde gerçekleştirilmiş olan bir saldırıya ait ağ kaydını içermektedir. Bu saldırı türü aşağıdakilerden hangisidir ?
Stored XSS
IP Spoofing
Reflected XSS
SQL Injection
Brute Force
Local File Inclusion
Remote File Inclusion
IDOR
BİLGİ
Dec 24 16:37:37 ubuntu sshd[24726]: Invalid user admin from 192.168.1.170
Dec 24 16:37:37 ubuntu sshd[24726]: input_userauth_request: invalid user admin [preauth]
Dec 24 16:37:37 ubuntu sshd[24719]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.1.170 user=root
Dec 24 16:37:37 ubuntu sshd[24726]: pam_unix(sshd:auth): check pass; user unknown
Dec 24 16:37:37 ubuntu sshd[24726]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.1.170
Dec 24 16:37:37 ubuntu sshd[24724]: Invalid user admin from 192.168.1.170
Dec 24 16:37:37 ubuntu sshd[24724]: input_userauth_request: invalid user admin [preauth]
Dec 24 16:37:37 ubuntu sshd[24724]: pam_unix(sshd:auth): check pass; user unknown
Dec 24 16:37:37 ubuntu sshd[24724]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.1.170
Dec 24 16:37:37 ubuntu sshd[24730]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.1.170 user=root
Dec 24 16:37:37 ubuntu sshd[24729]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.1.170 user=root
Dec 24 16:37:37 ubuntu sshd[24731]: Accepted password for root from 192.168.1.170 port 52138 ssh2
Dec 24 16:37:37 ubuntu sshd[24731]: pam_unix(sshd:session): session opened for user root by (uid=0)
Dec 24 16:37:39 ubuntu sshd[24723]: Failed password for invalid user toor from 192.168.1.170 port 52126 ssh2
Dec 24 16:37:39 ubuntu sshd[24723]: Connection closed by 192.168.1.170 [preauth]
Dec 24 16:37:39 ubuntu sshd[24718]: Failed password for root from 192.168.1.170 port 52116 ssh2
Dec 24 16:37:39 ubuntu sshd[24718]: Connection closed by 192.168.1.170 [preauth]
Dec 24 16:37:39 ubuntu sshd[24725]: Failed password for invalid user admin from 192.168.1.170 port 52130 ssh2
Dec 24 16:37:39 ubuntu sshd[24721]: Failed password for invalid user toor from 192.168.1.170 port 52122 ssh2
Dec 24 16:37:39 ubuntu sshd[24720]: Failed password for root from 192.168.1.170 port 52120 ssh2
Dec 24 16:37:39 ubuntu sshd[24722]: Failed password for invalid user toor from 192.168.1.170 port 52124 ssh2
Dec 24 16:37:39 ubuntu sshd[24725]: Connection closed by 192.168.1.170 [preauth]
Dec 24 16:37:39 ubuntu sshd[24721]: Connection closed by 192.168.1.170 [preauth]
Dec 24 16:37:39 ubuntu sshd[24720]: Connection closed by 192.168.1.170 [preauth]
Dec 24 16:37:39 ubuntu sshd[24722]: Connection closed by 192.168.1.170 [preauth]
Dec 24 16:37:39 ubuntu sshd[24719]: Failed password for root from 192.168.1.170 port 52118 ssh2
Dec 24 16:37:39 ubuntu sshd[24726]: Failed password for invalid user admin from 192.168.1.170 port 52132 ssh2
Sistem yöneticisi Web sunucu loglarında yukarıdaki log kayıtlarını tespit etmiştir. Bu işlemin tespit edilmesinin ardından sistem yöneticisi aşağıdaki komutları web sunucusu üzerinde çalıştırıp belirtilen çıktıları almıştır.
# ifconfig
eth0 Link encap:Ethernet HWaddr 00:0c:29:c0:55:3f
inet addr:192.168.1.154 Bcast:192.168.1.255 Mask:255.255.255.0
inet6 addr: fe80::20c:29ff:fec0:553f/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:206750 errors:0 dropped:0 overruns:0 frame:0
TX packets:164796 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:100623771 (100.6 MB) TX bytes:69745783 (69.7 MB)
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:65536 Metric:1
RX packets:1126 errors:0 dropped:0 overruns:0 frame:0
TX packets:1126 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1
RX bytes:117069 (117.0 KB) TX bytes:117069 (117.0 KB)
# arp -na
? (192.168.1.1) at ab:32:3d:e6:82:34 [ether] on eth0
(192.168.1.170) at 1b:68:cc:g2:13:1e [ether] on eth0
# uname -a
Linux ubuntu 4.4.0-31-generic #50~14.04.1-Ubuntu SMP Wed Jul 13 01:07:32 UTC 2016 x86_64 x86_64 x86_64 GNU/Linux
# netstat -nlput | grep -E ":80|3306"
tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN 1160/mysqld
tcp6 0 0 :::80 :::* LISTEN 23299/apache2
36. Soru: Bütün bu bilgiler doğrultusunda aşağıdaki çıkarımlardan hangisi veya hangileri doğrudur?
Sunucu sisteme IP Spoofing saldırısı gerçekleştirilmiştir.
Sunucu sisteme SSH brute force saldırısı gerçekleştirilmiştir.
Saldırıyı gerçekleştiren IP hollanda kaynaklı bir IP adresidir.
Saldırı girişimi başarılı olamamıştır.
Saldırıyı gerçekleştiren ip adresi ele alındığında muhtemel bir sızma işlemi gerçekleşmiş olabilir.
Saldırıyı gerçekleştiren IP adres tespit edilemez.
Saldırı girişimi başarılı olmuştur.
BİLGİ:
<?php
if( isset( $_POST[ 'Submit' ] ) ) {
$target = $_REQUEST[ 'ip' ];
if( stristr( php_uname( 's' ), 'Windows NT' ) ) {
$cmd = shell_exec( 'ping ' . $target );
}
else {
$cmd = shell_exec( 'ping -c 4 ' . $target );
}
echo "<pre>{$cmd}</pre>";
}
?>
37. Soru: Yukarıdaki kod bloğunda aşağıdaki açıklıklardan hangisi mevcut bulunmaktadır?
SQL Injection
Reflected XSS
Ip Spoofing
IDOR
Os Command Injection
Stored XSS
BİLGİ:
Sample3.exe dosyası: https://www.dropbox.com/s/xr68xolyzruzra1/sample3.exe?dl=0
38. Soru: Sample3.exe dosyası için flag değeri nedir?
Yanıtınız
BİLGİ:
000000 arp who-has 192.168.2.20 (ff:ff:ff:ff:ff:ff) tell 0.0.0.0
000140 arp reply 192.168.2.20 is-at 00:0c:29:06:df:e4
001738 arp reply 192.168.2.20 is-at 00:1b:77:9b:cb:e2
39. Soru: Sistem yöneticisi yukarıda gösterilen komutu çalıştırarak belirtilen çıktıyı elde etmiştir. Bu komut çıktısı doğrultusunda sistem yönetcisinin aşağıdaki durumlardan hangisi veya hangilerini tespit etmeye yönelik bir çalışma gerçekleştirmiştir?
Syn Flood
Mac Flood
Dhcp Starvation
IP çakışması
Mac çakışması
BİLGİ:
Saldırgan www.vulnerableapp.com hedefine sızma girişimi için öncelikli olarak port taraması gerçekleştirmiş ve aşağıda belirtilen çıktıyı elde etmiştir.
PORT STATE SERVICE
443/tcp open https
Hedef sistem IPS tarafından korunmakta ve aşağıda gösterilen kuralın aktif olduğu bilinmektedir.
block ip !$MY_NET any -> $DMZ any (msg: "BGA"; ttl:<2
Aynı şekilde güvenlik duvarında ise aşağıda belirtilen kuralın aktif olduğu bilnmektedir.
iptables -A INPUT -i eth0 -p icmp -s any -j DROP
40. Soru: Bütün bu bilgiler doğrultusunda saldırganın aşağıdaki komutlardan hangisi veya hangilerini çalıştırdığında sonuç alması beklenmektedir?
traceroute www.vulnerableapp.com
tcptraceroute www.vulnerableapp.com 80
arping -I eth1 www.vulnerableapp.com
nmap -n -Pn -sS -D 1.1.1.1,2.2.2.2,3.3.3.3,4.4.4.4,5.5.5.5 -p 80,443 www.vulnerableapp.com
ip=$(dig @4.2.2.1 www.vulnerableapp.com A +short); subnet=$(echo $ip | cut -d "." -f1-3); fping -a -r 3 -g $subnet.0/24 2>/dev/null
whois www.vulnerableapp.com
Vulnerable URL: example.com/[email protected]
I. Sql injection
II. Local File Inclusion
III. HTTP Parameter Pollution
IV. Command Injection
V. Insecure Direct Object Referance
1. Soru: Yukarıdaki URL ile uygulama üzerinde kurbanlara ait kullanıcı parolalarını resetleyerek kullanıcı hesaplarını ele geçirmeye çalışan saldırganın gerçekleştirebileceği mantıksal zafiyetler hangileridir?
Yalnız V
Yalnız III
III ve V
Yalnız IV
Hepsi
BİLGİ:
Cross Site Script Zafiyeti
2. Soru: Yukarıdaki Cross Site Script zafiyetini suistimal edecek payload'u yazınız.
Yanıtınız
BİLGİ:
WPS özelliği açık bir modemin olduğu ortamda cihaza ait PIN numarasının aşağıdaki gibi 3 rakamının ne olduğu bilinmektedir.
PIN = ? 3 ? 6 ? ? ? 2
3. Soru: PIN içindeki diğer rakamların ne olduğunu bulmak isteyen bir saldırgan, kaba kuvvet yöntemi ile en fazla kaç deneme sonrasında PIN numarasını doğru olarak tespit edebilir ?
Yanıtınız
4. Soru: Yerel ağdaki bir saldırganın DHCP havuzunu sahte MAC adresleri ile doldurduktan sonra kendi sahte DHCP sunucusunu ayağa kaldırdığını varsayalım. Ağa yeni dahil olan bir kullanıcının sahte DHCP sunucusundan IP adresi alması aşağıdakilerden hangisi ile tespit edilebilir ?
Windows Security Loglarından
Threat Intelligence Çözümünden
Netflow Datasından
APT Çözümünden
5. Soru: Linux sistemlerde istenilen bir kullanıcın parola bilgisi, aşağıda belirtilen yöntemlerden hangisi veya hangileri ile başarılı bir şekilde değiştirilebilir?
Passwd komutunu ilgili kullanıcı için çalıştırmak.
/etc/passwd dosyası içerisinde ilgili kullanıcının id değerini 1000 olarak değiştirmek
Başka bir linux sistemde ilgili kullanıcıya ait /etc/shadow dosyası içerisindeki satırın alınarak mevcut sistemdeki /etc/shadow dosyasındaki ilgili kullanıcının bulunduğu satır ile değiştirmek.
Chage komutunu ilgili kullanıcı için çalıştırmak
BİLGİ:
#!/usr/bin/env python
try:
import sys
import argparse
import logging
logging.getLogger("scapy.runtime").setLevel(logging.ERROR)
from scapy.all import *
except ImportError, err:
sys.stderr.write("{0}\n".format(err))
sys.exit(1)
class BGA(object):
def __init__(self)
parser = argparse.ArgumentParser()
parser.add_argument('-n', '--network', dest = 'network', action = 'store', help = 'Network', required = True)
args = parser.parse_args()
self.__network = args.network
def _run(self):
bcast="ff:ff:ff:ff:ff:fe"
ans,unans = srp(Ether(dst=bcast)/ARP(pdst=self.__network),
filter="arp and arp[7] = 2", timeout=1, iface_hint=self.__network)
ans = ARPingResult(ans.res, name="bga.com.tr")
for snd,rcv in ans:
print rcv.sprintf("%ARP.psrc%")
if __name__ == "__main__":
bga = BGA()
bga._run()
6. Soru: Yukarıda belirtilen kod ile ne yapılması amaçlanmaktadır?
Yanıtınız
BİLGİ:
1. Zip Dosyasının Bağlantısı: https://www.dropbox.com/s/21ltb4y92djwjki/1.zip?dl=0
İpucu:
Dosyaları çıkartmak için gerekli parola bilgisi olarak NetSec Ağ ve Bilgi Güvenliği Topluluğu adresinde ana sayfada en çok geçen 10 kelime kullanılmalıdır.
7. Soru: 1.zip dosyası içerisindeki Pcap dosyası analiz edildiğinde 104.28.9.29 hedef ip adresinin en çok hangi portuna istek gönderilmiştir?
Yanıtınız
8. Soru: ICMP Protokolu hangi katmanda çalışmaktadır ?
4
3
2
2-3
7
9. Soru: Farklı bir subnetde yer alan bir cihazın MAC adres bilgisi için;
ARP protokolü yardımı ile öğrenilebilir.
Ping komutu yardımı ile öğrenilebilir.
RARP protokolü yardımı ile öğrenilebilir.
ICMP code 0, type 8 paketleri gönderilerek öğrenilebilir
Hepsi
Hiçbiri
10. Soru: Zararlı yazılım bulaştığı muhtemel bir Linux sistemde analiz amaçlı aşağıdaki adımlardan hangisi veya hangilerinin uygulanması öncelikli olarak beklenmektedir?
Last
W
dd if=/dev/sda of=/mnt/external/medium/file.dd
lsof +D /var/log/
ifconfig
Ping 192.168.1.1
find / -perm -2 ! -type l 2>/dev/null
BİLGİ:
11. Soru: C cihazı eth0 isminde tek ağ arayüze sahip bir linux sistem olmak üzere; A cihazının C cihazı ile sağlıklı bir biçimde iletişim sağlayabilmesi için C cihazı üzerinde aşağidaki adımlardan hangisi veya hangileri gerçeklestirilmelidir?
route add -net 192.168.2.0 netmask 255.255.255.0 dev eth0
route add default
route add default 192.168.2.11 dev eth0
route -n
route add -host 192.168.1.2 dev eth0 gw 192.168.2.1
route del -host 192.168.1.2 dev eth0
route add -net 192.168.1.0 netmask 255.255.255.0 dev eth0 gw 192.168.2.1
12. Soru: Açık metin protokoller için aşağidakilerden hangisi veya hangileri doğrudur?
telnet protokolü üzerinden iletişim şifreli olarak sağlanmaktadır.
Ağın dinlenebilmesi halinde veriler açık bir şekilde görülebilmektedir.
sftp ile açık metin olarak iletim sağlanmaktadır.
telnet protokolü üzerinden iletişim açık metin olarak sağlanmaktadır.
dhcp ve ssh protokolü üzerinden iletişim açık metin olarak sağlanmaktadır.
imap protokolü üzerinden iletişim açık metin olarak sağlanmaktadır
13. Soru: Wireshark ile ağ analizinin gerçekleştirildiği sırada MjEyMzJGMjk3QTU3QTVBNzQzODk0QTBFNEE4MDFGQzM= şeklinde bir veri göze çarpmaktadır. İletilmek istenen mesaj bilgisi nedir?
Yanıtınız
BİLGİ:
PORT STATE SERVICE
21/tcp open ftp
80/tcp open http
443/tcp open https
445/tcp open microsoft-ds
14. Soru: 192.168.1.1 ip adresli cihaz için gerçekleştirilen port taraması sonucu yukarıda belirtilen çıktı elde edilmektedir. Sadece yukarıdaki çıktılar değerlendirildiğinde hedef işletim sistemi tespit etmeye yönelik aşağidaki yargılardan hangisi veya hangileri doğru olabilir?
Hedef işletim sistemi Windows
Hedef işletim sistemi Windows 7 veya Windows 8
Hedef işletim sistemi bilgisi kesinlikle Linux olamaz
Hedef işletim sistemi bilgisi Linux
Hedef işletim sistemi bu bilgiler ile net olarak tespit edilemez
8080/tcp portuda açık olsa hedef işletim sistemi Windows kanısına varılırdı
15. Soru: Aşağıdaki adımlardan hangisi veya hangileri hedef sistemdeki açık ip adreslerinin tespit edilmesine yönelik bir davranış olarak yorumlanabilir?
fping -a -r 2 -g 192.168.163.0/24 2>/dev/null
ping Google
for line in {1..254}; do ip="192.168.163.$line"; hping3 --icmp --icmptype 8 --icmpcode 0 192.168.163.3 -c 1 2>/dev/null | grep -Eq "^len\=" ; done
nmap -n -PN sS p 21,80,443,445 192.168.163.0/24 oA results
route add -net 192.168.2.0 netmask 255.255.255.0 dev eth0 gw 192.168.2.1
16. Soru: Kurum dış ağında hizmet vermekte olan DNS servisine yönelik DDOS saldırısının başarılı olması durumunda, asağıda belirtilen servislerden hangisi veya hangilerinde kullanıcılarının hizmet almasında aksaklıklar yaşanabilir?
HTTP
SMTP
FTP
DHCP
DNS
VPN
17. Soru: DNS protokolu için aşağıdakilerden hangisi veya hangileri doğrudur?
IP aldatmacası (spoofing) işlemi gerçekleştirilebilir.
Sadece UDP protokolü üzerinden çalışmaktadır.
4. Katmanda çalışmaktadır.
DNS sorgularında büyük harf küçük harf ayrımı gözetilmez.
Zone transfer işleminde TCP protokolü üzerinden çalışmaktadır.
18. Soru: Windows işletim sisteminde bir alan adının internet adresinin (IP) çözümlenmesi hangi sıra ile gerçekleştirilmektedir?
Yerel DNS ön belleği, Host dosyası, DNS sunucusuna sorgu gönderilir, LLMNR sorgusu gönderilir, Netbios-NS sorgusu gönderilir.
Host dosyası, DNS sunucusuna sorgu gönderilir, Yerel DNS ön belleği, LLMNR sorgusu gönderilir, Netbios-NS sorgusu gönderilir.
Host dosyası, Yerel DNS ön belleği, DNS sunucusuna sorgu gönderilir, LLMNR sorgusu gönderilir, Netbios-NS sorgusu gönderilir.
LLMNR sorgusu gönderilir, Yerel DNS ön belleği, DNS sunucusuna sorgu gönderilir, Netbios-NS sorgusu gönderilir.
Netbios-NS sorgusu gönderilir, Yerel DNS ön belleği, DNS sunucusuna sorgu gönderilir, LLMNR sorgusu gönderilir.
19. Soru: Google.com.tr arama motoru yardımı ile bga.com.tr alan adı için www haricindeki alan adlarından, html uzantılı ve url kısmında eğitim kelimesi geçen kaç tane sonuç tespit edilmesi beklenmektedir?
Yanıtınız
20. Soru: Saldırgan Bing arama motoru yardımı ile lifeoverip.net alan adı için bilgi toplamaya çalışmaktadır. Öncelikle lifeoverip.net alanadlarını tespit edip, bu alan adları ile aynı ip adresinde host edilen siteleri tespit etmeye çalışmaktadır. Bu amaçla sadece Bing arama motorunu kullanabilmektedir. Bu durumda lifeoverip.net alan adı haricinde tespit edebileceği site adresi ve ip adresi ne olmalıdır?
Yanıtınız
21. Soru: MITM saldırılarından korunabilmek adına aşağidaki adımlardan hangisi veya hangilerinin gerçekleştirilmesi önlem olarak değerlendirilebilir?
Vpn kullanımı
Tcp/Ip yapılandırmasını DHCP sunucu üzerinden temin edilmesi.
Ağa bağlanıldıktan sonra default gw cihazın mac adresinin static arp kaydı olarak girilmesi ?
Endpoint security ürünlerinin kullanılması.
Kişisel bilgisayar parolasınının daha karmaşık hale getirilmesi
BİLGİ:
Güvenlik analisti hacklendiği düşünülen bir linux sunucuda web shell olduğunu düsünerek analizini gerçekleştirmek istemektedir. Bu amaçla sırası ile aşağıda belirtilen komutları çalıştırmış ve gösterilen cıktıları elde etmiştir.
# uname -a
Linux ubuntu 4.4.0-31-generic #50~14.04.1-Ubuntu SMP Wed Jul 13 01:07:32 UTC 2016 x86_64 x86_64 x86_64 GNU/Linux
# netstat -nlput | grep -E ":80"
tcp6 0 0 :::80 :::* LISTEN 23299/apache2
# dpkg -l | grep -E "php" | awk '{print $1, $2}'
ii libapache2-mod-php5
ii php-gettext
ii php5
ii php5-cli
ii php5-common
ii php5-mysql
22. Soru: Bütün bu veriler ışığında hacklendigi düşünülen sunucudaki web shelli tespit edebilmek için aşağıda belirtilen adımlardan hangisi veya hangileri ile muhtemel web shell ayrıntılarını tespit etmesi beklenmektedir ?
netstat -nlput | grep 3306
find / -name "*.php" -type f -exec grep -EH "(system|eval|passthru)" {} \;
find / -name "*.python" -type f -exec grep -EH "(system|eval|exec)" {} \;
find / -name "*.asp" -type f -exec grep -Ei shell {} \;
grep cmd /var/log/access.log
cat /var/log/apache/access.log | grep -i 'picture.jpeg.php'
23. Soru: Geleneksel durum korumalı güvenlik duvarları için aşağıdakilerden hangisi veya hangileri söylenebilir?
Her bir TCP bağlantısının üçlü el sıkışmayı tamamladığını garantilemez.
Uygulama katmanı saldırılarını belirleyemez.
UDP akışlarını desteklemez.
Oturum sonlandırılsa dahi TCP oturum durumları durum tablosunda tutulur
Port yönlendirme ve NAT işlemlerini gerçekleştirebilir.
24. Soru: Seçeneklerden hangisi verinin iletim esnasında değiştirilmediğini garanti eder?
Authentication
Integrity
Authorization
Confidentiality
25. Soru: Windows sistemlerde tüm açık portları process id bilgisi ile aşağıdaki komutlardan hangisi veya hangileri ile elde edilebilir?
netstat -na
netstat -nao
netstat -nat
netstat pnao -p tcp
tasklist /
pslist
BİLGİ:
#!/bin/bash
function get_mac() {
mac="`ifconfig eth0 | grep ether | tr -s " " "#" | cut -d "#" -f3`"
echo "$mac"
}
function get_ip() {
ip="`ifconfig eth0 | grep -E "inet " | tr -s " " "#" | cut -d "#" -f3`"
echo "$ip"
}
while [ 1 ]
do
mac="`get_mac`"
ip="`get_ip`"
echo "IpAddr: $ip -> MacAddr: $mac"
output_file="`mktemp /tmp/$USER.XXXXXX`"
macchanger -r eth0 > $output_file
dhclient eth0 2>/dev/null
count=$(($count+1))
if [ $count -eq 5 ]
then
sleep 1
count=0
fi
rm -f $output_file
done
26 Soru: Saldırgan yukarıda belirtilen betiği kullanarak aşağıda belirtilen saldırı türlerinden hangisini gerçekleştirmeyi amaçlamaktadır?
Arp Spoofing
Dhcp Snooping
Smurf saldirisi
Dhcp Starvation
Dhcp Session Clicking
Ip Spoofing
27. Soru: Sadece 192.168.2.1 kaynaklı ip adresinden 192.168.1.0/24 hedefinin, tcp 80 veya 443 TCP portu hedefli veya UDP 53 portu kaynaklı ağ trafiğinin izlenmesi için aşağıda belirtilen tcpdump filtrelerinden hangisi kullanılmalıdır?
tcpdump -tttnn -i eth0 src host 192.168.2.1 and dst net 192.168.1.0/24 and '( ( tcp dst port ( 80 or 443 ) ) or ( udp dst port 53 ) )'
tcpdump -tttnn -i eth0 src host 192.168.2.1 and dst host 192.168.1.2 and '( ( tcp dst port ( 80 or 443 ) ) or ( udp src port 53 ) )'
tcpdump -tttnn -i eth0 src host 192.168.2.1 and dst net 192.168.1.0/24 and '( ( tcp dst port ( 80 or 443 ) ) or ( udp src port 53 ) )'
tcpdump -tttnn -i eth0 src host 192.168.2.1 and dst net 192.168.1.0/24 and '( ( tcp dst port ( 80 or 443 ) ) or ( udp src port 53 ) )'
tcpdump -tttnn -i eth0 dst host 192.168.2.1 and dst net 192.168.1.0/24 and '( ( tcp dst port ( 80 or 443 ) ) or ( udp src port 53 ) )'
tcpdump -tttnn -i eth0 src host 192.168.2.1 and src net 192.168.1.0/24 and '( ( tcp dst port ( 80 or 443 ) ) or ( udp src port 53 ) )'
28. Soru: Aşağıda belirtilen yöntemlerden hangisi veya hangileri Spam içerikli epostaları almayı önleme amaçlı kullanılabilir?
Gönderici domain için PTR kaydı kontrolünün gerçekleştirilmesi.
Ip Spoofing engellenmesi.
Greylisting özelligini aktif hale getirilmesi.
Gönderici domain için SPF kaydı kontrolünün gerçekleştirilmesi.
Kurum içinden kurum dışına 25/tcp portunun kapatılması
29. Soru: Saldırgan http://vulnerableapp.com/s?= adresindeki arama kutusuna %22%3E%20%3Cscript%3Ealert(1)%3C%2Fscript%3E payloadunu göndererek basarılı bir şekilde saldırıyı gerçekleştirebilmektedir. Bu saldırı türü aşağidakilerden hangisidir?
SQL Injection
Stored XSS
Dom tabanlı XSS
Blind SQL Injection
Reflected XSS
Brute Force
Ip Spoofing
BİLGİ:
ngrep q W byline -v ^GET|PUT|POST|HTTP/1.[01] tcp port 80
30. Soru: Sistem yöneticisi sorumlu oldugu linux ağ geçidi üzerinde yukarıda belirtilen komut ile aşağıdakilerden hangisini gerçekleştirmeyi amaçlamaktadır?
Dnssec kullanımını aktif hale getirmek.
IP Spoofing işlemini tespit etmeye çalışmak.
80/tcp portu icin HTTP protokol anormalliğini tespit etmeye çalışmak.
443/tcp portundan SSH kullanımı yasaklamak.
80/tcp portuna gerçekleştirilecek olan port taramalarını tespit etmek
BİLGİ:
Picture.jpg dosyası: https://www.dropbox.com/s/yyg9xtl015ypti0/picture.jpg?dl=0
31. Soru: Yukarıdaki picture.jpg resim dosyası içerisindeki mesaj bilgisi nedir?
Yanıtınız
BİLGİ:
01100011001100110110100001111001010010010100011101110000001101100110001100110011010110100111000001001001010010000110100001110011011000100101100001011010011011000101100100110011011100000110100101001001010001110100101000110110011000010110100101000010011010010110001101101101010100100110111001100101011001110011110100111101
32. Soru: Ağı dinleyen sistem yöneticisi yukarıda görülen mesajı yakalamıştır. İletilmek istenen mesaj nedir?
Yanıtınız
BİLGİ:
Sample1 dosyası: https://www.dropbox.com/s/sqzp22jyyym6j8y/sample1?dl=0
33. Soru: Yukarıda verilen Sample1 dosyası için flag değeri nedir?
Yanıtınız
BİLGİ:
00:00:00.000000 ARP, Request who-has 192.168.1.154 tell 192.168.1.170, length 28
00:00:00.001724 ARP, Reply 192.168.1.154 is-at 00:0c:29:c0:55:3f, length 46
00:00:00.004418 IP 192.168.1.170.37881 > 192.168.1.154.22: Flags
00:00:00.000198 IP 192.168.1.170.37881 > 192.168.1.154.80: Flags
00:00:00.001153 IP 192.168.1.154.22 > 192.168.1.170.37881: Flags [S.], seq 3031656930, ack 2904346172, win 29200, options [mss 1460], length 0
00:00:00.000031 IP 192.168.1.170.37881 > 192.168.1.154.22: Flags [R], seq 2904346172, win 0, length 0
00:00:00.000083 IP 192.168.1.154.80 > 192.168.1.170.37881: Flags [S.], seq 1250330942, ack 2904346172, win 29200, options [mss 1460], length 0
00:00:00.000008 IP 192.168.1.170.37881 > 192.168.1.154.80: Flags [R], seq 2904346172, win 0, length 0
00:00:00.001033 IP 192.168.1.170.38137 > 192.168.1.154.53: 0 stat [0q] (12)
00:00:00.000445 IP 192.168.1.154.53 > 192.168.1.170.38137: 0 stat NotImp- [0q] 0/0/0 (12)
00:00:00.000027 IP 192.168.1.170 > 192.168.1.154: ICMP 192.168.1.170 udp port 38137 unreachable, length 48
34. Soru: Yukarıda port taraması sırasında elde edilmiş tcpdump çıktısı görülmektedir. Bu çıktılar göz önüne alınarak port taraması sırasında kullanılmış olan nmap tarama seçenekleri aşağıdakilerden hangisi olabilir ?
nmap -n -Pn -sS -p 22,53,80 192.168.1.154
nmap -n -Pn -sU -p 53 192.168.1.154
nmap -n -Pn -sU -sS -p T:53,80,U:22 192.168.1.154
nmap -n -Pn -sU -sS -p T:22,80,U:53 192.168.1.144
nmap -n -Pn -sS -p 22,80 192.168.1.154
nmap -n -Pn -sU -sS -p T:80,U:53 192.168.1.144
BİLGİ:
Sample2.pcap dosyası: https://www.dropbox.com/s/vhxuc1ol3gavn73/sample2.pcap?dl=0
35. Soru: Sample2.pcap başarılı bir şekilde gerçekleştirilmiş olan bir saldırıya ait ağ kaydını içermektedir. Bu saldırı türü aşağıdakilerden hangisidir ?
Stored XSS
IP Spoofing
Reflected XSS
SQL Injection
Brute Force
Local File Inclusion
Remote File Inclusion
IDOR
BİLGİ
Dec 24 16:37:37 ubuntu sshd[24726]: Invalid user admin from 192.168.1.170
Dec 24 16:37:37 ubuntu sshd[24726]: input_userauth_request: invalid user admin [preauth]
Dec 24 16:37:37 ubuntu sshd[24719]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.1.170 user=root
Dec 24 16:37:37 ubuntu sshd[24726]: pam_unix(sshd:auth): check pass; user unknown
Dec 24 16:37:37 ubuntu sshd[24726]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.1.170
Dec 24 16:37:37 ubuntu sshd[24724]: Invalid user admin from 192.168.1.170
Dec 24 16:37:37 ubuntu sshd[24724]: input_userauth_request: invalid user admin [preauth]
Dec 24 16:37:37 ubuntu sshd[24724]: pam_unix(sshd:auth): check pass; user unknown
Dec 24 16:37:37 ubuntu sshd[24724]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.1.170
Dec 24 16:37:37 ubuntu sshd[24730]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.1.170 user=root
Dec 24 16:37:37 ubuntu sshd[24729]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.1.170 user=root
Dec 24 16:37:37 ubuntu sshd[24731]: Accepted password for root from 192.168.1.170 port 52138 ssh2
Dec 24 16:37:37 ubuntu sshd[24731]: pam_unix(sshd:session): session opened for user root by (uid=0)
Dec 24 16:37:39 ubuntu sshd[24723]: Failed password for invalid user toor from 192.168.1.170 port 52126 ssh2
Dec 24 16:37:39 ubuntu sshd[24723]: Connection closed by 192.168.1.170 [preauth]
Dec 24 16:37:39 ubuntu sshd[24718]: Failed password for root from 192.168.1.170 port 52116 ssh2
Dec 24 16:37:39 ubuntu sshd[24718]: Connection closed by 192.168.1.170 [preauth]
Dec 24 16:37:39 ubuntu sshd[24725]: Failed password for invalid user admin from 192.168.1.170 port 52130 ssh2
Dec 24 16:37:39 ubuntu sshd[24721]: Failed password for invalid user toor from 192.168.1.170 port 52122 ssh2
Dec 24 16:37:39 ubuntu sshd[24720]: Failed password for root from 192.168.1.170 port 52120 ssh2
Dec 24 16:37:39 ubuntu sshd[24722]: Failed password for invalid user toor from 192.168.1.170 port 52124 ssh2
Dec 24 16:37:39 ubuntu sshd[24725]: Connection closed by 192.168.1.170 [preauth]
Dec 24 16:37:39 ubuntu sshd[24721]: Connection closed by 192.168.1.170 [preauth]
Dec 24 16:37:39 ubuntu sshd[24720]: Connection closed by 192.168.1.170 [preauth]
Dec 24 16:37:39 ubuntu sshd[24722]: Connection closed by 192.168.1.170 [preauth]
Dec 24 16:37:39 ubuntu sshd[24719]: Failed password for root from 192.168.1.170 port 52118 ssh2
Dec 24 16:37:39 ubuntu sshd[24726]: Failed password for invalid user admin from 192.168.1.170 port 52132 ssh2
Sistem yöneticisi Web sunucu loglarında yukarıdaki log kayıtlarını tespit etmiştir. Bu işlemin tespit edilmesinin ardından sistem yöneticisi aşağıdaki komutları web sunucusu üzerinde çalıştırıp belirtilen çıktıları almıştır.
# ifconfig
eth0 Link encap:Ethernet HWaddr 00:0c:29:c0:55:3f
inet addr:192.168.1.154 Bcast:192.168.1.255 Mask:255.255.255.0
inet6 addr: fe80::20c:29ff:fec0:553f/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:206750 errors:0 dropped:0 overruns:0 frame:0
TX packets:164796 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:100623771 (100.6 MB) TX bytes:69745783 (69.7 MB)
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:65536 Metric:1
RX packets:1126 errors:0 dropped:0 overruns:0 frame:0
TX packets:1126 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1
RX bytes:117069 (117.0 KB) TX bytes:117069 (117.0 KB)
# arp -na
? (192.168.1.1) at ab:32:3d:e6:82:34 [ether] on eth0
(192.168.1.170) at 1b:68:cc:g2:13:1e [ether] on eth0
# uname -a
Linux ubuntu 4.4.0-31-generic #50~14.04.1-Ubuntu SMP Wed Jul 13 01:07:32 UTC 2016 x86_64 x86_64 x86_64 GNU/Linux
# netstat -nlput | grep -E ":80|3306"
tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN 1160/mysqld
tcp6 0 0 :::80 :::* LISTEN 23299/apache2
36. Soru: Bütün bu bilgiler doğrultusunda aşağıdaki çıkarımlardan hangisi veya hangileri doğrudur?
Sunucu sisteme IP Spoofing saldırısı gerçekleştirilmiştir.
Sunucu sisteme SSH brute force saldırısı gerçekleştirilmiştir.
Saldırıyı gerçekleştiren IP hollanda kaynaklı bir IP adresidir.
Saldırı girişimi başarılı olamamıştır.
Saldırıyı gerçekleştiren ip adresi ele alındığında muhtemel bir sızma işlemi gerçekleşmiş olabilir.
Saldırıyı gerçekleştiren IP adres tespit edilemez.
Saldırı girişimi başarılı olmuştur.
BİLGİ:
<?php
if( isset( $_POST[ 'Submit' ] ) ) {
$target = $_REQUEST[ 'ip' ];
if( stristr( php_uname( 's' ), 'Windows NT' ) ) {
$cmd = shell_exec( 'ping ' . $target );
}
else {
$cmd = shell_exec( 'ping -c 4 ' . $target );
}
echo "<pre>{$cmd}</pre>";
}
?>
37. Soru: Yukarıdaki kod bloğunda aşağıdaki açıklıklardan hangisi mevcut bulunmaktadır?
SQL Injection
Reflected XSS
Ip Spoofing
IDOR
Os Command Injection
Stored XSS
BİLGİ:
Sample3.exe dosyası: https://www.dropbox.com/s/xr68xolyzruzra1/sample3.exe?dl=0
38. Soru: Sample3.exe dosyası için flag değeri nedir?
Yanıtınız
BİLGİ:
000000 arp who-has 192.168.2.20 (ff:ff:ff:ff:ff:ff) tell 0.0.0.0
000140 arp reply 192.168.2.20 is-at 00:0c:29:06:df:e4
001738 arp reply 192.168.2.20 is-at 00:1b:77:9b:cb:e2
39. Soru: Sistem yöneticisi yukarıda gösterilen komutu çalıştırarak belirtilen çıktıyı elde etmiştir. Bu komut çıktısı doğrultusunda sistem yönetcisinin aşağıdaki durumlardan hangisi veya hangilerini tespit etmeye yönelik bir çalışma gerçekleştirmiştir?
Syn Flood
Mac Flood
Dhcp Starvation
IP çakışması
Mac çakışması
BİLGİ:
Saldırgan www.vulnerableapp.com hedefine sızma girişimi için öncelikli olarak port taraması gerçekleştirmiş ve aşağıda belirtilen çıktıyı elde etmiştir.
PORT STATE SERVICE
443/tcp open https
Hedef sistem IPS tarafından korunmakta ve aşağıda gösterilen kuralın aktif olduğu bilinmektedir.
block ip !$MY_NET any -> $DMZ any (msg: "BGA"; ttl:<2
Aynı şekilde güvenlik duvarında ise aşağıda belirtilen kuralın aktif olduğu bilnmektedir.
iptables -A INPUT -i eth0 -p icmp -s any -j DROP
40. Soru: Bütün bu bilgiler doğrultusunda saldırganın aşağıdaki komutlardan hangisi veya hangilerini çalıştırdığında sonuç alması beklenmektedir?
traceroute www.vulnerableapp.com
tcptraceroute www.vulnerableapp.com 80
arping -I eth1 www.vulnerableapp.com
nmap -n -Pn -sS -D 1.1.1.1,2.2.2.2,3.3.3.3,4.4.4.4,5.5.5.5 -p 80,443 www.vulnerableapp.com
ip=$(dig @4.2.2.1 www.vulnerableapp.com A +short); subnet=$(echo $ip | cut -d "." -f1-3); fping -a -r 3 -g $subnet.0/24 2>/dev/null
whois www.vulnerableapp.com
Son düzenleme:
