-TryHackMe "Intro To Offensive Security" CTF-
Offensive Security Nedir?
"Offensive security" (saldırgan güvenlik), bilgisayar sistemlerinin ve ağlarının güvenlik açıklarını tespit etmek ve kapatmak için saldırgan perspektifi kullanarak yapılan bir bilgisayar güvenliği yaklaşımını ifade eder. Bu yaklaşım, güvenlik uzmanlarının bilgisayar korsanlarının veya siber saldırganların kullanabileceği yöntemleri ve araçları anlamalarını ve savunma stratejilerini geliştirmelerini sağlar.
Offensive security, aynı zamanda "etik hackleme" veya "penetrasyon testi" olarak da bilinir ve aşağıdaki ana bileşenleri içerir:
Zafiyet Taraması (Vulnerability Scanning)
Bilgisayar sistemlerindeki zafiyetleri tespit etmek için otomatik araçlar veya manuel olarak yapılan analizlerdir.
Penetrasyon Testi (Penetration Testing)
Sistemlere erişmek ve güvenlik açıklarını gerçek dünya senaryolarına benzer veya gerçek dünya senaryolarında test etmek için kontrol edilmiş bir şekilde yapılan testlerdir.
Sosyal Mühendislik (Social Engineering)
Saldırganların insanları kandırmak veya manipüle etmek için kullandığı taktikleri anlama ve savunma stratejileri geliştirme amacı taşır.
Exploit Geliştirme (Exploit Development)
Bilgisayar korsanlarının güvenlik açıklarını kötüye kullanmak için yazdıkları yazılım araçları ve kodları incelemek ve bu açıkların nasıl kullanılabileceğini anlamak üzerine kuruludur.
İlerletilmiş Güvenlik Araştırmaları (Advanced Security Research)
Saldırganların yeni ve karmaşık saldırı tekniklerini öğrenmek ve savunma stratejilerini ona göre geliştirmek için yapılan araştırmalar bütünüdür.
Yani kısaca: Offensive security, bilgisayar sistemlerinin savunmasını güçlendirmek ve güvenlik açıklarını kapatmak için önemlidir. Ancak bu tür faaliyetlerin yasal ve etik sınırlar içinde gerçekleştirilmesi önemlidir. Bu nedenle, birçok organizasyon ve güvenlik profesyoneli, etik kurallara ve yasal düzenlemelere uygun olarak offensive security faaliyetleri yürütürler.
Yada başka bir tabir ile: Kısaca saldırgan güvenlik, bilgisayar sistemlerine girme, yazılım hatalarından yararlanma ve uygulamalardaki boşlukları bularak bunlara yetkisiz erişim sağlama sürecidir. Bir bilgisayar korsanını yenmek için, bir bilgisayar korsanı gibi davranmanız, güvenlik açıklarını bulmanız ve bir siber suçludan önce yamalar üretmeniz veya önermeniz gerekir!
Saldırgan Gibi Düşünmek İçin Saldır
Tabi üst tarafta da dediğimiz üzere bir saldırgan gibi düşünebilmek için saldırganın yaşadığı ve deneyimlediği senaryoları bizimde deneyimlememiz gerekir. Bu senaryoları deneyimlemek analitik düşünce yapınızı ve saldırgan gözünden bakma deneyiminizi geliştirecektir. Saldırganı anlamak gerçekten önemlidir ve gerçek bir yetkinlik istemektedir. Tabi her yeni bir konuyu temelden ve basite indirgeyerek çalışmaya başlamak önemlidir. İşte tam da bu noktada tatlış bir ctf çalışmasıyla sizlerleyim. Dilerseniz başlayalım.
Bu ctf de bize verilen bir makine ile işe başlıyoruz. Amaç bir banka sistemini hacklemek. Method şu şekilde işleyecek, banka sitesi üzerinde gizli dizin ve sayfaları bulmak için bir kaba kuvvet saldırısı başlatacağız. Bu kaba kuvvet aracı ard arda denemeleri ile potansiyel sayfa veya dizinlerin bize bir listesini çıkaracak ve bunlar ile bir erişim yakalamaya çalışacaktır. Sonuç olarakda sayfa bulunduğu anda önümüze düşecektir.
CTF Kısmı
ilk olarak makine açıldığında karşımıza bu tarz bir arayüz çıkmakta ve bu arayüzde firefox tarayıcınız üzerinde "FakeBank" adında bir banka sitesi ve size ayit olan bir hesap açık durmakta.
Bu kısımda yapılması gereken ilk şey terminal üzerinden fakebank adlı sitede dizin veya sayfa araması yapmak bunun için terminali açıyoruz.
Terminalimizi açtıkdan sonra bu kısımda kullanacağımız "gobuster" isimli bir tooldur. Güzelce komutumuzu giriyoruz.
gobuster -u http:/fakebank.com -w wordlist.txt dir
Kısaca bu komutu açıklamak gerekirse: "gobuster" kullandığımız tool komutu, "-u" url belirtmeye yarayan eleman, -w ise brute force da kullanılacak kelime listesi dosyasını eklemek için yazılır. Enter'lıyoruz. Bu kısımda karşımıza tatlış bir çıktı vermekte.
Burada GoBuster, sayfa/dizin adları listesinde (Durum: 200 ile belirtilir) bulduğu sayfaları size getirecektir. işte bulduk! Banka hesapları arası transferi yapacağımız link "/bank-transfer" kısmıdır. Bu linki firefoxda ki fakebank linkinin arkasına yapıştırıyoruz. Şöyle gözükmeli "http://fakebank.com/bank-transfer".
Enter ve arat.
Evet işte karşımızda transfer paneli.
CTF bu kısımda bizden 2276 numaralı banka hesabından kendi hesabımıza (yani 8881 numaralı hesaba) 2000$ para aktarmamızı söylüyor. Bu kısmıda yapıyoruz.
"Send Money" diyerek para transferini gerçekleştiriyoruz.
Ardından "Return to Your Account" butonuna tıklayarak aktarılan parayı aşağıda görüyoruz.
Tabi üst tarafta da dediğimiz üzere bir saldırgan gibi düşünebilmek için saldırganın yaşadığı ve deneyimlediği senaryoları bizimde deneyimlememiz gerekir. Bu senaryoları deneyimlemek analitik düşünce yapınızı ve saldırgan gözünden bakma deneyiminizi geliştirecektir. Saldırganı anlamak gerçekten önemlidir ve gerçek bir yetkinlik istemektedir. Tabi her yeni bir konuyu temelden ve basite indirgeyerek çalışmaya başlamak önemlidir. İşte tam da bu noktada tatlış bir ctf çalışmasıyla sizlerleyim. Dilerseniz başlayalım.
Bu ctf de bize verilen bir makine ile işe başlıyoruz. Amaç bir banka sistemini hacklemek. Method şu şekilde işleyecek, banka sitesi üzerinde gizli dizin ve sayfaları bulmak için bir kaba kuvvet saldırısı başlatacağız. Bu kaba kuvvet aracı ard arda denemeleri ile potansiyel sayfa veya dizinlerin bize bir listesini çıkaracak ve bunlar ile bir erişim yakalamaya çalışacaktır. Sonuç olarakda sayfa bulunduğu anda önümüze düşecektir.
CTF Kısmı
ilk olarak makine açıldığında karşımıza bu tarz bir arayüz çıkmakta ve bu arayüzde firefox tarayıcınız üzerinde "FakeBank" adında bir banka sitesi ve size ayit olan bir hesap açık durmakta.
Bu kısımda yapılması gereken ilk şey terminal üzerinden fakebank adlı sitede dizin veya sayfa araması yapmak bunun için terminali açıyoruz.
Terminalimizi açtıkdan sonra bu kısımda kullanacağımız "gobuster" isimli bir tooldur. Güzelce komutumuzu giriyoruz.
gobuster -u http:/fakebank.com -w wordlist.txt dir
Kısaca bu komutu açıklamak gerekirse: "gobuster" kullandığımız tool komutu, "-u" url belirtmeye yarayan eleman, -w ise brute force da kullanılacak kelime listesi dosyasını eklemek için yazılır. Enter'lıyoruz. Bu kısımda karşımıza tatlış bir çıktı vermekte.
Burada GoBuster, sayfa/dizin adları listesinde (Durum: 200 ile belirtilir) bulduğu sayfaları size getirecektir. işte bulduk! Banka hesapları arası transferi yapacağımız link "/bank-transfer" kısmıdır. Bu linki firefoxda ki fakebank linkinin arkasına yapıştırıyoruz. Şöyle gözükmeli "http://fakebank.com/bank-transfer".
Enter ve arat.
Evet işte karşımızda transfer paneli.
CTF bu kısımda bizden 2276 numaralı banka hesabından kendi hesabımıza (yani 8881 numaralı hesaba) 2000$ para aktarmamızı söylüyor. Bu kısmıda yapıyoruz.
"Send Money" diyerek para transferini gerçekleştiriyoruz.
Ardından "Return to Your Account" butonuna tıklayarak aktarılan parayı aşağıda görüyoruz.
Not ve Eklemek İstediklerim
Ne kadar basit gözükse de bu işler gerçek ortamlarda bu kadar kolay değil. Bu tarz ctf'ler genellikle bizim işleyişi anlamamız için oluşturulmuş basit uygulamalardır. Tabi bazı şeyleri temel almak her zaman iyidir. Bunu şöyle örneklendirebilirim: Samanlıkta iğne ararken tüm samanlıkta mı aramak istersiniz, yoksa sadece belirli bir kısmında mı? İşte o belirli bir kısımda arama yapmak için bilgi ve en önemlisi de tecrübe gereklidir. Bu ctf serisini devam ettirmeyi düşünüyorum. Tabii seviye giderek artacaktır. Basitten başlamak istememin sebebi, son zamanlarda forum üzerinde çokça soruya ve yardım çağrısına denk gelmiş olmamdır. Bu uygulama ve bu tarz ctf'ler 0'dan ve temelden bu işe başlamak için önem arz etmektedir. Umarım bu yazı onlara ulaşır.
Teşekkürler İyi Forumlar!..
Ne kadar basit gözükse de bu işler gerçek ortamlarda bu kadar kolay değil. Bu tarz ctf'ler genellikle bizim işleyişi anlamamız için oluşturulmuş basit uygulamalardır. Tabi bazı şeyleri temel almak her zaman iyidir. Bunu şöyle örneklendirebilirim: Samanlıkta iğne ararken tüm samanlıkta mı aramak istersiniz, yoksa sadece belirli bir kısmında mı? İşte o belirli bir kısımda arama yapmak için bilgi ve en önemlisi de tecrübe gereklidir. Bu ctf serisini devam ettirmeyi düşünüyorum. Tabii seviye giderek artacaktır. Basitten başlamak istememin sebebi, son zamanlarda forum üzerinde çokça soruya ve yardım çağrısına denk gelmiş olmamdır. Bu uygulama ve bu tarz ctf'ler 0'dan ve temelden bu işe başlamak için önem arz etmektedir. Umarım bu yazı onlara ulaşır.
Teşekkürler İyi Forumlar!..