Öncelikle böyle bir konu daha önce açıldı mı bilmiyorum forumda göremedim ve paylaşmak istedim ve belirtmeliyim konu anlatımı alıntıdır.. ; FİRATR YE teşekkürler anlatımı için..
Bu saldırıdan bahsetmeden önce Cookie nedir bunu hatırlamamızda faydalı olacağını düşünüyorum.
Cookieler sayesinde basit olarak anlatmak gerekirse siz bir web siteyi ziyaret ettiğinizde web sunucusu sizi tanır, kullanıcı adı ve şifresi ile vakit kaybetmeden
login olmamızı sağlar. Bu bir forum sitesi, bağlandığınız sunucu, facebook profil sayfanız vb. gibi olabilir.
Çalışma mantığına gelecek olursak siz bir siteye login olduğunuzda web sunucusu sizin bilgisayarınızda bir dosya bırakır. Bu dosyada kullanıcı adı ve şifrenin
bulunduğu bir kod dosyasıdır. Sadece web sunucusu bunu yorumlar ve işleme alır. Başka bir site tarafından kullanılmaz.
Siz siteye tekrar giriş yaptığınızda cookie bilgileriniz web sunucusuna gider ve web sunucusu otomatik olarak login işleminizi gerçekleştirir.
Aşağıdaki şemada konuyu daha iyi özetleyebiliriz;
Peki Cookie Hi-Jacking Nedir?
Bahsetmiş olduğumuz cookie'ler kötü niyetli kullanıcılar, hackerlar tarafından da istismar edilebilir. Bu bilgiler 3. şahıslar tarafından çalınabilir, değiştirilebilir ve ele geçirilebilir. Normal şartlarda cookie bilgileri tarayıcı-sunucu arasında olması gerekirken, içerdiği bilgilerden dolayı tarayıcı-korsan-sunucu üçlüsü arasında gidip gelebilir.
Cookie Hi-Jacking sniffer aracılığı veya çeşitli araçlar ile yapılabilmektedir.
Aşağıda örnek saldırı senaryosu gösterilecektir.
Uygulama VMWare üzerinde yapılmıştır.
Kali (Saldırgan) ve Windows 7 (Kurban) üzerinde denenmiştir.
Gerek duyulacak araçlar;
Greesenmonkey
Cookie Injector >>>> Original Cookie Injector for Greasemonkey
Capture.sh >>>>https://docs.google.com/********/d/1D1pLyrQd799M7pDQ_z7vP8zBPxDPsfUlyrCVEOTaCJc/edit?usp=sharing
Wireshark
Saldırgan Bilgisayar Üzerinde Yapılması Gerekenler
1- Tarayıcıya " Greasemonkey " add-on'u kurulur. Bu Add-On Firefox, Iceweasel gibi tarayıcılarda kurulabilir. Chrome, Iexplore'de yoktur.
Kurulum sonrası aşağıdaki simge gelmeli.
2- Greasemonkey'e eklenecek olan " Cookie Injector " uygulaması kurulur.
Ufak kurulumlar tamamlandıktan sonra tarayıcıda ALT+C kombinasyonu ile cookieleri kullanabiliriz.
3- Kurban bilgisayarın IP bilgisi öğrenilir. Bunun için nmap, ettercap, superscan gibi uygulamalar kullanılabilir.
4- Saldırgan bilgisayarda Terminal açılır. Terminal üzerinden aşağıdaki komut girilir.
5- Açılan text editöründen CTRL+F kombinasyonu ile " iptables " kısmı bulunur ve başındaki " # " ler kaldırılır. Kayıt edilir ve Gedit programı kapatılır.
6- Elimizde bulunan " capture.sh " dosyası Terminal'de başlatılır. Karşımızdaki ekran gelmeli.
Run in Terminal dedikten sonra karşımıza gelecek olan ekran.
Burada girilecek olan bilgiler aşağıdaki gibi olmalıdır;
Dinlenecek olan adaptör; hangisini kullanıyorsak adını girmeliyiz. Örn; eth0, wlan0 gibi.
Sniff Edilen Verilerin Adı (root dizinine kayıt etmektedir.)
Gateway IP Adresi
Hedef (Kurban) IP Adresi
7- Aşağıdaki ekran geldiğinde sniff başlamış demektir.
8- Artık beklemedeyiz ve kurban bilgisayarın login olacağı sitelere girmesini ve cookieleri tarayıcısından kaydetmesini bekliyoruz.
9- Görüldüğü üzere sniff başladı ve facebook bilgileri çıktıktan sonra " Q " tuşuna basılarak sniff sonlanır. Artık alacağımız bilgileri aldık.
10- Wireshark programı başlatılır. Terminal ekranına " wireshark " yazılarak başlatabiliriz.
11- File>Open menüsününden kayıt etmiş olduğumuz .pcap uzantılı dosya açılır.
12- Filtre ekranına " http.cookie" yazılır.
13- Çıkan paketler içerisinde cookie'lere ulaşabilmemiz için CTRL+F kombinasyonu ile birlikte Find a Packet penceresini açarız. DATR verisini aratırız.
Burada dikkat edilmesi gereken 2 husus bulunuyor.
By: bölümünde " String " işaretlenmeli.
Search In bölümünde ise " Packet bytes " işaretlenmeli.
14- Çıkan sonuçtan " datr " verisi görülecektir. Bu veri aşağıdaki gibi kopyalama işlemi yapılır.
15- Son olarak tarayıcıda ALT+C kombinasyonu ile cookie entegre penceresi açılır ve kopyaladığımız metin ekrana yapıştırılır. Ardından Ok butonuna tıklanır.
Aşağıdaki ekran gelmeli.
16- Bu sefer son olarak F5 tuşuna basılır ve sayfa yenilenir. Siteye login işlemi hiç bir şifre girmeden ve SSL' e takılmadan gerçekleşmiştir.
Yaptığımız işlemler sadece yerel ağda ve aynı networkte bulunduğumuz ağ bilgisayarlarına yapılabilir. Facebook sadece örnektir, bu işlemler cookie ile çalışan tüm web sayfalarında yapılabilir. Tabiki bunun için hem kullanıcı tarafında hemde sunucu tarafında önlemler alınırsa bu saldırı önlenmiş olabilir.
Bu saldırıdan bahsetmeden önce Cookie nedir bunu hatırlamamızda faydalı olacağını düşünüyorum.
Cookieler sayesinde basit olarak anlatmak gerekirse siz bir web siteyi ziyaret ettiğinizde web sunucusu sizi tanır, kullanıcı adı ve şifresi ile vakit kaybetmeden
login olmamızı sağlar. Bu bir forum sitesi, bağlandığınız sunucu, facebook profil sayfanız vb. gibi olabilir.
Çalışma mantığına gelecek olursak siz bir siteye login olduğunuzda web sunucusu sizin bilgisayarınızda bir dosya bırakır. Bu dosyada kullanıcı adı ve şifrenin
bulunduğu bir kod dosyasıdır. Sadece web sunucusu bunu yorumlar ve işleme alır. Başka bir site tarafından kullanılmaz.
Siz siteye tekrar giriş yaptığınızda cookie bilgileriniz web sunucusuna gider ve web sunucusu otomatik olarak login işleminizi gerçekleştirir.
Aşağıdaki şemada konuyu daha iyi özetleyebiliriz;
Peki Cookie Hi-Jacking Nedir?
Bahsetmiş olduğumuz cookie'ler kötü niyetli kullanıcılar, hackerlar tarafından da istismar edilebilir. Bu bilgiler 3. şahıslar tarafından çalınabilir, değiştirilebilir ve ele geçirilebilir. Normal şartlarda cookie bilgileri tarayıcı-sunucu arasında olması gerekirken, içerdiği bilgilerden dolayı tarayıcı-korsan-sunucu üçlüsü arasında gidip gelebilir.
Cookie Hi-Jacking sniffer aracılığı veya çeşitli araçlar ile yapılabilmektedir.
Aşağıda örnek saldırı senaryosu gösterilecektir.
Uygulama VMWare üzerinde yapılmıştır.
Kali (Saldırgan) ve Windows 7 (Kurban) üzerinde denenmiştir.
Gerek duyulacak araçlar;
Greesenmonkey
Cookie Injector >>>> Original Cookie Injector for Greasemonkey
Capture.sh >>>>https://docs.google.com/********/d/1D1pLyrQd799M7pDQ_z7vP8zBPxDPsfUlyrCVEOTaCJc/edit?usp=sharing
Wireshark
Saldırgan Bilgisayar Üzerinde Yapılması Gerekenler
1- Tarayıcıya " Greasemonkey " add-on'u kurulur. Bu Add-On Firefox, Iceweasel gibi tarayıcılarda kurulabilir. Chrome, Iexplore'de yoktur.
Kurulum sonrası aşağıdaki simge gelmeli.
2- Greasemonkey'e eklenecek olan " Cookie Injector " uygulaması kurulur.
Ufak kurulumlar tamamlandıktan sonra tarayıcıda ALT+C kombinasyonu ile cookieleri kullanabiliriz.
3- Kurban bilgisayarın IP bilgisi öğrenilir. Bunun için nmap, ettercap, superscan gibi uygulamalar kullanılabilir.
4- Saldırgan bilgisayarda Terminal açılır. Terminal üzerinden aşağıdaki komut girilir.
5- Açılan text editöründen CTRL+F kombinasyonu ile " iptables " kısmı bulunur ve başındaki " # " ler kaldırılır. Kayıt edilir ve Gedit programı kapatılır.
6- Elimizde bulunan " capture.sh " dosyası Terminal'de başlatılır. Karşımızdaki ekran gelmeli.
Run in Terminal dedikten sonra karşımıza gelecek olan ekran.
Burada girilecek olan bilgiler aşağıdaki gibi olmalıdır;
Dinlenecek olan adaptör; hangisini kullanıyorsak adını girmeliyiz. Örn; eth0, wlan0 gibi.
Sniff Edilen Verilerin Adı (root dizinine kayıt etmektedir.)
Gateway IP Adresi
Hedef (Kurban) IP Adresi
7- Aşağıdaki ekran geldiğinde sniff başlamış demektir.
8- Artık beklemedeyiz ve kurban bilgisayarın login olacağı sitelere girmesini ve cookieleri tarayıcısından kaydetmesini bekliyoruz.
9- Görüldüğü üzere sniff başladı ve facebook bilgileri çıktıktan sonra " Q " tuşuna basılarak sniff sonlanır. Artık alacağımız bilgileri aldık.
10- Wireshark programı başlatılır. Terminal ekranına " wireshark " yazılarak başlatabiliriz.
11- File>Open menüsününden kayıt etmiş olduğumuz .pcap uzantılı dosya açılır.
12- Filtre ekranına " http.cookie" yazılır.
13- Çıkan paketler içerisinde cookie'lere ulaşabilmemiz için CTRL+F kombinasyonu ile birlikte Find a Packet penceresini açarız. DATR verisini aratırız.
Burada dikkat edilmesi gereken 2 husus bulunuyor.
By: bölümünde " String " işaretlenmeli.
Search In bölümünde ise " Packet bytes " işaretlenmeli.
14- Çıkan sonuçtan " datr " verisi görülecektir. Bu veri aşağıdaki gibi kopyalama işlemi yapılır.
15- Son olarak tarayıcıda ALT+C kombinasyonu ile cookie entegre penceresi açılır ve kopyaladığımız metin ekrana yapıştırılır. Ardından Ok butonuna tıklanır.
Aşağıdaki ekran gelmeli.
16- Bu sefer son olarak F5 tuşuna basılır ve sayfa yenilenir. Siteye login işlemi hiç bir şifre girmeden ve SSL' e takılmadan gerçekleşmiştir.
Yaptığımız işlemler sadece yerel ağda ve aynı networkte bulunduğumuz ağ bilgisayarlarına yapılabilir. Facebook sadece örnektir, bu işlemler cookie ile çalışan tüm web sayfalarında yapılabilir. Tabiki bunun için hem kullanıcı tarafında hemde sunucu tarafında önlemler alınırsa bu saldırı önlenmiş olabilir.
