Selamlar ben Gyak dvanı bu konumuzda sizlere forumumuzun da sağ üst kısımında bulunan CTF alanından bahsedeceğim.
Konumuzun içerisindekiler
1 - CTF'Nin Tarihi
2 - Siber Güvenlik Ve CTF
"konular 2.1 - 2.2 olarak ek alt başlıklar içermektedir."
Olarak 2 Alt başlıkta inceleyeceğiz. Değerli üyeler. CTF Bir cümle ile tanımlanabilecek fakat akıl ile çözülebilecek mantık ve dikkat yöntemleri ile tamamlanabilecek büyük potansiyellik isteyen bilmece gibidir. şimdi sizlerle birlikte CTF'in detaylarına doğru yolculuk yapalım.
CTF'in Tarihi
İngilizce aksanı ile ortaya çıkan bir yerel halk oyunu gibi bilinen (saklambaç, çelik çomak gibi) bir oyundu bu oyunun farkı ise belirli bir hedef belirlenirdi ve hedef zorlu bir alana yerleştirilirdi ardından hedefi ilk ele geçiren kişi ve ya grup oyun birincisi olurdu. HAH Bunun siber güvenlikle ne alakası var dediğini duyar gibiyim öyleyse size CTF İle siber güvenlik alanında nasıl kullanıldı bunu anlatayım fakat bunun öncesinde CTF Hakkında bilmeniz gereken ufak bilgiler var. sonuçta çözümleyeceğimiz şeyin ne olduğunu bilmezsek onu alt edemeyiz öyle değil mi?
Size CTF Hakkında neredeyse hiç bilinmeyen bir bilgi vereceğim. Hayatınızın her anında CTF Çözdüğünüzü söylesem ne hissederdiniz.
Evet belirlediğiniz hedefe aklınızda kurduğunuz algoritmayı başarmaya giden yol da CTF dir.
Nasıl mı? Şöyle ki CTF Bayrak yakalama dedik. peki sadece bayrak mı! evet isminin Türkçe anlam karşılığı bayrak olabilir fakat sadece bayrak değildir. işte zaten bu nedenle de siber güvenlik alanında da kullanılmaya başlandı.
CTF'in Nereden Çıktığını ve ne amaçlar ile kullanıldığını öğrendiğimize göre şimdi de CTF'nin Siber güvenlik alanına bir göz atalım zaten asıl konumuz da buydu : )
CTF Ve Siber Güvenlik
Bir sistemi hack'leme aşaması bir anda gelişen değil sırası ile yapılan işlemler sonrası gelişen bir kısımdır bir sistemi hacklemek için şunları yaparız
1 - Hedefi Gözlemleriz
2 - Hedefte bir açık ararız
3 - açığı bulduktan sonra istismar etmeye çalışırız
4 - istismar ettikten sonra ele geçiririz. Diğer adı ile sömürürüz.
Yukarı algoritma benzeri (algoritma değil) bir sıralama görüyorsunuz bir hacking sıralaması işte size CTF'Nin bir örneğini paylaştım : )
şimdi de bu örneğin CTF İle olan alakasını inceleyelim.
1. Aşama hedefi gözlemlemek yani
yani CTF Olarak hedefi analiz ederiz
2. Aşama hedefte açık ararız
yani CTF Olarak hedefe ulaşabilecek bir alan bulmaya çalışırız
3. Aşama açığı bulduktan sonra istismar etmeye çalışırız
Yani CTF Olarak hedefimizi ele geçirmek için yöntemler deneriz
4. Aşama hedefi ele geçiririz
Yani CTF Olarak hedefimize ulaşırız ve bayrağı ele geçirmiş oluruz.
Bizler sürekli gelişen teknoloji alanını geliştiren bireyleriz ve bazılarımız da gelişen bu teknolojide bulunan açıkları kullanmakla mükellefiz bazen açığı farkına varmasak bile bayrağı ele geçirmiş oluruz fakat farkına varmayız. Siber güvenlik alanında gelişim sürdürmek için CTF Zorunlu bir seçim değildir gerekliliktir. Bu nedenle hayatımızın her yerinde olan teknolojiyi idare eden hayatımıza büyük gelişimler katmak maksadı ile belirlediğimiz bu yolda bizim yandaşımız yalnızca bilgisayar değil o bilgisayar içinde bulunan her şeyi kontrol edebilmektir.
CTF siber güvenlik alanında bizlerin karşısına hedef olarak sunulur bu hedef bir makinadır/web sitesidir ve ya bir cihazdır/ sunucudur. ve hedefimize ulaşmak için bayrağı ele geçirmek için çözüm yolları aramamız gerekir.
bir sisteme sızma aşamasında bulunan yöntemler asla ve asla görmezden gelinecek kadar değersiz bilgilerin bizleri başarıya ulaştırmasından geçer.
bilerek bir sistemde açık bırakırlar ve bizden bu açığı bulmamızı isterler kimileri bulamadıkları için bizlerden yardım ister ve para kazanmamıza olanak sağlar kimileri de gelişimimiz için bilerek sistemlerde açık bırakır ve çözmemizi ister.
hayatımızda bir CTF gibidir belirli hedeflere ulaşmak için çaba gösteririz ve bayrağı yani hedefimizi yakalarız.
2.1 CTF Nasıl Çözülür
Her hackerin aşına olduğu bir işletim sistemi bulunur tabi ki de Kali Linux Açık kaynak kodlu dev siber güvenlik sistemi.
size Bir CTF Makinası çözerken kullandığım yöntemi anlatacağım böylelikle siber güvenlik alanında CTF Çözebilmek için çok yararlı bilgiler edineceğinize emin olacağım.
Ben her zaman sistem içinde sistem kurarım. Hayır sanal makine değil size bu gün ki konuğumuz olan Nessus dan bahsedeceğim Hedefimiz olan bayrak LYXA İsminde ki sanal makinada bulunuyor ve sızmamı istiyorlar öyleyse başlayalım!
LYXA içerisinde bir açık arayalım bunu Kali linux'un içerisinde kuracağım nessus sistemini saldırı amaçlı kullanacağım bilgisayarıma kurdum nessus ile derin bir açık arama işlemi gerçekleştireceğim.
bu aşamada sistemde eski sürüm windows server kullanılıyor olabilir
bir güvenlik zaafiyeti içeren uzaktan bağlantı aracı kullanıyor olabilir
ciddi bir port ile servis kullanılıyor olabilir
bu ihtimalleri olabilir düşüncesinden çıkartmak için direkt olarak nessus ile yaptığım tarama sonucunda fark edeceğim.
aklınıza konumuzun yukarısında bulunan aşamalarımız gelsin.
devam edelim nessus bana A Makinasında A1 portunda bir güvenlik açığı olduğunu söyledi direk olarak oraya odaklanıyorum çünkü bu bilgi bayrağı ilk benim elime geçirmeme yardımcı olabilir!
derhal başlıyorum!
port taraması yapıyorum version bilgileri araştırıyorum bir yandan uygun exploit (zararlı kod parçacığı) arıyorum portda çıkan güvenlik zaafiyetinden nasıl yararlanabileceğimi kontrol ediyorum
ardından işime yarar bilgileri bulduktan sonra istismar aşamasına geçiyorum
bilgileri teyit ediyorum
gerekli kodları yazıyorum
aşamaları başlatıyorum
ve connect " bağlanma aşamasına giriş yapıyorum. ve sisteme bağlandığım an iş bitmiyor çünkü bana sisteme sız denilmiyor! sistemde bulunan bir bayrağı ele geçir diyorlar. bu bayrak sistemin içinde ve ben de sistemin içine girdim şimdi ise benden isteneni çözümleyeceğim.
tüm sistemi araştırıyorum ve benden istenen bir dosyayı fark ediyorum fakat bir sorun var dosya şifreli! hemen şifreleme yöntemlerini araştırıyorum bakıyorum nasıl şifrelenmiş kırılabilir mi gibi bilgiler araştırıyorum son aşamada başarılı olursam bayrağı ele geçirmiş olacağım son olan şifreleme aşamasını da atlattığıma göre her şey tamam ve bayrak bende!
burada kabataslak bir sızma işlemi anlatıldı sızma aşaması bu kadar basit değildir. bize engel olan güvenlik duvarları bilgisayar şifreleri de olacaktır ve bunları çözüp kırmak bayrağı ele geçirmek için bize verilen görevin zorluğuna göre değişiklik gösterilir.
CTF Plartformu bu şekildedir. umarım sizlere bir şeyler katabilmişimdir ve umarım anlaşılır olmuştur. sevgi ve saygılarım ile Gyak Dvan-ı
Son düzenleme:
