Bu konumda sizlere LDAP'e yönelik işlemleri göstereceğim. Hemen konumuza geçelim.
Kısaca LDAP Nedir?
"Lightweight Directory Access Protocol"un kısaltımı olan LDAP, Türkçe "Basit Dizin Erişim Protokolü" olarak çevirilir. LDAP, 389 ve 636'ncı portlarda çalışır. Yetkilendirme ve kimlik doğrulama işlemlerini yapan bir servistir. Bu servis 80 ve 443 portta bulunan ve çalışan web uygulamaları ile benzer yönleri vardır. TCP/IP üzerinde çalışan bir porttur.
LDAP'e Yönelik İşlemler
Ben "Web For Pentester" kullanacağım.
Sizlere üç tane yöntem göstereceğim. Bunların iki tanesi olumsuz, bir tanesi olumludur. Bu olumsuz olanlar Web For Pentester için geçerlidir. O yüzden lütfen bunu göz önünde bulundurarak okuyunuz. Hemen yöntemlerimize geçelim.
Yöntem 1 | Olumsuz Geri Dönüş
Web For Pentester'in sitesine giriyoruz ve "LDAP Attacks" başlığının altındaki "Example 1"e giriyoruz.
Burp Suite'in ayarlarını yapıyoruz ve sitemizi yenileyerek Burp Suite'ye taşıyoruz.
Gelen yere sağ tıklıyoruz ve "Send to Repeater" seçeneğini seçiyoruz.
"Repeater" kısmına geliyoruz ve gelen kısmı "Send" butonuna tıklayıp sağ tarafta bulunan panele gönderiyoruz.
Sağ tarafta bulunan seçeneklerden olayı görsel görmek için "Render" kısmına tıklıyoruz.
Karşımıza çıkan yerdeyse "Click to render page" butonuna tıklıyoruz.
Ve işlemin görsel hali karşımıza geldi. Görmüş olduğunuz gibi "NOT AUTHENTICATED" olarak gözüküyoruz. Bu işlem sizlerde değişebilir. Bu yöntemle Web For Pentester'da herkes aynı şeyi alacaktır.
Yöntem 2 | Olumsuz Geri Dönüş
Web For Pentester'in sitesine giriyoruz ve "LDAP Attacks" başlığının altındaki "Example 1"e giriyoruz.
Burp Suite'in ayarlarını yapıyoruz ve sitemizi yenileyerek Burp Suite'ye taşıyoruz.
Terminalimizi açıyoruz ve bir wordlist oluşturuyoruz. Siz elinizde olan wordlisti'de kullanabilirsiniz.
İçini hemen dolduralım.
Gelen yere sağ tıklıyoruz ve "Send to Intruder" seçeneğini seçiyoruz.
Bu sefer burada bulunan "username=hacker" ve "password=hacker" kısmında bulunan "hacker"i siliyoruz.
"Intruder" sekmesine giriyoruz ve "Positions" kısmına giriyoruz. Buradan "Attack Type" kısmını "Cluster Bomb" yapıyoruz.
Aynı sekmede bulunan "Payloads" kısmına giriyoruz. "Payload Options" kısmına hazırladığımız payload listesini yapıştırıyoruz.
Bu sefer "Payload Sets" başlığının altında bulunan "Payload Set" seçeneğini iki yapıp aynı işlemi tekrar yapıyoruz.
Sayfanın üstünde bulunan "Start Attack" butonuna basarak saldırıyı başlatıyoruz.
Evet, işlemimiz bitti. Bu yöntemde de Web For Pentester için geri dönüş olmadı. Arkadaşlar dediğim gibi bu sitelere göre değişebilir.
Yöntem 3 | Olumlu Geri Dönüş
Web For Pentester'in sitesine giriyoruz ve "LDAP Attacks" başlığının altındaki "Example 1"e giriyoruz.
Burp Suite'in ayarlarını yapıyoruz ve sitemizi yenileyerek Burp Suite'ye taşıyoruz.
Gelen yere sağ tıklıyoruz ve "Send to Repeater" seçeneğini seçiyoruz.
"Repeater" kısmına geliyoruz ve gelen kısıımda bulunan, sadece "username=hacker" ve "password=hacker"yazan yeri siliyoruz.
Daha sonra "Send" butonuna tıklayarak sağ tarafa gönderiyoruz.
Sağ tarafta bulunan seçeneklerden olayı görsel görmek için "Render" kısmına tıklıyoruz.
Karşımıza çıkan yerdeyse "Click to render page" butonuna tıklıyoruz.
Evet, görmüş olduğunuz gibi "AUTHENTICATED" olarak gözüküyoruz.
Kısaca LDAP Nedir?
"Lightweight Directory Access Protocol"un kısaltımı olan LDAP, Türkçe "Basit Dizin Erişim Protokolü" olarak çevirilir. LDAP, 389 ve 636'ncı portlarda çalışır. Yetkilendirme ve kimlik doğrulama işlemlerini yapan bir servistir. Bu servis 80 ve 443 portta bulunan ve çalışan web uygulamaları ile benzer yönleri vardır. TCP/IP üzerinde çalışan bir porttur.
LDAP'e Yönelik İşlemler
Ben "Web For Pentester" kullanacağım.
Sizlere üç tane yöntem göstereceğim. Bunların iki tanesi olumsuz, bir tanesi olumludur. Bu olumsuz olanlar Web For Pentester için geçerlidir. O yüzden lütfen bunu göz önünde bulundurarak okuyunuz. Hemen yöntemlerimize geçelim.
Yöntem 1 | Olumsuz Geri Dönüş
Web For Pentester'in sitesine giriyoruz ve "LDAP Attacks" başlığının altındaki "Example 1"e giriyoruz.
Burp Suite'in ayarlarını yapıyoruz ve sitemizi yenileyerek Burp Suite'ye taşıyoruz.
Gelen yere sağ tıklıyoruz ve "Send to Repeater" seçeneğini seçiyoruz.
"Repeater" kısmına geliyoruz ve gelen kısmı "Send" butonuna tıklayıp sağ tarafta bulunan panele gönderiyoruz.
Sağ tarafta bulunan seçeneklerden olayı görsel görmek için "Render" kısmına tıklıyoruz.
Karşımıza çıkan yerdeyse "Click to render page" butonuna tıklıyoruz.
Ve işlemin görsel hali karşımıza geldi. Görmüş olduğunuz gibi "NOT AUTHENTICATED" olarak gözüküyoruz. Bu işlem sizlerde değişebilir. Bu yöntemle Web For Pentester'da herkes aynı şeyi alacaktır.
Yöntem 2 | Olumsuz Geri Dönüş
Web For Pentester'in sitesine giriyoruz ve "LDAP Attacks" başlığının altındaki "Example 1"e giriyoruz.
Burp Suite'in ayarlarını yapıyoruz ve sitemizi yenileyerek Burp Suite'ye taşıyoruz.
Terminalimizi açıyoruz ve bir wordlist oluşturuyoruz. Siz elinizde olan wordlisti'de kullanabilirsiniz.
İçini hemen dolduralım.
Gelen yere sağ tıklıyoruz ve "Send to Intruder" seçeneğini seçiyoruz.
Bu sefer burada bulunan "username=hacker" ve "password=hacker" kısmında bulunan "hacker"i siliyoruz.
"Intruder" sekmesine giriyoruz ve "Positions" kısmına giriyoruz. Buradan "Attack Type" kısmını "Cluster Bomb" yapıyoruz.
Aynı sekmede bulunan "Payloads" kısmına giriyoruz. "Payload Options" kısmına hazırladığımız payload listesini yapıştırıyoruz.
Bu sefer "Payload Sets" başlığının altında bulunan "Payload Set" seçeneğini iki yapıp aynı işlemi tekrar yapıyoruz.
Sayfanın üstünde bulunan "Start Attack" butonuna basarak saldırıyı başlatıyoruz.
Evet, işlemimiz bitti. Bu yöntemde de Web For Pentester için geri dönüş olmadı. Arkadaşlar dediğim gibi bu sitelere göre değişebilir.
Yöntem 3 | Olumlu Geri Dönüş
Web For Pentester'in sitesine giriyoruz ve "LDAP Attacks" başlığının altındaki "Example 1"e giriyoruz.
Burp Suite'in ayarlarını yapıyoruz ve sitemizi yenileyerek Burp Suite'ye taşıyoruz.
Gelen yere sağ tıklıyoruz ve "Send to Repeater" seçeneğini seçiyoruz.
"Repeater" kısmına geliyoruz ve gelen kısıımda bulunan, sadece "username=hacker" ve "password=hacker"yazan yeri siliyoruz.
Daha sonra "Send" butonuna tıklayarak sağ tarafa gönderiyoruz.
Sağ tarafta bulunan seçeneklerden olayı görsel görmek için "Render" kısmına tıklıyoruz.
Karşımıza çıkan yerdeyse "Click to render page" butonuna tıklıyoruz.
Evet, görmüş olduğunuz gibi "AUTHENTICATED" olarak gözüküyoruz.
Son düzenleme:
