- 24 Kas 2007
- 2,188
- 14
Oncelikle Bir Kac Saldiri Turunu Tanitayim Dedim..
Windows'tan NT'ye Saldyry
Önceklikle herkese konumuza ba?lamadan önce biraz bilgi vermek istiyorum;
-Her sistemin bir açy?y vardyr.
-Hiç ummady?ynyz sistemlerde bile( www.microsoft.com) çok büyük açyklar
olabilir.
-Hangi sisteme saldyracaksanyz o sistemi tercih edin(WinNt'ye
saldyracaksanyz WinNt kullanyn)
-E?er yeni bir açyk bulmak istiyorsanyz önce bu açy?y kendi bilgisayarynyzda
deneyin.
--Saldyry-1
Öncelikle bir Nt server'a saldyraca?yz.Bunun için WinNt kullanmanmamyz en
do?ru olany ama saldyraca?ymyz
sistemde Windows oldu?u için bu seferlik sorun yok.Ayryca a?a?yda
anlataca?ym yöntem Microsoft.com
hacklendi?i yöntemdir ve Rain Forest Puppy tarafyndan bulunmu?tur.
Bu i?lere ba?lamadan önce bir kaç alet edavat lazym;
-Cgi-Hole-Vulnerability Scanner(whisker tercih edilir.)
-Perl derleyicisi(scanner ve exploit için,Active Perl tercih edilir.)
-RDS exploiti(sadece bu konu için gerekli)
-Internet Explorer 5.x
-Ip Spoofer
IP Spoofer;*********.org,Whisker'y ve RDS exploitini burdan alabilirsiniz.
?imdi yapacaklarymyzy özetleyelim.Ba?lanty kurduktan sonra aldy?ymyz ip
spoofer ile ip'mizi gizliyoruz.Daha sonra
bir kurban belirleyip bunu Cgi Scannerla taryyoruz.Açy?ymyzy bulduktan sonra
RDS exploitimizi çaly?tyryyoruz ve siteyi
hacklemi? oluyoruz.
1-www.activeperl.com adresinden Active Perl'ü download ediyoruz.Bunun nedeni
alaca?ymyz Cgi scanner ve exploit
perl dilinde yazylmy? bu yüzden onlary derleyece?iz.
2-Aldy?ymyz ip spoofer ile ip'mizi gizliyoruz ip gizlemenin bir çok yolu
vardyr sizde bu yollary biliyorsanyz uygulayabilirsiniz.
Bu i? için Wingate scannerla wingate hostlary bulup onlary
kullanabilirsiniz.Sanyrym bazy web sayfalaryda bu i?i yapyyor.
Ama bu i?in en kolay yolu bir spoofer programy alyp onu kullanmaktyr.Hangi
programy aldy?ynyzy bilmiyorum o yüzden
anlatamyyorum ama bu tür programlaryn kullanymy çok zor de?ildir.Ip'imizi
saklamamyzyn nedeni sisteme girdikten
sonra iz byrakmamak.Allah korusun her?ey olabilir.
3-Ip'mizi gizledik sayyyoruz ve 3. adyma geçiyoruz.Buraya tyklayarak açylan
penceredeki tüm yazylary kopyalayyn
daha sonra not defterini açyn,oraya yapy?tyryn.Dosya'dan Farkly kaydedi
seçip açylan pencerede tüm dosyalary seçiyor
ve whisker.pl diye daha önceden yükledi?imiz ve c:\Perl\Bin dizinine
kaydediyoruz.Daha sonra Dos komut sistemini
açyyoruz ve
c:\Windows>cd..
c:\Windows>cd perl
c:\Windows>cd bin
syrasyyla bu komutlary giriyoruz.Sonra daha önceden belirledi?imiz kurban
sayfamyzy bu ?ekilde açyklara kar?y taryyoruz.
c:\Perl\Bin>perl whisker.pl -h www.kurbansayfa.com yazyyoruz ve enterlyyoruz
bir süre sonra
Hostname:kurbansayfa.com
Server:IIS 4.0
gibi bir ?ey çykacaktyr.Burada önemli olan ilk ?ey Server:sonra gelen kysmyn
microsoft server'y olmasy yani IIS'in(Internet Information Server)
olmasy.E?er server buysa ?anslyyyz ilk olanak tutuyor.2. olana?ymyz ise
server'yn adminleri tarafyndan bu açy?yn kapatylmamasydyr.
Scanner'ymyz taramayy bitirdi sayyyorum ve ?öyle bir mesaj alyyorum;
+200 GET /whisker.ida
+200 GET /whisker.idq
+200 GET /scripts/tools/newdns.exe
+200 GET /msadc/msadcs.dll
bunlar sitede bulunan açyklary fakat her açyktan sisteme root
sa?lyyamayyz.Burada bizim için önemli olan açyklar;
/whisker.ida
/whisker.idq
Bunlaryn ikiside ayny i?e yarar amaçlary server böyle bir komut göndererek
server'a hata mesajy verdirmesidir.
örne?in
kurban sayfamyzyn adresini explorer'a girdikten sonra /whisker.ida yada
/whisker.idq yazarsak ki bu whisker
yazylarynyn hiçbir önemi yok siz istedi?iniz gibi bir?ey yazabilirsnizi.Bu
durumda server'yn bize mesaj ?öyle olacaktyr.
ERROR IDC FILE NOT FOUND ON:c:\Inetpub\wwwroot\
bu mesaj bize ?unu gösterecektir.Bu server'da internette bizim gördü?ümüz
sayfalaryn tümü c:\Inetpub\wwwroot
dizininde bulunuyor.
4-Dördüncü ve son a?amada exploitimizi kullanycaz.Öncelikle exploitimizi
buraya tyklayarak alyyoruz ve typky yukaryda yapty?ymyz
gibi not defterini açyp yapy?tyryyoruz farkly kaydette msadc2.pl ismiyle
c:\Perl\bin dizinine kaydediyoruz.
Sonra dos'u açyp
c:\Windows>cd..
c:\Windows>cd perl
c:\Windows>cd bin
sonra
c:\Perl\Bin>perl msadc2.pl -h www.kurbansayfa.com yazyyoruz o sisteme
ba?lanyrken sizde Explorer'a geçip
giri? sayfasynyn ne oldu?unu ö?reniyorsunuz bunun için
www.kurbansayfa.com/index.htm
www.kurbansayfa.com/index.html
www.kurbansayfa.com/index.asp
www.kurbansayfa.com/default.htm
www.kurbansayfa.com/default.html
www.kurbansayfa.com/default.asp
adreslerini deneyin hangisi tutarsa onu aklynyzda tutun ben index.htm
oldu?unu varsayyyorum.
Tekrar Dos penceremize geri dönüyoruz ve ka?ymyzda ?öyle bir ?ey görüyoruz
RDS c\
buradan WinNt'de Dos komut sistemine eri?im sa?lady?ymyzy anlyyoruz.Ve
Ms-Dos'ta Windows'ta windows'ta yapylan
birçok i?lemin yapabilece?ini biliyoruz(silme,dizin olu?turma,kopyalama...)
RDS c\echo Hacked By Sp3LL> c:\Inetpub\wwwroot\index.htm
yazyyoruz bunun açyklamasy ?udur.
echo:bir dos komutudur komut sisteminde ?öyle yazarsanyz
echo Selam
bu komut ekrana Selam yazysyny basacaktyr.Bu komut metin tabanly bir dosyada
uygulandy?ynda(txt,html,asp..)
o dosyanyn tüm içeri?ini silip bizim yazdy?ymyz yazyyy yazacaktyr.
Hacked By Sp3LL:Bu yazy internet sayfasy açyldy?ynda ekranda yazacak
yazydyr ve imzadyr buraya
istedi?inizi yazabilirsiniz yanlyz dikkat edin türkçe kelimeler
kullanmayyn(ç,?,ü,y..)
c:\Inetpub\wwwroot\:bu adresin sonunda whisker.ida yazdy?ymyzda server'yn
bize verdi?i dizin dosyalar bu dizinde
tutuluyor siz whisker.ida yazdy?ynyzda ba?ka bir ?ey çykmy?sa onu
yazyn(d:\web\)
Yanlyz unutmayyn echo Hacked By Sp3LL> buradaki > i?areti önemli
yazaca?ynyz yazdyktan sonra hiç
ara vermeden onu koyun bu dizin adresine geçildi?ini belirtir.
index.htm:sitenin giri? sayfasy yani www.kurbansayfa.com adresi girildi?inde
çykacak olan sayfa bunu az önce
yukaryda bulmu?tuk.
evet
RDS c\echo Hacked By Sp3LL> c:\Inetpub\wwwroot\index.htm
enterladyktan sonra gerisi exploite kalmy? bundan sonra Success mesajyny
bekliyece?iz.
Enterladyktan sonra exploitimiz kar?y server'da exploitin kullanaca?y
dosyayy aryyor bunu her sürücüde taryyor
bulamazsa kendi olu?turmaya çaly?yyor olu?turamazsa server'da exploitin
çaly?masy için gerekli ba?ka dosyalar aryyor
ve sonunda
Success!
mesajyny alyyoruz.adres çubu?una www.kurbanserver.com yazyyoruz ve
kar?ymyzda
Hacked By Sp3LL yazysy çykyyor.
Bu exploitimiz çok amaçly aslynda bu exploitin özelli?i de?il.Kar?y
server'da Dos komutuna bu exploitle geçtikten sonra
gerisi bizim hayal gücümüze ve Dos bilgimize kalmy? bu yöntemle sistemde
dosyalar silebilir,dosyalaryn yerlerini de?i?tirebilirsiniz.....
Windows'tan NT'ye Saldyry
Önceklikle herkese konumuza ba?lamadan önce biraz bilgi vermek istiyorum;
-Her sistemin bir açy?y vardyr.
-Hiç ummady?ynyz sistemlerde bile( www.microsoft.com) çok büyük açyklar
olabilir.
-Hangi sisteme saldyracaksanyz o sistemi tercih edin(WinNt'ye
saldyracaksanyz WinNt kullanyn)
-E?er yeni bir açyk bulmak istiyorsanyz önce bu açy?y kendi bilgisayarynyzda
deneyin.
--Saldyry-1
Öncelikle bir Nt server'a saldyraca?yz.Bunun için WinNt kullanmanmamyz en
do?ru olany ama saldyraca?ymyz
sistemde Windows oldu?u için bu seferlik sorun yok.Ayryca a?a?yda
anlataca?ym yöntem Microsoft.com
hacklendi?i yöntemdir ve Rain Forest Puppy tarafyndan bulunmu?tur.
Bu i?lere ba?lamadan önce bir kaç alet edavat lazym;
-Cgi-Hole-Vulnerability Scanner(whisker tercih edilir.)
-Perl derleyicisi(scanner ve exploit için,Active Perl tercih edilir.)
-RDS exploiti(sadece bu konu için gerekli)
-Internet Explorer 5.x
-Ip Spoofer
IP Spoofer;*********.org,Whisker'y ve RDS exploitini burdan alabilirsiniz.
?imdi yapacaklarymyzy özetleyelim.Ba?lanty kurduktan sonra aldy?ymyz ip
spoofer ile ip'mizi gizliyoruz.Daha sonra
bir kurban belirleyip bunu Cgi Scannerla taryyoruz.Açy?ymyzy bulduktan sonra
RDS exploitimizi çaly?tyryyoruz ve siteyi
hacklemi? oluyoruz.
1-www.activeperl.com adresinden Active Perl'ü download ediyoruz.Bunun nedeni
alaca?ymyz Cgi scanner ve exploit
perl dilinde yazylmy? bu yüzden onlary derleyece?iz.
2-Aldy?ymyz ip spoofer ile ip'mizi gizliyoruz ip gizlemenin bir çok yolu
vardyr sizde bu yollary biliyorsanyz uygulayabilirsiniz.
Bu i? için Wingate scannerla wingate hostlary bulup onlary
kullanabilirsiniz.Sanyrym bazy web sayfalaryda bu i?i yapyyor.
Ama bu i?in en kolay yolu bir spoofer programy alyp onu kullanmaktyr.Hangi
programy aldy?ynyzy bilmiyorum o yüzden
anlatamyyorum ama bu tür programlaryn kullanymy çok zor de?ildir.Ip'imizi
saklamamyzyn nedeni sisteme girdikten
sonra iz byrakmamak.Allah korusun her?ey olabilir.
3-Ip'mizi gizledik sayyyoruz ve 3. adyma geçiyoruz.Buraya tyklayarak açylan
penceredeki tüm yazylary kopyalayyn
daha sonra not defterini açyn,oraya yapy?tyryn.Dosya'dan Farkly kaydedi
seçip açylan pencerede tüm dosyalary seçiyor
ve whisker.pl diye daha önceden yükledi?imiz ve c:\Perl\Bin dizinine
kaydediyoruz.Daha sonra Dos komut sistemini
açyyoruz ve
c:\Windows>cd..
c:\Windows>cd perl
c:\Windows>cd bin
syrasyyla bu komutlary giriyoruz.Sonra daha önceden belirledi?imiz kurban
sayfamyzy bu ?ekilde açyklara kar?y taryyoruz.
c:\Perl\Bin>perl whisker.pl -h www.kurbansayfa.com yazyyoruz ve enterlyyoruz
bir süre sonra
Hostname:kurbansayfa.com
Server:IIS 4.0
gibi bir ?ey çykacaktyr.Burada önemli olan ilk ?ey Server:sonra gelen kysmyn
microsoft server'y olmasy yani IIS'in(Internet Information Server)
olmasy.E?er server buysa ?anslyyyz ilk olanak tutuyor.2. olana?ymyz ise
server'yn adminleri tarafyndan bu açy?yn kapatylmamasydyr.
Scanner'ymyz taramayy bitirdi sayyyorum ve ?öyle bir mesaj alyyorum;
+200 GET /whisker.ida
+200 GET /whisker.idq
+200 GET /scripts/tools/newdns.exe
+200 GET /msadc/msadcs.dll
bunlar sitede bulunan açyklary fakat her açyktan sisteme root
sa?lyyamayyz.Burada bizim için önemli olan açyklar;
/whisker.ida
/whisker.idq
Bunlaryn ikiside ayny i?e yarar amaçlary server böyle bir komut göndererek
server'a hata mesajy verdirmesidir.
örne?in
kurban sayfamyzyn adresini explorer'a girdikten sonra /whisker.ida yada
/whisker.idq yazarsak ki bu whisker
yazylarynyn hiçbir önemi yok siz istedi?iniz gibi bir?ey yazabilirsnizi.Bu
durumda server'yn bize mesaj ?öyle olacaktyr.
ERROR IDC FILE NOT FOUND ON:c:\Inetpub\wwwroot\
bu mesaj bize ?unu gösterecektir.Bu server'da internette bizim gördü?ümüz
sayfalaryn tümü c:\Inetpub\wwwroot
dizininde bulunuyor.
4-Dördüncü ve son a?amada exploitimizi kullanycaz.Öncelikle exploitimizi
buraya tyklayarak alyyoruz ve typky yukaryda yapty?ymyz
gibi not defterini açyp yapy?tyryyoruz farkly kaydette msadc2.pl ismiyle
c:\Perl\bin dizinine kaydediyoruz.
Sonra dos'u açyp
c:\Windows>cd..
c:\Windows>cd perl
c:\Windows>cd bin
sonra
c:\Perl\Bin>perl msadc2.pl -h www.kurbansayfa.com yazyyoruz o sisteme
ba?lanyrken sizde Explorer'a geçip
giri? sayfasynyn ne oldu?unu ö?reniyorsunuz bunun için
www.kurbansayfa.com/index.htm
www.kurbansayfa.com/index.html
www.kurbansayfa.com/index.asp
www.kurbansayfa.com/default.htm
www.kurbansayfa.com/default.html
www.kurbansayfa.com/default.asp
adreslerini deneyin hangisi tutarsa onu aklynyzda tutun ben index.htm
oldu?unu varsayyyorum.
Tekrar Dos penceremize geri dönüyoruz ve ka?ymyzda ?öyle bir ?ey görüyoruz
RDS c\
buradan WinNt'de Dos komut sistemine eri?im sa?lady?ymyzy anlyyoruz.Ve
Ms-Dos'ta Windows'ta windows'ta yapylan
birçok i?lemin yapabilece?ini biliyoruz(silme,dizin olu?turma,kopyalama...)
RDS c\echo Hacked By Sp3LL> c:\Inetpub\wwwroot\index.htm
yazyyoruz bunun açyklamasy ?udur.
echo:bir dos komutudur komut sisteminde ?öyle yazarsanyz
echo Selam
bu komut ekrana Selam yazysyny basacaktyr.Bu komut metin tabanly bir dosyada
uygulandy?ynda(txt,html,asp..)
o dosyanyn tüm içeri?ini silip bizim yazdy?ymyz yazyyy yazacaktyr.
Hacked By Sp3LL:Bu yazy internet sayfasy açyldy?ynda ekranda yazacak
yazydyr ve imzadyr buraya
istedi?inizi yazabilirsiniz yanlyz dikkat edin türkçe kelimeler
kullanmayyn(ç,?,ü,y..)
c:\Inetpub\wwwroot\:bu adresin sonunda whisker.ida yazdy?ymyzda server'yn
bize verdi?i dizin dosyalar bu dizinde
tutuluyor siz whisker.ida yazdy?ynyzda ba?ka bir ?ey çykmy?sa onu
yazyn(d:\web\)
Yanlyz unutmayyn echo Hacked By Sp3LL> buradaki > i?areti önemli
yazaca?ynyz yazdyktan sonra hiç
ara vermeden onu koyun bu dizin adresine geçildi?ini belirtir.
index.htm:sitenin giri? sayfasy yani www.kurbansayfa.com adresi girildi?inde
çykacak olan sayfa bunu az önce
yukaryda bulmu?tuk.
evet
RDS c\echo Hacked By Sp3LL> c:\Inetpub\wwwroot\index.htm
enterladyktan sonra gerisi exploite kalmy? bundan sonra Success mesajyny
bekliyece?iz.
Enterladyktan sonra exploitimiz kar?y server'da exploitin kullanaca?y
dosyayy aryyor bunu her sürücüde taryyor
bulamazsa kendi olu?turmaya çaly?yyor olu?turamazsa server'da exploitin
çaly?masy için gerekli ba?ka dosyalar aryyor
ve sonunda
Success!
mesajyny alyyoruz.adres çubu?una www.kurbanserver.com yazyyoruz ve
kar?ymyzda
Hacked By Sp3LL yazysy çykyyor.
Bu exploitimiz çok amaçly aslynda bu exploitin özelli?i de?il.Kar?y
server'da Dos komutuna bu exploitle geçtikten sonra
gerisi bizim hayal gücümüze ve Dos bilgimize kalmy? bu yöntemle sistemde
dosyalar silebilir,dosyalaryn yerlerini de?i?tirebilirsiniz.....