Home » All posts

29 Ocak 2021 Cuma

Try Hack Me Overpass Çözümü

   Ocak 29, 2021       Muhammed AYGÜN

 


Try Hack Me ‘de bulunan Overpass odasının çözümünü anlatacağım.                     

 


(Bir grup Bilgisayar Bilimleri öğrencisi parola yöneticisi yapmaya çalıştığında ne olur?

Açıkçası mükemmel bir ticari başarı!

Bu kutuda gizli bir TryHackMe abonelik kodu var. Onu bulup etkinleştiren ilk kişi bir aylık ücretsiz abonelik kazanacak! Zaten abonesiyseniz, kodu neden bir arkadaşınıza vermiyorsunuz?

GÜNCELLEME: Kod artık talep edildi.

Makine 2020/09/25 tarihinde biraz değiştirildi. Bu yalnızca makinenin performansını artırmak içindi. Süreci etkilemez.)

 

Burada bize odanın hikayesinde bahsetmiş daha sonra root.txt ve user.txt flag değerlerini bizden istemektedir. Hedef makineyi deploy edip başlıyoruz.

İlk olarak hedef makineyi tanımak için nmap taramasını gerçekleştirdim.

sudo nmap -A 10.10.188.59

ssh ve http portunun açık olduğunu öğrendim. Hemen internet tarayıcımdan hedef ip adresine giriş gerçekleştirdim ve karşıma;


Burada overpass uygulaması hakkında bilgi veriyor.

web sitesini incelemeden önce gobuster taramasını da gerçekleştiriyorum.

gizli dizinleri keşif ettik.

Web sitesi üzerinde araştırma yapıyorum ilk olarak sayfa kaynağına bakarak elde edebileceğim ipuçlarına bakıyorum.


Evet doğru, sadece Romalılar kullandığı için askeri sınıf yapmaz, bunu değiştir? böyle bir ipucu ile karşılaşıyoruz pek bir şey çıkarımda bulunmazsam da yanıma not alıp devam ediyorum :)

/main.css kaynak kodlarını inceledik işimize yarayacak pek bir şey bulamadık. 

/aboutus dizinine baktık bu arada inceleme yaptık pek bir şey elde edemedik. 

/admin dizinine baktım admin giriş paneline benziyordu sqli zafiyeti denedim en çok kullanılan admin- admin, admin- password denemelerim boşa çıkt :)

 




sayfanın kaynak koduna baktım.








farklı javascritplere ulaştım

main.js inceleyince;



login.js;



Burada owasp top 10 da bulunan Broken Authentication zafiyetini görüyorum. Broken Authentication zafiyeti kimlik doğrulamasında fonksiyonların yanlış uygulaması spunucunda ortaya çıkar burada session token girdiğimiz anda bizi içeri almasını için ayarlanmış cookie editör eklentisi ile cookie değeri girmeye çalışacağım (cookie editör firefox, chrome gibi tarayıcışarda cookie eklememiz değiştirmemize yardımcı olan bir eklentidir.)



kayıt edip sayfayı yeniliyorum.



(Overpass Yöneticisi alanına hoş geldiniz

Windows, Linux, MacOS ve daha fazlasını destekleyen güvenli bir şifre yöneticisi

Sürekli şifreni unuttuğuna göre James, senin için SSH anahtarları ayarladım.

 

Bunun şifresini unutursanız, kendiniz kırın. Senin için bir şeyler tamir etmekten bıktım.

Ayrıca, bu "Askeri Sınıf" şifreleme hakkında gerçekten konuşmamız gerekiyor. - Paradoks)

görüldüğü gibi  bize James kullanıcısı adına bir RSA keyi vermektedir bunu kullanrak ssh bağlantısını sağlayabiliriz.

elde ettiğimiz key değerini nano editörü sayesinde içerisinde kaydediyoruz.




ssh bağlantısını gerçekleştiriyoruz.


başarılı bağlantı gerçekleştiremedik rsa_id parolasını istiyor ve bunun hakkında bir bilgimiz yok john yardımıyla bulmaya çalışacağız.

ssh2john yarıdımyla jhın aracının ssh keyini bulabilmesi için uygun dosyaya dönüştürüyoruz.


 

daha sonra john yardımıyla bulmaya çalışıyoruz.



james13 olarak parolayı bulduk hemen ssh bağlantımızı gerçekleştiriyoruz.




başarılı bir şekilde bağlantımızı gerçekleştirdik.

burada dizinlere gezinip user.txt okuyabiliriz.

user.txt flag değerimizi girdik.

biraz dizinlerde gezinmeye çalışıyoruz vermiş olduğu ipucuları bulmaya çalışıyoruz.



görüldüğü gibi kullanıcı kısıtlı haklara sahip. Şimdi root yetkisine yükselip root dizinine erişip root.txt dosyasını okumalıyız.

burada bize sudo parolasını sormaktadır maalesef yine bilmiyoruz :)

cat /etc/crontab

komutunu çalıştırarak Curl, root tarafından kullanıldığından, bir şekilde onu kullanırsak, root erişimini elde edebiliriz. curl tarafından bağlantıyı sağlayabilmek için /etc/hosts altında kendi makinemizin ip adresini yazmalıyız.

 




host dosyanı ayarladıktan sonra kali makinemde bağlantıyı sağlayabilmek için /downloads/src/buildscript.sh altına reverse Shell oluşturuyorum.




yazmış olduğumuz revers Shell çalıştırma yetkisini veriyoruz.

Ardından http sunucumuzu 80 numaralı bağlantı noktasından başlatır ve bir bağlantının olmasını bekliyoruz



şimdi erişimi elde ettiğim makineye gelip yazmış olduğum bash scriotine bağlantı gerçekleştiriyorum.



bash üzerinde komut çalıştırabiliyorum whoami komutuyla root olduğumu görebiliyorum. root dizinine erişip root.txt okuyabiliyoruz.





  

26 Ocak 2021 Salı

EDR, EPP, MDR, NDR, XDR Nedir ?

   Ocak 26, 2021       Muhammed AYGÜN





 EDR- Endpoint Detection and Response
(Uç Nokta Tespiti ve Yanıtı)

Siber tehdit aktörleri her geçen gün artış göstermekte ve kuruluşların her alanını riske maruz bırakabilmekteler. Kuruluşların iş süreçlerini oluşturmak ve uygulayan uç noktalar (Endpoint) savunmasız durumda olabilmekteler. Bu uç noktaları korumak ve altyapıdaki giriş noktalarının güvenliğini sağlamak yani uç noktalara gelebilecek tehditleri en aza indirmek gerekir. EDR sistemleri, sayesinde uç noktaları tehditleri hızlı ve uygun bir şekilde müdahale etmek mümkündür. EDR araçları uç nokta ve ağ olaylarını izleyerek ve daha fazla analiz, algılama, araştırma, raporlama ve uyarının gerçekleştiği merkezi bir veri tabanına kaydeder. EDR araçları kurumsal ağdaki tüm uç noktalarda kapsamlı görünürlük sağlayarak gelişmiş tehditleri keşfetmeye, ölçeklendirmeye, soruşturmaya ve etkisiz hale getirmeye yönelik görevlerin otomasyonunu sağlar. Sürekli izleme ve keşif sayesinde içeriden gelen tehditleri veya dışarıdan gelen saldırıları erken tanımlanmasını kolaylaştırarak kurum içi güvenliği için çok önemli bir hale gelmiştir. EDR veri toplama zamanlaması, kapsamı veya tehdit istihbarat sağlayıcıları ilke entegre olma yetenekleri bakımından farklılık gösterir.

Tüm EDR araçları aynı şekilde çalışmayabilir. Örneğin bazı EDR araçları uç noktalar üzerinde daha fazla analiz gerçekleştirirken, başka bir EDR aracı veri analizi yönetim konsolu üzerinden gerçekleştirir. Fakat tüm EDR araçları aynı temel işlevleri aynı amaçla yerine getirir. https://www.esecurityplanet.com/products/edr-solutions/ adresinden sektörde en çok kullanılan EDR’ların karşılaştırmasını görebilirsiniz.

EDR Kullanım Avantajları:

  •  PoweShell istismarları, memeory attack, file-less gibi tespit edilmesi zor tehditler tespit edebilir.
  •  Exploit-based yapılan atakların tespit ve analizi gerçekleştirilmesini sağlar.
  •  Kendini gizlemeye çalışan malwareların endpointler üzerinde yanal hareketlerini gözlemlemeyi sağlar.
  •  Çeşitli güvenlik ürünleriyle birlikte entegre bir şekilde çalışabilir.
  •  Davranış analizi (Behaviour Monitoring) teknolojilerini kullanarak olay tespit süresini azaltır.
  •  Davranış analizi sayesinde Endpointlere ve ağa zarar vermesinin önüne geçer.
  •  Bilinmeyen dosya ve uygulamaların tespiti ve sanal ortamlarda testlerini sağlayarak ağ da yer alan diğer uç nokta ürünlerini koruma sağlar.
  •  Uç noktalar (Endpointler) üzerinde gerçekleşen eylemlerin takibinin yapılması ve analizlerinin anlık görüntülenmesini sağlar.
  •  Adli izlenim süreçlerinde önemli bilgi tespit imkanı sunar. (ıp, url, domain, DNS, file name, file path …)


EPP - Endpoint Protection Platfrom
(Uç Nokta Koruma Platformu)

EPP sisteme dahil cihaz seviyesindeki tehditleri tespit etmek ve engellemek için tasarlanmış güvenlik çözümüdür. EPP, imza tabanlı saldırılara karşı koruma sağlamak için tasarlanmış kötü amaçlı yazılım önleme yeteneklerini kapsar. Bir dosya ağa dahil olduğunda EPP aracı dosyanın imzasının veritabanındaki herhangi bir kötü amaçlı tehditle eşleşip eşleşmediğini görmek için dosyayı tarar. EPP, uç noktadaki çeşitli tehditleri algılayan ve durduran, antivirüs, veri şifreleme, izinsiz giriş önleme ve veri kaybını önleme gibi entegre bir uç koruma teknoloji paketi sağlar. EPP imza tabanlı olarak çalıştığı için gelişmiş saldırılara karşı etkisiz kalmaktadır.

EDR ve EPP benzer hedeflere sahiptir, ancak farklı amaçları gerçekleştirmek üzere tasarlanmıştır. EPP, kötü amaçlı dosyaları tanımlayarak, potansiyel olarak kötü niyetli etkinlikleri tespit ederek ve olay incelemesi ve müdahalesi için araçlar sağlayarak cihaz düzeyinde koruma sağlamak üzere tasarlanmıştır.

EPP, kuruluşun konuşlandırılan güvenlik çözümleri tarafından tespit edilebilen saldırıları filtreleyerek ilk savunma hattı görevi görür. EDR, güvenlik analistlerinin tehdit avı gerçekleştirmesine ve uç noktaya yönelik daha ince tehditleri tespit etmesine olanak tanıyan ikinci bir koruma katmanı görev görür.

Etkili uç nokta savunması, bir kuruluşun güvenlik ekibine yardımcı olarak siber tehditlere karşı koruma sağlamak için hem EDR hem de EPP’nin yeteneklerini entegre eden bir çözüm kullanmak avantajlı olacaktır.



MDR -Managed Detection and Response
(Yönetilen Tespit Ve Müdahale)

MDR, tarafından sunulan servislerin en temel karakteristiği klasik saldırılar dışında gelişmiş saldırıları detaylı bir şekilde tespitini gerçekleştirmek ve saldırı kaynağına müdahale etmektir. MDR tarafından sunulacak gelişmiş tespit ve müdahale süreçlerini EDR yazılımları kullanılır. MDR aslında tehdit algılaması, tehdidin tespit müdahalesi ve iyileştirme süreçlerinin belendiği ve yönetildiği servistir.

MDR geriye dönük bütün trafiği analiz edebilir çünkü ağ tabanlı çözüm kullanmaktadır. MDR hizmet kapsamı olarak ilgili kurumun siber saldırılara karşı siber tehdit istihbaratı geniş şekilde bütün süreçlerde kullanılacak şekilde tanımlanabilir.

MDR Avantajları

  •  Başarılı saldırıların etkisini azaltır.
  •  7/24 görünürlük sağlar.
  •  Kuruluşu hedef alabilecek tehditler üzerinde araştırma yaprak süreklilik sağlar.
  •  Sonuç ve rapor sunar.



NDR -Network Detection Response
(Ağ Tespit Ve Müdahale)

NDR, kuruluşun siber saldırganlar tarafından gerçekleşebilecek saldırı sonuçlarında, ağ trafiğini izlemesi ve ağa yönelik siber tehditlerin tespitine, saldırılara tepki vermesini sağlayan bir güvelik hizmetidir. Siber saldırılar, internet altyapısına ciddi zararlar verebilmektedir. Ağ altyapısını monitöre eden ve saldırılara yanıt vermek için NDR hizmeti kullanılır. NDR, kuruluşların kötü niyetli etkinliklerini tespit etmek ve önlemek veya temel nedeni belirlemek, yanıt ve hafifletmeyi kolaylaştırmak için olay sonrası araştırmalar ve adli analiz yapmak için kullandığı bir güvenlik çözümüdür. NDR çözümleri, içeriden saldırıları, kimlik bilgilerinin kötüye kullanılması, ayrıcalık artırma, yanal hareket ve veri hırsızlığı gibi kötü amaçlı yazılım dışı tehditlere karşı koruma sağlayabilir. NDR EDR dan temel farkı olarak bir malware BIOS seviyesinde istismar ederek EDR’ı bozabilir ve böylece amaçlarını EDR a yansıtmaya bilir ancak ağ aracılığıyla başka herhangi bir sistemle etkileşime girer girmez ağ araçları tarafından görülebilir.



XDR- Extended Detection And Response
(Genişletilmiş Algılama Ve Müdahale)

XDR, EDR’den daha geniş bir özelliğe sahiptir. Daha yüksek görünürlük sağlamak ve tehdit bilgilerini toplamak ve ilişkilendirmek için en yeni ve güncel teknolojileri kullanırken, bugün ve gelecekteki saldırıları tespit etmeye yardımcı olmak için analitik ve otomasyon kullanır. XDR, sistem sunucuları, e-posta, bulut ve uç noktalar gibi çeşitli ap noktalarında veri toplayarak ilişkilendirmeye çalışır. Sistem ilişkili verileri analiz eder, görünürlük ve bağlam kazandırır.

Güvenlik ürünlerinin sayısının artması sebebiylede tek bir noktada yönetim zorlaşmıştır buna çözüm olarak bulut tabanlı bir güvenlik ürünüdür. XDR, güvenlik ürünlerinden alınan verileri işleyerek tek bir platform üzerinden yönetilmesini ve müdahale etmesini amaçlamaktadır.

XDR avantajları:

  •  Geliştirilmiş koruma, algılama ve yanıt verebilir.
  •  Siber tehditleri en etkili bir şekilde tespit edilmesi ve yanıtlanması için daha düşük maliyetli.
  •  Birden fazla güvenlik ürünü ile birlikte uyumlu çalışır.
  •  Hedefli saldırıların tespiti ve müdahale edilmesi
  •  Tehdit istihbarat kaynakları ile birlikte istihbarat bakar.
  •  Uyarıları otomatik olarak ilişkilendirerek ve onaylayarak yanlış pozitifleri takip etme ihtiyacını azaltır.





EDR, EPP, MDR, NDR, XDR

Kaynaklar:

https://www.kaspersky.com.tr/enterprise-security/endpoint-detection-response-edr

https://opdotech.com.tr/blog/endpoint-detection-response-edr-nedir-nasil-calisir/

https://www.eset.com/tr/business/enterprise-inspector/

https://www.mcafee.com/enterprise/en-us/security-awareness/endpoint/what-is-endpoint-detection-and-response.html

https://www.cisco.com/c/en/us/products/security/endpoint-security/index.html#~types-of-endpoint-security

https://www.mcafee.com/enterprise/en-us/security-awareness/endpoint/what-is-an-endpoint-protection-platform.html

https://digitalguardian.com/blog/what-managed-detection-and-response-definition-benefits-how-choose-vendor-and-more

https://solutionsreview.com/network-monitoring/a-beginners-guide-to-network-detection-and-response/

https://blog.paloaltonetworks.com/2019/04/introducing-cortex-xdr-tr/?lang=tr

https://www.mcafee.com/enterprise/en-us/security-awareness/endpoint/what-is-xdr.html

https://en.wikipedia.org/wiki/Extended_detection_and_response

  

Kaydol: Kayıtlar ( Atom )