THT DUYURU

Siber Güvenlik Siber Güvenlik ile alakalı araçların kullanımı, bilgi paylaşımı ve siber güvenlik eğitimi ile ilgili kaynakların paylaşıldığı alanımızdır.

Seçenekler

IDS Atlama Teknikleri //"P4RS

"P4RS - ait Kullanıcı Resmi (Avatar)
Green Team Lideri
Üyelik tarihi:
01/2017
Nereden:
Balkes
Yaş:
18
Mesajlar:
4.588
Konular:
486
Teşekkür (Etti):
1149
Teşekkür (Aldı):
2312
Ticaret:
(0) %
11-09-2019 23:22
#1
IDS Atlama Teknikleri //"P4RS

Merhabalar TürkHackTeam ailesi, bugün sizlere "IDS Atlatma Teknikleri" konusunu anlatacağım. Öncelikle konu başlıklarımıza sonra da terimlere bakıp konumuza geçelim.

Konu Başlıkları
• IDS Nedir?
• IDS Nasıl Çalışır?
• IDS Atlama Teknikleri
1. SSH Tünelleme
2. Nikto Aracı
3. IP Parçalama
4. Proxy Kullanmak






IDS Nedir?


+ IDS atlamayı anlatacağım fakat IDS'ın da ne olduğuna bir bakalım. İngilizce açılım olarak "Intrusion Detection Systems" Türkçe olarakta "Saldırı Tespit Sistemleri" demektir.
Yani sisteme gelen ve giden paketleri inceleyerek zararlı bir şey var ise tespit ederek bildirmekle görevlidir.
İmza tabanlıdır yani şu şekilde anlatayım bir saldırı oldu ve o saldırıyı IDS fark etti hemen kendi veritabanına bakarak böyle bir saldırı ben de kayıtlı mı diye kontrol eder, böyle bir saldırı veritabanın da varsa bizleri uyarır yoksa da herhangi bir şey demeden devam eder.
Görev olarak saldırı tespiti ve analizi yapmaktadır ayrıca herhangi bir reaksiyon vermez yani sadece uyarır bizleri.





IDS Nasıl Çalışır?


IDS çalıştığı ağı dinler ve zararlı bir girişim olursa bunu bizlere rapor eder.





IDS Atlama Teknikleri

SSH Tünelleme


SSH Tünelleme, şifreli olan ssh bağlantısını her iki taraftan da güvenli bir şekilde taşımak için oluşturulmuş bir tekniktir.
Hadi başlayalım,

+ Öncelikle hedefimizin IP adresini öğrenemek için (İç ağda işlem yaptığım için direk öğrenebilirim.)
Kod:
ifconfig
yazalım.



+ Daha sonra saldırı makinemize gelerek terminali açalım ve
Kod:
 ssh -L 8080:Hedef_IP:80 kullanıcıadı@Hedef_IP
şeklinde yazalım.
Burada 80. port üzerinden bir tünel açmış olduk. 80. Portu kendi local'imizde ki 8080 portuna yönlendirdik. Burada -L parametresini kullandık bunun da ne olduğunu yazayım.

-L : Hedefin portunu, uzakta ki hedef porta bağlamaya yarar.



Burada tarayıcımıza gelerek localhost:8080 yazarsak tüneli açtığımız hedefin 80. portuna bağlanır. Bunu yasaklı sitelerde de kullanabilirsiniz VPN görevi de görmektedir.







Nikto Aracı


Nikto aracı, web sitelerinde açık tarama ile görevlidir. Bu açık türleri sql, xss vb. açıklardır. Bu açıklarda kullanabileceğimiz exploitleri bizlere listeler.
Nikto aracı ile IDS'ye yakalanmadan hedef hakkında bilgi sahibi olabiliriz.

+ Nikto aracının normal olarak kullanıldığın da yani
Kod:
nikto -h IP_ADRESı/domain.com
IDS sistemine yakalanırsınız.
Bunun önüne geçebilmek için ise terminale
Kod:
nikto -h IP_ADRESI/domain.com -ssl
şeklinde yazıyoruz. SSL protokolü TCP 443 ve HTTP 80 portu üzerine işlem gerçekleştirmektedir.
TCP 443 portunda ki paketler şifrelenmiş olduğu için IDS izleme araçları bunu görememektedir.







IP Parçalama


İki ağ arasında ki alışverişte belirli bir değerin (1500 bayt) üstünde ise parçalanır. Nasıl derseniz diyelim ki 2500'lük bir paketimiz var ve hedef 1500 olarak kabul ediyor. Bunu 2 parçaya bölerek içeri alabilir.
Bunu IDS de nasıl kullanılırız derseniz paketimiz 2 parçalı olursa IDS birini tarayacak fakat diğerini taramadan içeri alacaktır.

+ Bu işlem için Fragroute aracını kullanacağız. Bunun için terminale
Kod:
apt-get install fragroute
yazarak uygulamamızı indiriyoruz.



+ Daha sonra kullanımına gelelim. Kullanım için
Kod:
fragroute -f /etc/fragroute.conf Hedef_IP
yazarak işlem yapıyoruz. Burada paketler akmaya başlayacaktır sizlerde görebilirsiniz.







Proxy Kullanmak


Proxy, vekil sunucu görevi görmektedir ve Proxy kullanarakta IDS'yi atlatabilirsiniz. Bunun için hazır kurulu olarak gelen Proxychains uygulamasından yararlanacağız.



+ Öncelikle ayar yapmalıyız. Bunun için de terminale gelerek (Root olmanız gerekiyor sudo su )
Kod:
vim /etc/proxychair.conf
yazıyoruz.



Daha sonra işaretlediğim yerler sizde 1. olanın başında # işareti var onu kaldıralım. 2. de ise başında # işareti yok # koyalım.



+ Tor browser proxy kullanıyor ve socks4 ile kullanıyor. Biz bunu istemediğimiz için socks'un başına # koyuyoruz ve alta https://free-proxy-list.net sitesinden aldığımız Proxy'yi ekliyeceğiz o da şu şekilde
Kod:
http Proxy_IP
olarak yazıyoruz ve kaydedip çıkıyoruz.



Sonra terminale gelerek
Kod:
proxychains firefox
yazarak tarayıcımıza giriyoruz ve Proxy aktif olmuş oluyor.




Konum bu kadardı arkadaşlar bilgilendiyseniz ne mutlu bana, başka bir yazımda görüşmek üzere sağlıcakla kalın...

Konu "P4RS tarafından (26-02-2020 21:10 Saat 21:10 ) değiştirilmiştir.
Xowly, SuLtan AbdaL Teşekkür etti.
"P4RS - ait Kullanıcı Resmi (Avatar)
Green Team Lideri
Üyelik tarihi:
01/2017
Nereden:
Balkes
Yaş:
18
Mesajlar:
4.588
Konular:
486
Teşekkür (Etti):
1149
Teşekkür (Aldı):
2312
Ticaret:
(0) %
12-09-2019 22:22
#2
Cevap: IDS Atlama Teknikleri //"P4RS
Günceldir.

Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler