Sızma Testlerinde Websploit Kullanımı

Websploit framework, içinde barındırdığı modüller ile çeşitli zafiyetleri tarama, analiz ve istismar etme olanağı sağlar.


İçinde 4 tane modül bu modüller altındada 19 tane araç barındırır:
  • Web
  • Network
  • Exploit
  • Wireless



Görünüm ve çalışma olarak Metasploit Framework ile benzerlik gösterir. Hatta bazı exploitler  Metasploit Framework üzerinden çalışır.


Kullanım olarak maalesef Metasploitin sağladığı TAB ile tamamlama ve üst yön tuşu ile geriye dönük komutların kullanılabilmesi özelliklerini sağlamaz.



Bu yazıda Websploit kurulumu/güncellenmesi ve bazı modüllerinin kullanımı gösterilmiştir.



Kurulum

Websploit Kali Linux dağıtımı  üzerinde yüklü olarak gelir. Terminal ekranında websploit yazılarak veya resimdeki gibi erişilebilir.



Websploit çalıştırıldığında aşağıdaki gibi bir ekranla başlar:



Eğer başka bir dağıtım üzerinde kurulmak isteniyorsa ya da Websploit sürümü  yukarıdaki sürümden eski ise
# upgrade
komutu ile güncellenebilir. upgrade komutu işletildiğinde güncel dosya, tarayıcının indirme penceresinde açılır.
Ya da http://sourceforge.net/projects/websploit/ linkinden indirilebilir.  İndirildikten sonra bulunduğunda dizinde
# tar -xvf WebSploit Framework V.2.0.4.tar.gz
sıkıştırılmış dosya çıkartılır.
Dosya içerisindeki Easy Install klasörüne girilir:
# cd Easy Install/  
ve install.sh dosyası çalıştırılır.
# bash install.sh
Artık Websploit sisteme kurulu ve günceldir.



Kullanım

Kurulumdan sonra
# websploit
ile başlatılır.
# help
ile komutlar listelenebilir. Komutlar aşağıdaki gibidir:



Komutlar görüleceği üzere Metasploit’e benzerlik gösteriyor.
os komutundan sonra Linux komutları kullanılabilir. Mesela ekranı temizlemek için;
# os clear kullanılabilir.



# show modules
ile yüklü modüller listelenir. Modüllerin bir kısmı aşağıdaki gibidir. Websploit, açıklamasında Metasploit yazanlarda, metasploiti ve ilgili moda göre diğer gerekli araçları çalıştırır.   


Örnek Uygulamalar

WMAP

Bu uygulamada web dizini altındaki wmap aracı kullanılmıştır. Wmap yine Metasploitin bir modulüdür. Bu modül ile web sitesi üzerinde bir çok araç ile tarama yapılır ve bize hedef sistem hakkında bilgi verir. Aynı zamanda varsa bazı zafiyetleride bulur. Websploit resimdeki gibi komutlar girildiğinde Metasploiti ve wmap modülünü başlatır.
Aşağıdaki gibi çalışmaya başlar.



Java Applet

Bir diğer örnek exploit modülü altındaki java_applet üzerinde yapılmıştır. Bunun için yapılan ayarlar ve çalışmaya başlaması şöyledir:


Burada sırayla belirtmek gerekirse Interface parametresi ağa hangi arayüz ile bağlandığımızı belirtir. Bu örnek sanal makine üzerindeki Kali’de yapıldığı için eth0 değeri vardır. Ağa kablosuzdan bağlanılıyorsa muhtemelen wlan0 gibi bir değerin girilmesi gerekecektir.
Sonraki LHOST   parametresi genelde kendi IPmizi belirtir. Meterpreter oturumu nerede açılmak isteniyorsa o sistemin IP’si girilmelidir.
# set LHOST 192.168.2.60
Class ve Publisher parametreleri, kullanıcının karşısına çıkan Java uyarısında kendimizi nasıl göstermek istiyorsak o şekilde yapılandırılabilir.



Yukarıdaki resimde belirtilen seçili yer bize, kullanıcıya hangi linkin gönderilmesi gerektiğini belirtir.
Gerekli ayarları yaptıktan sonra hedef sistemdeki kullanıcı belirttiğimiz adrese (burada 192.168.2.60:8080/index ) gitmeye çalıştığında resimdeki gibi sayfa bir süre yüklenir ve Javanın çalışması için izin ister.
Sonrasında ise aşağıdaki gibi bir pencere açılır.
Eğer kullanıcı aşağıdaki onay kutusunu işaretleyip “Run” derse, Websploit bir meterpreter oturumu açar. Bu oturum üzerinden de kullanıcının açık olarak parolası, ekran görüntüsü vs. gibi bir çok bilgisi alınabilir. Açılan oturumları listelemek için;
# sessions -l
komutu işletilir. Geçmek istediğimiz oturum için ise (Mesela 1 olsun);
# sessions -i 1
çalıştırılır.


Bu örnekte sadece hedef sistemden ipconfig bilgisi alınmıştır.
Not: Yukarıda belirtilen Class ve Publisher parametreleri Java olarak bırakılmasına rağmen çalışmamıştır.

MITM

Son olarak incelenen araç, network modülü altındaki MITM(Man-in-the-middle) aracıdır. Bu terim yabancı gelenler için Türkçe’de Ortadaki Adam Saldırısı olarakta bilinir. Saldırganın hedef sistem ile ağ cihazları(Modem, Access Point, Switch vs.) arasına girerek akan trafiği üzerinden geçirmesini ve izlemesini ifade eder. Bir saldırgan MITM saldırısı yaptığında hedef makineye sürekli ARP paketleri gönderir ve ağ geçidinin kendisi olduğunu söyler. Ağ geçidine de aynı şekilde hedef sistem olduğunu söyler. Eğer saldırgan IP Forwarding yaparsa saldırgana gelen trafik ağ geçidine aktarılır. Yoksa hedef sistemden gönderilen paketler iletilmez.
Bu uygulamaya ait ekran görüntüsü aşağıdaki gibidir:
Burada yapılan ayarlardan
# set ROUTER 192.168.2.1 ile bulunduğumuz ağın ağ geçidi adresini(Gateway) girdik.
# set TARGET 192.168.2.101 ile hedef sistemi belirttik. Böylece bu iki ayar ile Websploite hangi iki sistem arasına gireceğimizi belirtmiş olduk.Son olarak
# set SNIFFER urlsnarf  ile ne tür bilgileri istediğimizi belirttik. Burada urlsnarf girilen linkleri listeler. Sniffers yazan kısımda diğer seçenekler gözükmektedir(dsniff,msfsnarf,driftnet).
run komutunu verdiğimizde şekildeki gibi 2 tane pencere açılır. Birisi ARP paketlerini gönderirken diğeri HTTPS bağlantıları içindir.
MITM saldırısı 192.168.2.60 üzerinden yapılmıştır. MITM saldırısı öncesinde ve sonrasında yapılan arp -an sorgusu şöyledir:

İlk sorguda yani saldırı öncesinde 192.168.2.1 adresinin sahip olduğu MAC adresinin, saldırı sırasında 192.168.2.60  IP’sine ait MAC adresiyle aynı olduğu gözüküyor. Bu da MITM saldırısının başarılı olduğunu gösterir.

Ender AKBAS < ender.akbas@bga.com.tr>