Pasif Bilgi Toplama


Pasif Bilgi Toplamada Kullanılan Bazı Yöntemler:

DNS Analizi:

Alan adının barındığı adresleri elde etmek için gerçekleştirdiğimiz yöntemdir.

IP adresleri,Mail sunucuları(mx),Alan adı sunucusu(ns) adresleri bu yöntemle elde edilebilir.

Kali Linux üzerinden Terminale host febitek.net ile belirli parametreleri kullanılarak çalıştırılır.
Örnek olarak:

DNS Analizi için bir başka kali linux uygulaması ile nslookup’dur.

Terminale nslookup febitek.net olarak kullanırsanız sonucu elde edersiniz.
Online olarak önerebileceğim site: https://viewdns.info veya https://dnsdumpster.com işinizi

görecektir.

Whois:


Domain ile ilgili kayıt tarihi, dns sağlayıcı, mail server sağlayıcısı, kayıtlı mail, adres ve telefon gibi bilgileri bulmak için kullanılan basit bir yöntemdir. febitek.net adresine ait detaylı bir whois çekme işlemi örnek olarak :

burada kayıtlı kişi, adresi ve maili bulunmakta. Bunu kali linux kullanarakta inceleyebiliriz.

Terminale whois febitek.net yazarsak sonucu elde ederiz. Online olarak önerebileceğim site : whois.domaintools.com

 



Google Hacking Database


 

Arama motoru olan googleyi tıpkı bir linux terminali gibi bilgi toplamak için kullanabiliriz. Googleye kayıtlı olan sayfalar için bir çok parametreyi kullanarak kritik bilgileri elde edebiliriz. En önemli ve en pratik yöntemlerden biridir. Google arama motorunun arama kısmına;

site:febitek.net yazarsak sadece bu host ile alakalı sayfaları listeler.

inurl:belirtilen aranmak istenen kelime yazılır ve bu kelime url uzantılarında aranır.

intext:belirtilen kelimeyi sayfa içeriğinde aranır.

ext:istediğimiz dosya uzantısı yazılınca o dosyanın bulunduğu adresi listeler.

Basit parametreleri kullanarak örnek bir arama:

febitek.net adresinde sayfa url’si olarak yonetim  geçen ve sayfa içeriğinde polat kelimesini aradık. Bu parametreler gördüğünüz gibi yan yana birden çok şekilde kullanılabilir. Bunları ters düşünceyle parametre başına – işareti koyarak ters sonuçları elde edebiliriz. Örnek olarak

site:febitek.net -inurl:www şeklinde kullanırsak www geçmeyen url’leri bize verecektir. Bu  alt alan adları(subdomain)’leri bulmak için bir yöntem sayılabilir. Bu aramaların yüzlerce örneği olabilir. GHDB için bulunan ve paylaşılan güncel dorklar için bu siteyi ziyaret edebilirsiniz. https://www.exploit-db.com/google-hacking-database

Shodan

En kapsamlı bilgiyi bize online ortamda veren web site hizmetidir. Tarama yaptığı ip  adreslerinin port numaralarını sorgulayarak aldığı yanıtlara göre çalışan servisleri tespit eder. shodan.io adresinden hesap oluşturarak girebilirsiniz. Örnek olarak fidye yazılımcıları tarafından kötüye kullanılan uzak masaüstü portu olan 3389 portunu country parametresi ile ülkeyi city parametresi ile şehri port parametresi ile port numarasını yazarak uzak masaüstüne açık olan makineleri listeleyelim.

Diğer örnek parametreler:

country: Belirtilen ülke kodunda arama yapar.

city: Belirtilen şehirde filtreleme yapar.

geo: Koordinatlarda arama yapar.

hostname: Hostname yada domain bilgisine göre filtreleme yapar.

net: Özel IP yada subnet aralığında filtreleme yapar.

os: İşletim sistemine göre filtreleme yapar.

port: Port bilgisine göre filtreleme yapar.

TheHarvester

Kali Linux üzerinden pasif bilgi toplama araçlarından biridir. Kütüphanesindeki bütün arama motorlarını tek bir komutla istediğimiz sayfa aralığında mailler ve subdomainler için kapsamlı tarama yapabilir.Aracın kullanımı yukarıdaki gibidir. -d parametresi bir domaini tarayacağımızı -l listelemenin kaç sayfa olacağını -b ise arama motorlarının hangisinin kapsamasını istediğimizi belirtiyoruz. Örnek olarak yukarıdaki komutu çalıştırdığımızda bu domain için aşağıdaki sonuçları elde edebiliyoruz.

-b twitter yazarak bu domainin sadece twitterda aramasını yapmamız da mümkündür. Twitter’da bu domaini kullanan hesapları bize verecektir. TheHarvester kütüphanesindeki arama motorları:

baidu, bing, bingapi, dogpile, google, googleCSE, googleplus, google-profiles, linkedin, pgp, twitter, vhost, virustotal, threatcrowd, crtsh, netcraft, yahoo, all

ReverseIP

Yeterli bilgi elde edilememesinden dolayı aynı sunucudaki komşu hostlara da bakmamız gerekebilir. Komşu websitelerdeki uygulamaları analiz edip sisteme girmek ve sonrasında dizinler arası geçiş ile ulaşmak istediğimiz yetkilere ulaşabiliriz. Günümüzde yüksek korumalı websitelerin hacklenmesindeki sebep genellikle komşu websiteler üzerinden veya hosting şirketi üzerinden dizinler arası geçiş yetkisini elde edip istenilen bilgiler elde edilebilir. Güncel savunma sistemlerinden biri hosting IP adresini gizlemekten geçer. Büyük kurumsal şirketlerin çoğu bu sistemi kullanır. Host adreslerini CloudFlare dediğimiz sunuculara taşıdıktan sonra hem DDOS saldırılarına maruz kalmıyor hem gerçek IP elde edilmesi güç oluyor. Gerçek IP elde edilemediğinde diğer komşu websiteleri de görmemiz pek mümkün olmuyor.

Viewdns.info adresinden febitek.net alan adının barındığı sunucudaki diğer websitelerini öğrenelim:

Bu adresleri öğrendikten sonra diğer adreslerdeki portallara web uygulamalara da testlerimizi uygulayabiliriz.

Ayrıca;
Kontrol edilecek sistemin alan adı veya servis sağlayıcısı daha önce hacklenmiş olabilir. Kullanılan uygulama veya  portal daha önce hacklenmiş olabilir.Veritabanı internete açık yerlerde paylaşılmış olabilir. Bu bilgileri şifre deneme(Brute-force) saldırısı veya oltalama(phishing) saldırıları için kullanılabilir. Bu bilgiler detaylı ve incelikle not edilmelidir.

Şehmus POLAT / Febitek Siber Güvenlik Koordinatörü
Fırat Üniversitesi / Elektrik-Elektronik Mühendisliği

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir