Welcome, Visitor!

Hello, we are really happy that you have reached us. However, since you are viewing the forum as a visitor, you cannot benefit from many features of the forum. How about taking advantage of all the features exclusive to our members by registering? You can register right now, taking just 2 minutes of your time. We would love to see you among us.

I

IPyth

Thread Starter
Co - Admin
Joined
Aug 27, 2019
Messages
4,774
Reaction score
5,952
Points
113
RC Point
0
1610554205372.png

Herkese merhaba, bu yazımda Bettercap aracından söz edeceğim. Bettercap aracı ile yapılabileceklerden ziyade “https” olan bir siteyi http’ye downgrade ederek Arp saldırısı ile trafiği dinlemeye çalışacağız. Öncelikle Bettercap, Https, Http, Arp Saldırıları gibi kavramlardan söz edelim.

4dKDtQ.png

Bettercap Nedir?

Bettercap, gelişmiş atakları simüle edebileceğimiz bir ortamdır. Oldukça başarılıdır. Ettercap aracına göre benim düşünceme göre oldukça gelişmiş bir araçtır. Man in the middle, Arp Poisoning veya mobil cihazlara yönelik saldırılarda bu ortamda simüle edilebilmektedir.

Bettercap, Kali Linux sunucusuna kurulu bir şekilde gelmemektedir. Linux sistemine kurulum yapabilmek için https://github.com/bettercap/bettercap
bu adresten direkt indirme yapabilir, ya da terminal ekranından aşağıdaki şekilde indirebilirsiniz.

1610554296583.png

4dKDtQ.png

Http ve Https Nedir?

Http’den başlayacak olursak, veri ve sunucu arasında paylaşılan bilginin herhangi bir şifre uygulanmadan işleme alınmasıdır. Herhangi bir tarayıcıda url kısmında “http://“şeklinde görüntülenebilir. Http ile korunan siteler de dış tehditlere maruz kalabiliriz. Özellikle bu tür sitelere giriş yaparken dikkatli olunmalı ve kredi kartı gibi bilgiler verilmemelidir.

Https ise, verici ve sunucu ile arasında her türlü bilgiyi şifreli bir şekilde gönderip almaya yarayan güvenlik önlemi ekler.
Bu güvenlik önleminin adı da SSL sertifikasıdır.

1610554473871.png
Üstteki görseldeki gibi tarayıcılarda kilit işareti var ise bu site SSL sertifikasıyla korunuyor demektir ve bir https sitesidir.

Özellikle bankalar, online alışveriş sunan e-ticaret siteleri ve benzer web sitelerinde mutlaka yer alması gerekmektedir. SSL sertifikası, bu tür bilgilerin korunması için RSA gibi şifreleme yöntemleri kullanmaktadır.

Hsts ise, web sitelerine yalnızca HTTPS üzerinden erişilebilen bir tarayıcıyı bilgilendiren bir yanıt başlığıdır. Bu tarayıcınızı sadece web sitesinin https sürümüne ve üzerindeki kaynaklara erişebilmeye zorlar. Twitter, Facebook gibi web siteleri hsts ile korunmaktadır.

4dKDtQ.png

ARP Saldırısı

Öncelikle bir ağda bilgisayarların düzgün haberleşebilmesi için IP adresi, MAC adresi ve Default Gateway adresine ihtiyaç vardır. Bir LAN içerisinde cihazların birbiriyle haberleşmesi ARP protokolü sayesinde MAC adreslerine göre yapılır. ARP protokolü, ip adreslerinin MAC adresleriyle eşleştirilmesini sağlar ve ARP Cache isimli tabloda bütün MAC adresleri ve o adresle eşleşmiş IP adresleriyle tutulur. ARP tablosu “arp -a” komutu ile Windows ve Linux sistemlerinde görüntülenebilir.

ARP Spoofing ya da diğer adıyla ARP Poisoning ise ARP paketleri kullanılarak yerel ağda, ağa bağlı bilgisayarlara, sunuculara, nesnelere gönderilen paketlerin bu cihazları kandırmasına ve kandırılmış cihazların internet trafiğini okuma saldırısıdır. 2.katmanda yapılan bir saldırıdır.

1610554597301.png

Ortadaki "Adam" saldırısıdır. Amaç, hedefi ve gateway’i zehirleyerek trafiği kendi üzerinden geçirip, bu trafikteki verileri okumaktır.

4dKDtQ.png

Bettercap ile Downgrade İşlemleri

Arp saldırıları sonucunda hedefin trafiğinin okunabilir olduğunu söylemiştik. Örneğin, hedef arp saldırısına uğradığının farkında olmadığı zamanlarda Facebook sitesine giriş yaptığını düşünelim. Trafiği izleyen kötü niyetli saldırgan kullanıcı giriş yaptığı esnada kullanıcı bilgilerini tespit edip bu bilgileri istismar edebilmektedir.

Https sitelerde SSL sertifikasının kullanıldığını söylemiştim. Arp saldırısında https ile korunan sitelerde, trafikteki bilgiler şifreli olarak görülmektedir. Saldırganlar bu şifreyi çözemedikleri için https ile korunan bir siteyi http’ye indirmeye çalışmaktadırlar. Tabi ki bu durum biraz zor. Yukarıda da bahsettiğim gibi hsts ile korunan web sitelerinin http’ye downgrade olması çok zor bir işlemdir. Fakat https’te durum biraz farklı. Örneğin linkedin.com’a bakalım ve uygulamayı da bu web sitesi üzerinden gerçekleştirelim.

1610554702856.png

Linkedin https ile korunan bir web sitesidir. Biz hstshijack saldırısını kullanarak bu web sitesini http’ye düşürüp buradaki trafiği gözlemleyeceğiz.

4dKDtQ.png

Hstshijack Saldırısı

Bettercap uygulamasını kurduktan sonra uygulamaya giriş yapalım.

1610554789269.png

4dKDtQ.png

bettercap -iface eth0” komutu kullanılarak bettercap’e giriş yapabiliriz. Help komutuyla biraz neler yapabileceğimize bakalım.

1610554837461.png

4dKDtQ.png

Help ile neler yapabileceğimize baktığımız zaman yüklü modülleri görmektesiniz. Arp.spoof, caplets, net.sniff gibi önemli modüller bulunmaktadır. Bizim bu uygulamada işimiz capletslarla olacak. Caplets, bettercap ile gelen bazı kodlardır aslında. Bettercap ile çalıştırabileceğimiz bazı saldırılardır.

1610554886874.png

4dKDtQ.png

Bettercap içerisinde “caplets.show” komutunu kullanarak yüklü olanları listeleyebiliriz. Kullanacağımız caplets modülü hstshijack modülüdür; fakat bu modül düzgün çalışmadığı için biraz düzenlememiz gerekmektedir.

1610554937449.png

4dKDtQ.png

Öncelikle dosyanın bulunduğu dizine gidelim. Göründüğü gibi bir .cap uzantılı dosya ve javascript dosyası bulunmaktadır. Hsts’i tekrar hatırlatayım. Hsts ne yaparsak yapalım sitenin https şeklinde açılmasını sağlamaktadır. “.cap” dosyasını düzenlemek için ben nano aracını kullandım siz leafpad ile de düzenleyebilirsiniz.

1610555010651.png

4dKDtQ.png

Dosyayı nano ile açtıktan sonra karşıma bu ekran gelmektedir. Burada önemli olan kısımlar targets ve replacements bölümleridir. Hedefte bulunan yani targets kısmında bulunan siteleri, replacement bölümündeki uzantılarla açılması ayarıdır. Yani facebook.com yerine facebook.corn adresini denemesini istemekteyiz. Kendinize göre bu alanı düzenleyebilirsiniz. Hedef kısmına linkedin’i eklememizin sebebi linkedin zaten https ile korunan bir site. Hsts olan siteleri hedefe koyarsak onları da saldırı esnasında deneyecektir. Bu sebeple LinkedIn sitesini eklememize gerek kalmamaktadır. Başında bulunan ” *. ” ifadesi ise girilebilecek tüm subdomainleri kapsamaktadır. Örneğin “facebook.com” yazıp girsem bile bunu facebook.corn sitesine çevir anlamına gelmektedir. Gerekli değişiklikleri yapalım.

1610555081994.png

4dKDtQ.png

Targets” bölümünde bulunan alanı kopyalayıp “dns.spoof.domains” alanını silip yapıştıralım. “hstshijack.encode” bölümünü false olarak değiştirelim ki veriler karşımıza şifreli olarak gelmesin. Ayrıca, payload bölümünde de tek bir payload bırakalım.
Tüm değişiklikleri yapabilmek için sırasıyla “ctrl + o” ve “ctrl + x” komutunu kullanıp dosyayı kaydedelim.

4dKDtQ.png

Arp Saldırı ve Trafiği Dinleme

Gelelim Bettercap ile Arp saldırısını başlatmaya. Saldırıyı başlatmadan önce IP yönlendirmesini yapmamız gerekmektedir.
Hedef cihazın internetinin kopmaması için bu komutu girmemiz gerekmektedir.

1610555214785.png

Bu komutu terminal ekranına yazdığımız zaman hedef cihazın internet bağlantısı kopmayacaktır.

4dKDtQ.png

netprobeon.png


bettercap -iface eth0” komutu ile bettercap uygulamasını açalım. “net.probe.on” komutu ile ağdaki cihazları görüntüleyelim. Bu komut “netdiscover” komutu gibi çalışmaktadır. Hedef bilgisayarımız 10.0.2.6 olarak belirledik.

4dKDtQ.png

arpspoof-help.png


Arp’ı başlatmak için komutları nasıl kullanabileceğimize “help arp.spoof” komutuyla bir bakalım.
Burada internal ve whitelist komutlarını kullanmayacağız.

4dKDtQ.png

fld.png


set arp.spoof fullduplex true” komutu ile hem gateway’e hem de hedefe saldırıyı aktif hale getirelim. Daha sonra “set arp.spoof.targets 10.0.2.6” ile hedef makinenin IP bilgisini ekleyelim. Bu bilgileri girdikten sonra “arp.spoof on” komutu ile saldırıyı başlatabiliriz.

4dKDtQ.png

11.png


net.sniff on” ile ağı dinlemeye başladık. Düzenlediğimiz “hstshijack” i “hstshijack/hstshijack” komutuyla aktif hale getiriyoruz.

4dKDtQ.png

12.png


Aktif hale getirdikten sonra yaptığımız domain ayarları da bu şekilde etkin hale gelmiş oldu. Saldırı şu anda başlamış oldu. 10.0.2.6 hedef makineme geçip orada “linkedin.com” sitesini açmayı deneyelim.

4dKDtQ.png

13.png


Görüldüğü gibi https ile korunan linkedin hesabı Arp saldırısını başlattıktan sonra “Güvenli Değil” uyarısıyla ve http’ye downgrade olmuş bir şekilde karşımıza geldi. Saldırı başarılı bir şekilde gerçekleşti.

4dKDtQ.png

14.png


Bettercap uygulamasına dönüp baktığımızda “net.sniff.on” aktif olduğu için, hedef makinede “https://www.linkedin.com” sitesine giriş yaptığım görülmektedir. Artık hedef bilgisayarda oturum açıldığında bir sıkıntı olmadığı takdirde kullanıcı adı ve şifre görüntülenecektir.

Şunu hatırlatmakta da yarar var, downgrade işlemleri her zaman işe yaramamaktadır. Sıklıkla hata ile karşılaşabilirsiniz.

4dKDtQ.png

Arp Saldırılarından Korunma

Bu tür Arp saldırılarından korunmanın bazı yöntemleri bulunmaktadır. Windows veya Linux sistemlerde “arp -a” ile Arp tablosunu incelediğimiz zaman görünen gateway adresini “dynamic” ayarından “static” durumuna alarak Arp saldırılarından korunabiliriz. Peki bunu nasıl yapabiliriz?​
  • Cmd konsol ekranı yönetici olarak açılır.
  • Arp -a komutu ile arp tablosu görüntülenir.
  • “netsh interface ip delete arpcache” komutu ile bütün arp tablosu silinir.
  • “netsh interface ipv4 add neighbours “LAN-Wi-Fi-Ethernet” “Gateway adresi” “Mac Adresi” bilgileri yazılır. Burada internete çıkarken LAN, Wi-fi ya da Ethernet gibi hangi seçenekleri kullanıyorsanız o bilgiyi girmelisiniz.
  • Tekrar arp -a ile arp tablosunu görüntülediğinizde gateway adresinizin statiğe döndüğünü göreceksiniz.
Bunun haricinde iç networkte IDS veya ARP Watcher kullanarak sistemi gözlemleyebiliriz. Örneğin, arpON ve Arpalert gibi açık kaynak kodlu araçlar kullanılarak ARP protokolünün güvenli bir şekilde çalışması sağlanmış olur.

Bu yazımda Bettercap ile https ile korunan LinkedIn sitesini http’ye downgrade ederek trafiği izledim. Bir sonraki yazımda görüşmek üzere.​
 
Y

yahuda

Confirmed Memb.
Joined
Nov 30, 2019
Messages
12
Reaction score
0
Points
1
RC Point
0
Gayet Detaylı anlatıldığını düşünüyorum Güzel bir konu.
 
SPAM IS FORBIDDEN!
  • SPAMMERS ARE BANNED FROM THE FORUM AND CANNOT USE ANY OF THE CHEATS
  • For example: thanks, thx, very good, asdqwe, working, ty and so on!
  • For example: Writing the same message over and over. thanks, thx and so on!
  • Copying and copying someone else's message is prohibited.
  • It is forbidden to send messages to increase the number of comments on threads that you have no knowledge of.
  • Write your own opinion when commenting!
  • If you see spam message, please let us know with the REPORT button!

Theme editor

Top Bottom