- 10 Tem 2021
- 701
- 819
- 23
Herkese Merhabalar, bugünkü konumuz arp spoofing kulllanarak basit bir şekilde wireshark ile nasıl bir kurbanın login verilerini çekeceğimizi gösterceğim.
ÖNEMLİ!
BU SENARYODA AĞ AYARLARIM NAT NETWORK OLARAK AYARLANMIŞIR.SİZ WİFİ KARTINIZ LA GERÇEK BİR KURBANA YAPACAKSANIZ WİFİ ADAPTÖRÜNÜZDEKİ
192.168.X.X VEYA FARKLI İP ADRESLERİ ÇIKABİLİR
ARP SPOOFİNG(ARP ZEHİRLENMESİ) NEDİR?
Bilgisayar ağlarında, ARP zehirlenmesi (ARP önbellek sahtekarlığı veya ARP zehri yönlendirme) saldırganın yerel alan ağı üzerinden sahte Adres Çözümleme Protokolü (ARP) mesajları göndermesi (aldatma saldırısı) şeklinde tanımlanabilir. Saldırının amacı genellikle, saldırganın MAC adresini, başka bir uç sistemin (örneğin varsayılan ağ geçidi) IP adresiyle bağdaştırarak bu adresinin ağ trafiğini, saldırganın kendi makinesi üzerine yönlendirmesidir.
ARP zehirlenmesi, saldırganın bir ağdaki veri çerçevelerine müdahale etmesine, trafiği değiştirmesine veya tüm trafiği durdurmasına olanak sağlar. Çoğu zaman saldırı, hizmet reddi , ortadaki adam veya oturum kaçırma saldırıları gibi diğer saldırılara kapı açar.
Saldırı yalnızca ARP protokolü kullanan ağlarda mümkündür. Saldırının gerçekleştirilebilmesi için yerel ağ kesimine saldırganın doğrudan erişimi gereklidir.
Kaynak: ARP zehirlenmesi - Vikipedi
ÖNEMLİ> Bu bir senaryodur kullanılan makineler virtual box ortamındadır.
SALDIRIYA GEÇMEDEN ÖNCE…
Bu tür saldırıları gerçekleştirmemiz için kurban ağı ile aynı ağ da olmamız lazım.Biz aynı ağda olduğumuzu farz edelim…
İfconfig çalıştırdığımızda eth0 ipmize bakalım...
Evet benimki 10.0.2.4 tarama aralığımız 10.0.2.0/24 olacak
Saldırıya başlamadan önce ip_forwardımızı 1 yapmamız lazım.
echo 1 > /proc/syc/net/ipv4/ip_forward{bu komut ile kurbana arp isteği attığımızda interneti kesilmeyecek} !!!Bu komutu makinemizi kapatıp açınca sürekli yazmamız gerekiyor!!!
NASIL YAPILIR
İlk önce kurbanımızın ip adresini nmap çalıştırıp veya netdiscover ile öğrenebiliriz.NMAP= nmap 10.0.2.0/24
NETDİSCOVER= netdiscover –i eth0 –r 10.0.2.0/24 –c 10
Burada bir konuya değineceğim. Görmüş olduğunuz gibi netdiscover’da belli parametreler kullandık.
Nedir bu parametreler?
-i {interface(arayüz)} burada hangi arayüzü taramak için kullanacağımızı seçiyoruz. Ben bu işlemi eth0 arayüzünde yapacağım için eth0 yazıyorum. Siz wifi kart bağlı bir şekilde yapıyorsanuz –i parametresinden sonra wlan0 arayüzünü yazmalısınız.
-r{range(mesafe)} burada hangi ip aralığına kadar tarayacağımızı söylüyoruz. İfconfig yazdığımızda çıkan eth0 daki ip adresimiz 10.0.2.10 da başlıyor diyelim biz buradaki 10.0.2 yi alıp 0/24 mesafesine kadar taramasını istiyoruz.
-c bu da kaç kere istek atacağıdır buraya 10 değil 1 veya 2 düşük sayılar yazarsak birr ihtimal tam bir harita çıkarmama olasığı var. Ben burada 10 yazıyorum siz 50,100 de yazabilirsiniz.
TARAMA SONUÇLARI
Evet iki araçlada taramamızı yaptık kendi ip adresimizi biliyorduk zaten 2.4 nmapde bunu eleyelim.
Genellikle çıkan ilk 3 virtualbox’un kendi ağ yapılandırmasında kullandığı adreslerdir ilki modemimizin yani sanal makinemizin ip sidir.
Burada yabancı olduğumuz bir ip adresi var 10.0.2.15 bu bizim kurbanımızın ip adresi olabilir
ARP İSTEĞİ GÖNDERME
İki Tane Terminal AçıyoruzİLK TERMİNAL= arpspoof –i eth0 –t 10.0.2.1 10.0.2.15
İKİNCİ TERMİNAL= = arpspoof –i eth0 –t 10.0.2.15 10.0.2.1
Buradaki 2.1 modemimizin 2.15 de kurban makinemizin
KURBAN MAKİNEDE GÖRMEK
arp -a komutu ile bakalımBiz burada işe yaradımı diye sanal makinemizden kontrol ediyoruz tabi ki bu seneryo olduğu için iki makine de bize ait olduğu için görebiliyoruz. Burada asıl amaç size çalıştığını göstermek.
Gördüğünüz gibi 2.4 ile 2.1 iplerinin mac adresleri aynı yani makinemiz modem ile aynı mac adresini almış durumda.
Şimdi wiresharkımızı açıp kurbanın bir http login sayfasına girmesini bekliyoruz
KURBAN LOGİN SAYFASINA İSTEK ATMASI
GÖRDÜĞÜNÜZ GİBİ BİR LOGİN İSTEĞİ ATTIK KAYITLI OLMADIĞIMIZ İÇİN BİZE HATA VERDİ AMA BİZ KAYITLIYMIŞ GİBİ HAREKET EDELİM.
WİRESHARK İLE İZLEME
Şimdi wireshark aracında Tüm HTTP protokolleri çekiyoruz sadeceGördüğünüz gibi burada 2.15 den yani kurban makinemizden websitsine bir istek gönderilmiş
Post olanları çekiyoruz . My account diye açıklaması var tıklıyoruz
Burada HTML Form URL Encoded yazan yere tıklıyoruz
Gördüğünüz gibi kurbanımızın girdiği login bilgileri gözükmektedir.
Senaryomuz bu şekilde sonlanmıştır. Buradaki asıl amaç http websiterlerinin malesef ki ne kadar güvensiz olduğunu göstermek
Zaman Ayırıp Okuduğunuz İçin Teşekkürler
Zaman Ayırıp Okuduğunuz İçin Teşekkürler