I
iwystic
Veteran
- Joined
- Aug 27, 2019
- Messages
- 4,834
- Reaction score
- 9,971
Herkese merhaba, bu yazımda Bettercap aracından söz edeceğim. Bettercap aracı ile yapılabileceklerden ziyade “https” olan bir siteyi http’ye downgrade ederek Arp saldırısı ile trafiği dinlemeye çalışacağız. Öncelikle Bettercap, Https, Http, Arp Saldırıları gibi kavramlardan söz edelim.
Bettercap Nedir?
Bettercap Nedir?
Bettercap, gelişmiş atakları simüle edebileceğimiz bir ortamdır. Oldukça başarılıdır. Ettercap aracına göre benim düşünceme göre oldukça gelişmiş bir araçtır. Man in the middle, Arp Poisoning veya mobil cihazlara yönelik saldırılarda bu ortamda simüle edilebilmektedir.
Bettercap, Kali Linux sunucusuna kurulu bir şekilde gelmemektedir. Linux sistemine kurulum yapabilmek için https://github.com/bettercap/bettercap
bu adresten direkt indirme yapabilir, ya da terminal ekranından aşağıdaki şekilde indirebilirsiniz.
Bettercap, Kali Linux sunucusuna kurulu bir şekilde gelmemektedir. Linux sistemine kurulum yapabilmek için https://github.com/bettercap/bettercap
bu adresten direkt indirme yapabilir, ya da terminal ekranından aşağıdaki şekilde indirebilirsiniz.
Http ve Https Nedir?
Http ve Https Nedir?
Http’den başlayacak olursak, veri ve sunucu arasında paylaşılan bilginin herhangi bir şifre uygulanmadan işleme alınmasıdır. Herhangi bir tarayıcıda url kısmında “http://“şeklinde görüntülenebilir. Http ile korunan siteler de dış tehditlere maruz kalabiliriz. Özellikle bu tür sitelere giriş yaparken dikkatli olunmalı ve kredi kartı gibi bilgiler verilmemelidir.
Https ise, verici ve sunucu ile arasında her türlü bilgiyi şifreli bir şekilde gönderip almaya yarayan güvenlik önlemi ekler.
Bu güvenlik önleminin adı da SSL sertifikasıdır.
Üstteki görseldeki gibi tarayıcılarda kilit işareti var ise bu site SSL sertifikasıyla korunuyor demektir ve bir https sitesidir.
Özellikle bankalar, online alışveriş sunan e-ticaret siteleri ve benzer web sitelerinde mutlaka yer alması gerekmektedir. SSL sertifikası, bu tür bilgilerin korunması için RSA gibi şifreleme yöntemleri kullanmaktadır.
Hsts ise, web sitelerine yalnızca HTTPS üzerinden erişilebilen bir tarayıcıyı bilgilendiren bir yanıt başlığıdır. Bu tarayıcınızı sadece web sitesinin https sürümüne ve üzerindeki kaynaklara erişebilmeye zorlar. Twitter, Facebook gibi web siteleri hsts ile korunmaktadır.
Https ise, verici ve sunucu ile arasında her türlü bilgiyi şifreli bir şekilde gönderip almaya yarayan güvenlik önlemi ekler.
Bu güvenlik önleminin adı da SSL sertifikasıdır.
Üstteki görseldeki gibi tarayıcılarda kilit işareti var ise bu site SSL sertifikasıyla korunuyor demektir ve bir https sitesidir.
Özellikle bankalar, online alışveriş sunan e-ticaret siteleri ve benzer web sitelerinde mutlaka yer alması gerekmektedir. SSL sertifikası, bu tür bilgilerin korunması için RSA gibi şifreleme yöntemleri kullanmaktadır.
Hsts ise, web sitelerine yalnızca HTTPS üzerinden erişilebilen bir tarayıcıyı bilgilendiren bir yanıt başlığıdır. Bu tarayıcınızı sadece web sitesinin https sürümüne ve üzerindeki kaynaklara erişebilmeye zorlar. Twitter, Facebook gibi web siteleri hsts ile korunmaktadır.
ARP Saldırısı
ARP Saldırısı
Öncelikle bir ağda bilgisayarların düzgün haberleşebilmesi için IP adresi, MAC adresi ve Default Gateway adresine ihtiyaç vardır. Bir LAN içerisinde cihazların birbiriyle haberleşmesi ARP protokolü sayesinde MAC adreslerine göre yapılır. ARP protokolü, ip adreslerinin MAC adresleriyle eşleştirilmesini sağlar ve ARP Cache isimli tabloda bütün MAC adresleri ve o adresle eşleşmiş IP adresleriyle tutulur. ARP tablosu “arp -a” komutu ile Windows ve Linux sistemlerinde görüntülenebilir.
ARP Spoofing ya da diğer adıyla ARP Poisoning ise ARP paketleri kullanılarak yerel ağda, ağa bağlı bilgisayarlara, sunuculara, nesnelere gönderilen paketlerin bu cihazları kandırmasına ve kandırılmış cihazların internet trafiğini okuma saldırısıdır. 2.katmanda yapılan bir saldırıdır.
Ortadaki "Adam" saldırısıdır. Amaç, hedefi ve gateway’i zehirleyerek trafiği kendi üzerinden geçirip, bu trafikteki verileri okumaktır.
ARP Spoofing ya da diğer adıyla ARP Poisoning ise ARP paketleri kullanılarak yerel ağda, ağa bağlı bilgisayarlara, sunuculara, nesnelere gönderilen paketlerin bu cihazları kandırmasına ve kandırılmış cihazların internet trafiğini okuma saldırısıdır. 2.katmanda yapılan bir saldırıdır.
Ortadaki "Adam" saldırısıdır. Amaç, hedefi ve gateway’i zehirleyerek trafiği kendi üzerinden geçirip, bu trafikteki verileri okumaktır.
Bettercap ile Downgrade İşlemleri
Bettercap ile Downgrade İşlemleri
Arp saldırıları sonucunda hedefin trafiğinin okunabilir olduğunu söylemiştik. Örneğin, hedef arp saldırısına uğradığının farkında olmadığı zamanlarda Facebook sitesine giriş yaptığını düşünelim. Trafiği izleyen kötü niyetli saldırgan kullanıcı giriş yaptığı esnada kullanıcı bilgilerini tespit edip bu bilgileri istismar edebilmektedir.
Https sitelerde SSL sertifikasının kullanıldığını söylemiştim. Arp saldırısında https ile korunan sitelerde, trafikteki bilgiler şifreli olarak görülmektedir. Saldırganlar bu şifreyi çözemedikleri için https ile korunan bir siteyi http’ye indirmeye çalışmaktadırlar. Tabi ki bu durum biraz zor. Yukarıda da bahsettiğim gibi hsts ile korunan web sitelerinin http’ye downgrade olması çok zor bir işlemdir. Fakat https’te durum biraz farklı. Örneğin linkedin.com’a bakalım ve uygulamayı da bu web sitesi üzerinden gerçekleştirelim.
Linkedin https ile korunan bir web sitesidir. Biz hstshijack saldırısını kullanarak bu web sitesini http’ye düşürüp buradaki trafiği gözlemleyeceğiz.
Https sitelerde SSL sertifikasının kullanıldığını söylemiştim. Arp saldırısında https ile korunan sitelerde, trafikteki bilgiler şifreli olarak görülmektedir. Saldırganlar bu şifreyi çözemedikleri için https ile korunan bir siteyi http’ye indirmeye çalışmaktadırlar. Tabi ki bu durum biraz zor. Yukarıda da bahsettiğim gibi hsts ile korunan web sitelerinin http’ye downgrade olması çok zor bir işlemdir. Fakat https’te durum biraz farklı. Örneğin linkedin.com’a bakalım ve uygulamayı da bu web sitesi üzerinden gerçekleştirelim.
Linkedin https ile korunan bir web sitesidir. Biz hstshijack saldırısını kullanarak bu web sitesini http’ye düşürüp buradaki trafiği gözlemleyeceğiz.
Hstshijack Saldırısı
Hstshijack Saldırısı
Bettercap uygulamasını kurduktan sonra uygulamaya giriş yapalım.
“bettercap -iface eth0” komutu kullanılarak bettercap’e giriş yapabiliriz. Help komutuyla biraz neler yapabileceğimize bakalım.
Help ile neler yapabileceğimize baktığımız zaman yüklü modülleri görmektesiniz. Arp.spoof, caplets, net.sniff gibi önemli modüller bulunmaktadır. Bizim bu uygulamada işimiz capletslarla olacak. Caplets, bettercap ile gelen bazı kodlardır aslında. Bettercap ile çalıştırabileceğimiz bazı saldırılardır.
Bettercap içerisinde “caplets.show” komutunu kullanarak yüklü olanları listeleyebiliriz. Kullanacağımız caplets modülü hstshijack modülüdür; fakat bu modül düzgün çalışmadığı için biraz düzenlememiz gerekmektedir.
Öncelikle dosyanın bulunduğu dizine gidelim. Göründüğü gibi bir .cap uzantılı dosya ve javascript dosyası bulunmaktadır. Hsts’i tekrar hatırlatayım. Hsts ne yaparsak yapalım sitenin https şeklinde açılmasını sağlamaktadır. “.cap” dosyasını düzenlemek için ben nano aracını kullandım siz leafpad ile de düzenleyebilirsiniz.
Dosyayı nano ile açtıktan sonra karşıma bu ekran gelmektedir. Burada önemli olan kısımlar targets ve replacements bölümleridir. Hedefte bulunan yani targets kısmında bulunan siteleri, replacement bölümündeki uzantılarla açılması ayarıdır. Yani facebook.com yerine facebook.corn adresini denemesini istemekteyiz. Kendinize göre bu alanı düzenleyebilirsiniz. Hedef kısmına linkedin’i eklememizin sebebi linkedin zaten https ile korunan bir site. Hsts olan siteleri hedefe koyarsak onları da saldırı esnasında deneyecektir. Bu sebeple LinkedIn sitesini eklememize gerek kalmamaktadır. Başında bulunan ” *. ” ifadesi ise girilebilecek tüm subdomainleri kapsamaktadır. Örneğin “facebook.com” yazıp girsem bile bunu facebook.corn sitesine çevir anlamına gelmektedir. Gerekli değişiklikleri yapalım.
“Targets” bölümünde bulunan alanı kopyalayıp “dns.spoof.domains” alanını silip yapıştıralım. “hstshijack.encode” bölümünü false olarak değiştirelim ki veriler karşımıza şifreli olarak gelmesin. Ayrıca, payload bölümünde de tek bir payload bırakalım.
Tüm değişiklikleri yapabilmek için sırasıyla “ctrl + o” ve “ctrl + x” komutunu kullanıp dosyayı kaydedelim.
“bettercap -iface eth0” komutu kullanılarak bettercap’e giriş yapabiliriz. Help komutuyla biraz neler yapabileceğimize bakalım.
Help ile neler yapabileceğimize baktığımız zaman yüklü modülleri görmektesiniz. Arp.spoof, caplets, net.sniff gibi önemli modüller bulunmaktadır. Bizim bu uygulamada işimiz capletslarla olacak. Caplets, bettercap ile gelen bazı kodlardır aslında. Bettercap ile çalıştırabileceğimiz bazı saldırılardır.
Bettercap içerisinde “caplets.show” komutunu kullanarak yüklü olanları listeleyebiliriz. Kullanacağımız caplets modülü hstshijack modülüdür; fakat bu modül düzgün çalışmadığı için biraz düzenlememiz gerekmektedir.
Öncelikle dosyanın bulunduğu dizine gidelim. Göründüğü gibi bir .cap uzantılı dosya ve javascript dosyası bulunmaktadır. Hsts’i tekrar hatırlatayım. Hsts ne yaparsak yapalım sitenin https şeklinde açılmasını sağlamaktadır. “.cap” dosyasını düzenlemek için ben nano aracını kullandım siz leafpad ile de düzenleyebilirsiniz.
Dosyayı nano ile açtıktan sonra karşıma bu ekran gelmektedir. Burada önemli olan kısımlar targets ve replacements bölümleridir. Hedefte bulunan yani targets kısmında bulunan siteleri, replacement bölümündeki uzantılarla açılması ayarıdır. Yani facebook.com yerine facebook.corn adresini denemesini istemekteyiz. Kendinize göre bu alanı düzenleyebilirsiniz. Hedef kısmına linkedin’i eklememizin sebebi linkedin zaten https ile korunan bir site. Hsts olan siteleri hedefe koyarsak onları da saldırı esnasında deneyecektir. Bu sebeple LinkedIn sitesini eklememize gerek kalmamaktadır. Başında bulunan ” *. ” ifadesi ise girilebilecek tüm subdomainleri kapsamaktadır. Örneğin “facebook.com” yazıp girsem bile bunu facebook.corn sitesine çevir anlamına gelmektedir. Gerekli değişiklikleri yapalım.
“Targets” bölümünde bulunan alanı kopyalayıp “dns.spoof.domains” alanını silip yapıştıralım. “hstshijack.encode” bölümünü false olarak değiştirelim ki veriler karşımıza şifreli olarak gelmesin. Ayrıca, payload bölümünde de tek bir payload bırakalım.
Tüm değişiklikleri yapabilmek için sırasıyla “ctrl + o” ve “ctrl + x” komutunu kullanıp dosyayı kaydedelim.
Arp Saldırı ve Trafiği Dinleme
Arp Saldırı ve Trafiği Dinleme
Gelelim Bettercap ile Arp saldırısını başlatmaya. Saldırıyı başlatmadan önce IP yönlendirmesini yapmamız gerekmektedir.
Hedef cihazın internetinin kopmaması için bu komutu girmemiz gerekmektedir.
Bu komutu terminal ekranına yazdığımız zaman hedef cihazın internet bağlantısı kopmayacaktır.
“bettercap -iface eth0” komutu ile bettercap uygulamasını açalım. “net.probe.on” komutu ile ağdaki cihazları görüntüleyelim. Bu komut “netdiscover” komutu gibi çalışmaktadır. Hedef bilgisayarımız 10.0.2.6 olarak belirledik.
Arp’ı başlatmak için komutları nasıl kullanabileceğimize “help arp.spoof” komutuyla bir bakalım.
Burada internal ve whitelist komutlarını kullanmayacağız.
“set arp.spoof fullduplex true” komutu ile hem gateway’e hem de hedefe saldırıyı aktif hale getirelim. Daha sonra “set arp.spoof.targets 10.0.2.6” ile hedef makinenin IP bilgisini ekleyelim. Bu bilgileri girdikten sonra “arp.spoof on” komutu ile saldırıyı başlatabiliriz.
“net.sniff on” ile ağı dinlemeye başladık. Düzenlediğimiz “hstshijack” i “hstshijack/hstshijack” komutuyla aktif hale getiriyoruz.
Aktif hale getirdikten sonra yaptığımız domain ayarları da bu şekilde etkin hale gelmiş oldu. Saldırı şu anda başlamış oldu. 10.0.2.6 hedef makineme geçip orada “linkedin.com” sitesini açmayı deneyelim.
Görüldüğü gibi https ile korunan linkedin hesabı Arp saldırısını başlattıktan sonra “Güvenli Değil” uyarısıyla ve http’ye downgrade olmuş bir şekilde karşımıza geldi. Saldırı başarılı bir şekilde gerçekleşti.
Bettercap uygulamasına dönüp baktığımızda “net.sniff.on” aktif olduğu için, hedef makinede “https://www.linkedin.com” sitesine giriş yaptığım görülmektedir. Artık hedef bilgisayarda oturum açıldığında bir sıkıntı olmadığı takdirde kullanıcı adı ve şifre görüntülenecektir.
Şunu hatırlatmakta da yarar var, downgrade işlemleri her zaman işe yaramamaktadır. Sıklıkla hata ile karşılaşabilirsiniz.
Hedef cihazın internetinin kopmaması için bu komutu girmemiz gerekmektedir.
Bu komutu terminal ekranına yazdığımız zaman hedef cihazın internet bağlantısı kopmayacaktır.
“bettercap -iface eth0” komutu ile bettercap uygulamasını açalım. “net.probe.on” komutu ile ağdaki cihazları görüntüleyelim. Bu komut “netdiscover” komutu gibi çalışmaktadır. Hedef bilgisayarımız 10.0.2.6 olarak belirledik.
Arp’ı başlatmak için komutları nasıl kullanabileceğimize “help arp.spoof” komutuyla bir bakalım.
Burada internal ve whitelist komutlarını kullanmayacağız.
“set arp.spoof fullduplex true” komutu ile hem gateway’e hem de hedefe saldırıyı aktif hale getirelim. Daha sonra “set arp.spoof.targets 10.0.2.6” ile hedef makinenin IP bilgisini ekleyelim. Bu bilgileri girdikten sonra “arp.spoof on” komutu ile saldırıyı başlatabiliriz.
“net.sniff on” ile ağı dinlemeye başladık. Düzenlediğimiz “hstshijack” i “hstshijack/hstshijack” komutuyla aktif hale getiriyoruz.
Aktif hale getirdikten sonra yaptığımız domain ayarları da bu şekilde etkin hale gelmiş oldu. Saldırı şu anda başlamış oldu. 10.0.2.6 hedef makineme geçip orada “linkedin.com” sitesini açmayı deneyelim.
Görüldüğü gibi https ile korunan linkedin hesabı Arp saldırısını başlattıktan sonra “Güvenli Değil” uyarısıyla ve http’ye downgrade olmuş bir şekilde karşımıza geldi. Saldırı başarılı bir şekilde gerçekleşti.
Bettercap uygulamasına dönüp baktığımızda “net.sniff.on” aktif olduğu için, hedef makinede “https://www.linkedin.com” sitesine giriş yaptığım görülmektedir. Artık hedef bilgisayarda oturum açıldığında bir sıkıntı olmadığı takdirde kullanıcı adı ve şifre görüntülenecektir.
Şunu hatırlatmakta da yarar var, downgrade işlemleri her zaman işe yaramamaktadır. Sıklıkla hata ile karşılaşabilirsiniz.
Arp Saldırılarından Korunma
Arp Saldırılarından Korunma
Bu tür Arp saldırılarından korunmanın bazı yöntemleri bulunmaktadır. Windows veya Linux sistemlerde “arp -a” ile Arp tablosunu incelediğimiz zaman görünen gateway adresini “dynamic” ayarından “static” durumuna alarak Arp saldırılarından korunabiliriz. Peki bunu nasıl yapabiliriz?
- Cmd konsol ekranı yönetici olarak açılır.
- Arp -a komutu ile arp tablosu görüntülenir.
- “netsh interface ip delete arpcache” komutu ile bütün arp tablosu silinir.
- “netsh interface ipv4 add neighbours “LAN-Wi-Fi-Ethernet” “Gateway adresi” “Mac Adresi” bilgileri yazılır. Burada internete çıkarken LAN, Wi-fi ya da Ethernet gibi hangi seçenekleri kullanıyorsanız o bilgiyi girmelisiniz.
- Tekrar arp -a ile arp tablosunu görüntülediğinizde gateway adresinizin statiğe döndüğünü göreceksiniz.
Bunun haricinde iç networkte IDS veya ARP Watcher kullanarak sistemi gözlemleyebiliriz. Örneğin, arpON ve Arpalert gibi açık kaynak kodlu araçlar kullanılarak ARP protokolünün güvenli bir şekilde çalışması sağlanmış olur.
Bu yazımda Bettercap ile https ile korunan LinkedIn sitesini http’ye downgrade ederek trafiği izledim. Bir sonraki yazımda görüşmek üzere.
Bu yazımda Bettercap ile https ile korunan LinkedIn sitesini http’ye downgrade ederek trafiği izledim. Bir sonraki yazımda görüşmek üzere.