!!! Hack Attack Part 2 !!!!

**Brad-Let** · 05-24-2007

PORT NEDİR, PORT SCANNER ve ÇEŞİTLERİ

Günümüz dünyasında birçok işletim sistemi birden fazla programın aynı anda
çalışmasına izin vermektedir. Bu programlardan bazıları dışarıdan gelen istekleri
(istemci-client/request) kabul etmekte ve uygun gördüklerine cevap (sunucuserver/
response) vermektedir. Sunucu programları çalışan bilgisayarlara birer adres
verilir ( IP adresleri) ve bu adresler kullanılarak istenilen bilgisayarlara ulaşılır.
Ulaşılan bu bilgisayar üzerindeki hangi sunucu programdan hizmet almak istendiği
belirlemek ise port’lar sayesinde sağlanır. ve her birine, adresleyebilmek için positif bir sayı verilir (port numarası) ama bunlar makinanızın arkasındaki
LPT ve COM portları değildir bu nette bağlandığınız anda akif olan
soyut bağlantı noktalarıdır örnek uzak bir yerdeki bir yere telefon açmak için oranın alan kodunu çevirmeniz gerekir 0216 gibi ilk alan kodu tuşlandıktan sonra sistem aramaya müsait olur yani kanal açılır işte port ta bunun gibidir bir şeyi çalıştırmadan önce onu kullanabilmeniz için önce alan kodunu açmanız gerekir
Bazı sunucu programları, daha önce herkes tarafından bilinen port’lardan hizmet verirken (örn:telnet->23. port) MSN portu vs bazıları da sunucu programını çalıştıran kişinin türüne ve isteğine göre değişik port’lardan hizmet verir. Dolayısıyla, ağ üzerindeki herhangi bir sunucu
programa bağlanmak istenildiğinde, programın çalıştığı bilgisayarın adresinin yanında istekleri kabul ettiği port numarasını da vermek gerekir.peki vermezsek yada karşı tarafta
istediğimiz port kapalıysa ne olur ? tabiki bağlanamayız yani IP bilmek tek başına bir şey değildir Port numarası genellikle 2 byte olarak tutulur. Bu nedenle 6555 adet port Vardır Genellikle 1024’ten küçük olan port numaraları özel
hakları olan kullanıcılar (root) tarafından kullanılırken, büyük olanlar genel kullanıma
açıktır. Port Scanner’ler ise varolan bu port’lar otomatik olarak tarayan yazılımlardır.
Scan işleminin birçok çeşidi vardır. Bu çeşitler, hacker ve hacking yöntemlerine karşı
koymak için geliştirilen yöntem ve tekniklerin gelişimi ile doğru orantılı olarak
artmıştır.
Temel Port Scan türleri aşağıda verilmiştir:
1. TCP Connect Scan
2. TCP SYN Scan
3. TCP FIN Scan
4. SYN/FIN scanning using IP fragments (bypasses packet filters)
5. TCP Xmas Tree Scan
6. TCP Null Scan
7. TCP ACK Scan
8. TCP ftp proxy (bounce attack) scanning
9. TCP Windows Scan
10. TCP RPC Scan
11. UDP Scan
12. Ident Scan

Fakat bu Scan çeşitleri anlatılmadan önce konunun daha iyi anlaşılması için
bilgisayarların İnternet üzerinden bir birleri ile bağlantısını sağlayan bir dizi ağ
protokolü olan Transmission Control Protocol’nün “TCP” nin nasıl çalıştığı
incelenmelidir. Kısa olarak TCP oturumu, ilk olarak, bir sunucu bilgisayardan servis isteyecek diğer bilgisayar (istemci), bağlantı kurmak istediğini göstermek için SYN bayrağı kalkık(set) paketini, sunucu bilgisayara gönderir. Bu paketi alan sunucu SYN paketi aldığını ve bağlantı isteğini onayladığını yine SYN bayrağı kaldırılmış(set) paketi (SYN-ACK paketi) istemci bilgisayara gönderir. Üçüncü aşamada ise sunucu bilgisayarın gönderdiği SYN-ACK paketini alan istemci bilgisayar sunucuya bu paketi aldığını bildiren bir paket gönderir(ACK) ( şimdi BENİ OKU CANIM bölümündeki sözüme geldiniz sanırım )

TCP Connect Scan

Bu tarama yukarıda bahsi geçen oturum açma işlemini tamamıyla yapar ve
oturum açıldığında bağlantıyı kesip bize port’un açık olduğu bilgisini verir. Bu tarama türünün iyi yanı, oturumun açık olduğunu bire bir test etmesi olduğu gibi kötü tarafı da karşı sistemin açılan bütün oturumları kaydetmesi durumunda oturum açma isteğini gönderen tarafın IP bilgisin karşı sistemin veri tabanında yerini almış olmasıdır. Sadece zorunlu durumlarda yada emin olunması gereken durumlarda risk alınarak yapılan bir tarama türüdür fakat kesin sonuç verir.

TCP SYN Scan

Yukarıda bahsi geçen riski almamamız için oturumu açmadan taramamız
gerekir. Bu tarama türü yarı-açık tarama olarak ta anılır. Sebebi yukarıda anlatılan
oturum açma işleminin ilk 2 aşaması olan SYN bayraklı paketi gönderme ve
SYN/ACK bayraklı paketi alma işlemini başarıyla yapmasına rağmen ardından
RST/ACK bayraklı bir paket göndererek oturumun açılmasını reddetmesidir. Port’un
açık olduğu sonucuna SYN/ACK bayraklı paketi alındığında karar verilir. RST/ACK
bayraklı paket oturumun resetlenmesi için gönderilen pakettir. Böylece oturum
açılmadığından kayıtlara geçme ihtimalimiz azalır.

TCP FIN Scan

Eğer bir port’u oturum açma işlemlerini kullanmadan taramak istiyorsak
kullanabileceğimiz yöntemlerden biri FIN taramadır. Eğer bir sistemin port’larından
birine FIN bayraklı bir paket gönderilirse RFC793'e göre sistem
kapalı olan portlar icin RST cevabı gonderir. Bize de açık olan portların bilgisi kalır

SYN/FIN Scanning Using IP Fragments
Bu Scan tip aslıda yeni bir yöntem değildir. SYN ve FIN yöntemlerinin
geliştirilmiş bir türüdür. Bu yöntemde bir araştırma paketi göndermek yerine paketi
daha küçük iki üç IP fragmenti olarak gönderilir. Kısaca TCP paketlerinin başlıklarını
paket filtreleşicilerinin işini zorlaştırmak ve yapılan işin anlaşılmaması için çeşitli
paketlere bölmektir.

TCP Xmas Tree Scan

Noel ağacı anlamına gelen bu tarama türünde hedef sistemin portuna FIN “No
more data from sender”, URG “Urgent Pointer field significant” ve PUSH “Push
Function” flaglı paket gönderilir ve kapalı olan port’lardan RFC 793'e göre RST
cevabı beklenir. Cevapsızlar yine açık port’lardır.
TCP Null Scan
Bu tarama türü ise Xmas Tree'nin tersine hiçbir bayrak taşımayan bir paket
gönderir. RFC 793'e göre sistemin kapalı olan portlarından RST cevabı gelir.
TCP ACK Scan
Bu tip taramada temel mantık statik yada dinamik paket filtreleme de
firewall'ların bağlantıyı ilk başlatan tarafı hatırlayamamasıdır. Bazı firewall'ların
onaylanmış bağlantılara izin verdiğini de düşünürsek bu ACK “Acknowledgment
field significant“ paketin firewall yada router’ların içinden engellenmeden geçmesi ve
hedefe ulaşması mümkün olabilir. Bu şekilde Firewall'ları bypass ederek hedefe
ulaşıp hedefin port’larını tarama şansı kazanırız.
TCP Ftp Proxy (Bounce Attack) Scanning
RFC 959 tanımına göre ftp protokolünün dikkat çekici bir özelliği de proxy ftp
bağlantısına izin vermesidir. Bu tür scan tipi ise bu özelliğin yarattığı açığı kullanır.
Çünkü bu özellik hacker.com’dan, kurba.com’un FTP server-PI (protocol interpreter)
aracılığı ile kontrol haberleşme bağlantısı kurulabilir. Bu bağlantı sayesinde, server-
PI’e ağdaki her hangi bir yere dosya yollayabilecek server-DTP (data transfer
process) isteği aktif edilebilir. Bu açık özellikle firewall arkasında bağlı bulunan bir
ftp’ya bağlandığımız zaman sunucuya kendi port’larını taratması sağlandığı için çok
tehlikeli bit tarama türüdür. Çünkü firewall baypas edilmiş olur.
TCP Windows Scan
Bu scan türü TCP Windows Scan raporlarındaki kusurları dikkate alarak bazı
işletim sistemlerinde portların açık olup olmadığını yada filtreli olup olmadığını
kontrol eder.

TCP RPC Scan

Bu tarama yöntemiyle RPC (Remote Procedure Call - Uzak işlem çağrıları)
port’larından çalışan işlemleri ve sürümlerini anlama şansımız olabilir.
UDP Scan
Bu teknik hedef porta udp paketi göndererek kapalı olan porttan "ICMP port
unreachable" mesajının alınması temeline dayanır. Eğer bu mesaj gelmezse port’un
açık olduğu anlaşılır. Bu işlemi yaparken oldukça yavaş davranmak gerekir. Özellikle
de yoğun işlemlerin olduğu bir filtreleme cihazının üzerinden scan yaparken.
Ident Scan
RFC 1413'te tanımlanmış bir protokol olan Ident protokolü üzerine inşa edilen
bir tarama türüdür. Diğer taramalar ile birlikte kullanılır. Hedef sistem üzerinde
Identd aktif ise sistemde çalışan servislerin tam listesine ve bu servisleri çalıştıran
kullanıcıların isimlerine ulaşılması için yapılır. Identd aktif durumda değil ise bu
tarama türü işlevsiz olmaktadır.
Bunlar sadece bir port scanner’ın nasıl çalıştığını göstermek için verilmiştir
Bunları manuel yapmanız asla gerekmez

KURBANIN HANGİ İŞLETİM SİSTEMİNE SAHİP OLDUĞUNU ÖĞRENMEK

TCP/IP sorgulamasıyla uzak sistemde çalışan işletim sistemini öğrenmek mümkündür
Peki neden ihtiyaç duyarız ? çünki örnek adamda Windows varsa Windows saldırı tiplerini Linux varsa Linux saldırı tiplerini uygularız
Nmap Uzak sistemin açık portuna FIN paketi gönderir RFC 793 ‘e göre bu pakete cevap gelmesi gerekir Windows NT gibi işletim sistemine sahipse yada diğer versiyonlara bu pakete
FIN/ACK ile cevap gelir eğer HP-UX-CISCO-LINUX kullanıyorsa RESET cevabı gelir
Birkaç yöntem ise hedef sistemlerde Banner yakalama, Aktif TCP parmakizleri
saptama, Pasif TCP parmakizleri saptama ve son olarak ICMP kullanarak işletim
sistemi saptamadır.alternatif olarak sisteme whois çekersiniz ve buna ilişkin nette ararsanız bir ton program var yada o kadar uğraşmayın açın sorun kardeşim insan ayı değil ya söyler
alt tarafı abi sen ne kullanıyorsun sorusu

Banner Yakalama

Bu tekniğin temeli bazı sistemlerde bağlanılan portlarda giriş mesajlarıyla
karşılaşılmasına dayanmaktadır. Fakat buna ek olarak giriş yaptıktan sonra basit
yöntemlerle işletim sistemini saptamaya çalışmak gerekebilir. Aşağıdaki örnekte
Washington Universitesi FTP sunucusu kullanılan sunucuya bağlanarak SYST
komutunu verdi ve işletim sistemi tipi hakkında ufak bir bilgi edinildi.
Trying 127.0.0.1...
Connected to localhost.localdomain (127.0.0.1).
Escape character is '^]'.
220 localhost.localdomain FTP server (Version wu-2.6.1-16) ready.
SYST
215 UNIX Type: L8

Aktif TCP Parmakizleri Saptama
Temel fikir işletim sistemlerine bazı TCP paketleri gönderilerek verdikleri
cevapları incelemek ve bu sayede işletim sistemini saptamaktır. Gönderilecek paketler
içerisindeki çeşitli flag'larla oynanarak , parçalanma işareti ile oynayarak , ack değeri
yada servis türü gibi bilgilerle oynayarak gönderilir. Karşılığında gelen paketlerdeki
cevaplar içinde flaglara bakmak, pencere boyutuna bakmak yada gönderilen ve alınan

IP SPOOFING NEDİR?

Internet veya ağa bağlı sisteminizle başka bir sisteme bağlanacaksınız, ama bu bağlantın sizin tarafınızdan yapıldığını gizlemek istiyorsunuz. Bunun için bağlantı sırasında kimliğinizi (ki TCP/IP protokollerinde kimliğiniz IP adresinizdir), yanlış gösteriyorsunuz. İşte bu yaptığını işleme IP Spoofing denir Yani yaptığınız bağlantıda IP adresinizi karşıdaki bilgisayara farklı gösterme işlemine IP Spoofing denir.

IP SPOOFING YÖNTEMLERİ:

IP Spoofing iki şekilde yapılır. Proxy/Socks sunucularını kullanarak, veya IP paketlerini editleyerek. Proxy/Socks sunucusu kullanmak basit bir yöntemdir. Daha çok web/IRC bağlantılarında IPyi gizlemek için kullanılır. IP paketlerini editleyerek yapılan IP Spoofing çok etkilidir ve genel olarak D.o.S saldırılarında veya session-hijacking yönteminde kullanılır.

PROXY/SOCKS KULLANIMI:

Internetde gezdiğiniz sitelerin sizin IP adresinizi loglarında tutmaması için, kullandığınız browserın bağlantı ayarlarına girerek bir proxy sunucusu üzerinden bağlantı yapmasını sağlayabilirsiniz. Bu şekilde siz aslında proxy sunucusuna bağlanmış olurken, proxy sunucusu sizin yerinize hedef bilgisayara bağlanmış olacaktır. Örnek:

sistemim : 1059 -> benim proxy:8080
benim proxy: 1039 -> hedefim:80

Önce sistemimiz (MySystem) kullanmak istediğimiz proxy`ye (MyProxy), proxynin portundan bağlanıyor. Proxy portları 80, 3128, 8080 gibi değişik portlar olabilir. Bu bağlantı sağlanınca, sistemimiz daha üst bir protokol ile (HTTP, HTTPS), bağlanmak istediği hedef (MyTarget) bilgisayarla ilgili bilgiyi proxy`ye yolluyor. Proxy`de hedef bilgisayara bağlanıp bizim gönderdiklerimizi ona, ondan gelen bilgileri, bizim sistemimize aktarıyor. Böylece hedef bilgisayarın bağlantı loglarına bizim değil Proxy`nin IPsi geçmiş oluyor. Yalnız bazı proxy yazılımları bu konuda tam olarak IP saklama özelliğine sahip değil. Bizim isteğimizi karşı tarafa yollarken, bizim IPmizide HTTP başlığına ekleyenler var. Logların incelenmesi durumunda bağlantının gerçekten kim adına istenmiş olduğu ortaya çıkıyor. Proxy kullanımının da IP adresinizin gizlenmesiyle ilgili bir de şu tehlike var. Sizin IP adresiniz, hedef bilgisayara iletilmese de proxy loglarında tutuluyor. Bu yüzden hedef bilgisayarın admini, proxy sunucusunun loglarına başvurup sizin IPnizi bulabilir.

Eğer IP adresimizi webde surf yaparken değil de, başka bir TCP bağlantısında spoof etmek istiyorsak socks sunucusu kullanabiliriz. Socks sunucuları genelde 1080. porttan bağlantı kabul ederler ve kullanıcıya Proxy sunucusundan çok daha fazla seçenek sunar. Socks sunucusu kullanarak telnet, ftp, IRC gibi TCP bağlantısı kabul eden her sunucuya bağlanabilirsiniz. Socks sunucusu ile sistemimiz haberleşmek için TCP bağlantısını yaptıktan sonra socks protokolünü kullanır. Örnek:

benım portum:1075 -> benim portum:1080
benim portum:1043 -> hedefim:ftp

Proxy bağlantısında olduğu gibi yine sistemimiz önce socks sunucusuna bağlanır. Sistemimiz yapmak istediği bağlantıyı socks sunucusuna socks protokolü yardımıyla bildirir. Socks sunucusu da bizim sistemimiz yerimize hedef bilgisayara bağlanır. Bu sayede yine IP adresimiz hedef bilgisayara ulaşmamış olur.

IP Spoofing yöntemini durdurmak için hedef sunucuda socks sunucusu kontrolü olabilir. Yani bağlantı isteğini kabul etmeden önce bağlantının bir socks sunucusundan gelip gelmediğini kontrol eder. Eğer bağlantı bir socks sunucusundan geliyor ise bağlantıyı kabul etmez. Özellikle socks sunucusu ile IP Spoof yapılmasının önlenmesi için IRC sunucularında bu kontrolün olduğunu görebilirsiniz.

IP PAKETLERİNİ EDİTLEMEK

Bu basit proxy/socks yöntemi bir çoklarının işini görse de en etkili IP Spoofing yöntemi paketleri editlemektir. Eğer ileri düzeyde TCP/IP bilginiz varsa, IP paketlerin editlenmesi fikri size yabancı değildir. Eğer IP paketlerindeki kaynak adreslerini editlerseniz, IP spoof yapılmış paketler elde edersiniz. UDP/TCP/ICMP/IGMP paket yapıları, 3 yollu el sıkışmak karşılaştırmalarını anlatmak çok detaya kaçtığı için ben sadece IP paketlerini editleyerek nelerin, nasıl yapılabileceğinden bahsedeceğim

TCP BAĞLANTISI GEREKMEYEN DURUMLARDA IP SPOOF

Genelde TCP bağlantı gerekmediği durumlarda IP spoof yapmak, yapılan D.o.S saldırılarının kaynağının tespitini önlemek içindir. KOD, jolt, papasmurf gibi bir çok D.o.S saldırısında gönderilen paketlerin kaynak adresleri değiştirilerek, kaynağın gizliliği sağlanır. Bu işe yarayan programların Linux için yazılan kaynak kodlarını packetstorm.securify.com adresinden bulabilirsiniz.

TCP SESSION HIJACKING:

Hacking için bazı durumlarda kendi IP adresimizden farklı bir adresle hedef sunucuya bağlanmamız gerekebilir. Örneğin elimizde bir web sunucusu olsun. Sunucuya dosya güncellemek için sysadmin şirketin local ağına ve lease line sattığı x.x.x.x static IP adresi olan müşterisine izin vermiş olsun. Yani web sunucusunun önündeki firewall, sunucunun ftp portuna gelen isteklerden sadece x.x.x.x adresinden gelenlere izin veriyor. Bu tip bir durumda bir hackerın ftp root/admin şifresini bilmesine rağmen sisteme girebilmesi için bu x.x.x.x IP adresine sahip olması gereklidir. Bunu sağlamak için hacker sistemde tanımlı olan x.x.x.x IP adresinden sahte bir bağlantı oluşturmalıdır. Karşımıza şu sorun ortaya çıkar: Biz gönderdiğimiz paketleri editleyerek kaynak adreslerini değiştirebiliyoruz ama sunucu aldığı paketlere vereceği cevapları nereye yollayacak? Tabi ki sunucu cevapları bizim verdiğimiz sahte IP adresine yollayacak. TCP protokolündeki bağlantı kontrolünü bildiğinizi varsayarak böyle bir durumda sunucunun gönderdiği ve bizim alamadığımız paketlere karşılık gelen doğru cevapların (ve Seq# Ack#lerin) yollanmasının ne kadar zor olduğunu tahmin edebileceğinizi sanıyorum.

MySystem
(Spoofed packet x.x.x.x:1027) ->hedefim:80
(hedefim:1405 -> x.x.x.x:1027

Eğer bu gelen (kaybolan) paketlere doğru cevapları verirsek sahte bir oturum oluştururuz. Buna da session hijacking denir. Hijacking de yapılan spoof ikiye ayrılıyor blind ve active spoof. Örnekte belirtilen x.x.x.x adresinin sizin local ağınızda bir makinaya ait olduğunu düşünelim. Böyle bir durumda x.x.x.x adresine gönderilen paketleri sniff yöntemiyle alıp, gereken seq#, ack#leri öğrendikten sonra hedef makinaya yeniden spoofed paketler yollarsanız sahte oturumunuz hatasız çalışır. Gelen paketler sniff yöntemiyle görülebildiğinden buna active spoof denir. Ama eğer x.x.x.x adresine gönderilen paketlerin sniff yöntemiyle alınamayacağı bir durumdaysanız, yani bu paketler sizinle aynı local ağda değil veya ağda hub yerine switch kullanılıyorsa, o zaman blind spoof yapmanız gerekir. Blind spoofde deneme yanılma ve tahmin yoluyla sunucunun gönderdiği paketlerdeki seq# numarasını bulmak gerekir.
nette IP spoof kelimelerini aratırsanız sizde bu kaynağa ulaşırsınız. Bulamazsanız benden boşuna istemeyin
.
CIS ( Cerberus Internet Security )

CIS ile uzak sistem çalışan NETBIOS dahil bir çok servis ve kaynak hakkında bilgi alabiliriz bunun yanı sıra hedef makinedeki kullanıcı ve grup listesi ,bunların yetki ve izinleri , çalışan NT servisleri FTP servisleri SMTP ve POP3 servisleri gibi önemli bilgileri görme imkanı tanır [ÜYE OLMADAN LİNKLERİ GÖREMEZSİNİZ. BURAYA TIKLAYARAK BEDAVA ÜYE OLUN...]

NBTSTAT + MAC ADRESİ ÖĞRENMEK

Nbtstat / NETBIOS over TCP/IP ile hedef sistemdeki NETBIOS isim tablosunu görmek
Mümkündür bu tablo sayesinde hedef makinenin ismi ait olduğu etki alanı ve mac adresi
Öğrenelinebilir

C:\nbtstat –A 85.105.2.96

NETBIOS remote machine name table

NAME TYPE STATUS
----------------------------------------------------------------
ARES <00> UNIQUE registered
ARES <20> UNIQUE registered
DOMAIN <00> GROUP registered
DOMAIN <0E> GROUP registered

MAC adres= 00-06-29-2E-41-51

Yukarda görüldüğü gibi ARES isimli makine domain etki alanına üye değildir
Ve MAC adresi 00-06-29-2E-41-51 şeklindedir <xx> kodlar ise sistemle ilgili
Spesifik bilgiler verir bunları aşağıda hazırladım

NTRK yada NTHK

Microsoft Windows NT yi piyasaya sürdüğünde + olarak ayrı satılan WINDOWS NT RESOURCE KIT yada kısaca NTRK olarak adlandırılan içersinde çok güçlü yönetim araçlarının bulunduğu bir program kitini çıkardı bu kitteki programlar gerçekten çok güçlü ve
Kullanışlıydıki sistem yöneticileri kadar hackerlar’da bu kiti kullanmaya başladı böylece
Vazı saldırılarda Microsoft kendi silahıyla vuruldu zamanla NTRK ismi NTHK yani
NT HACKING KIT olarak değişti NTRK içersinde çok güçlü sistem ve ağ yönetim araçları bulunmaktadır ama bu bölümde NETBIOS tabanlı yapılan taramalara bakıcaz ileride bunu daha detaylı göstericem bazı bilinen NTRK komutları

Nltest: Bir etki alanındaki birincil ve ikincil etki alanı sunucularının listesini verir
Srvcheck: Gizli ve açık paylaşımları ve yetkili kullanıcıları gösterir
Rmtshare: Uzak sistemdeki paylaşımları gösterir
GETmac: Uzak sistemdeki MAC adresini gösterir

BOŞ BAĞLANTI ( NULL SESSION 139 PORT )

NETBIOS ve CIF/SMB içerdiği API ler sayesinde yetkisiz kulacılara TCP 139 nolu porttan bağlantı imkanı sunmaktadır ( aslında sistem açığı ) bu bağlantı sayesinde kullanıcılar gruplar paylaşımlar etki alanları gibi bir çok kaynağa erişmek mümkündür eğer bir sistem paylaştırılmış bir kaynak varsa yada TCP 139 port açıksa bu bağlantı şu şekilde yapılır

C:\ net use \\85.105.2.96\IPC$ ”” / USER:””
The command completed successfully

Bu komutla 85.105.2.96 no’lu makinedeki gizli paylaşım olan IPC$ yerleşik locak kullanıcıyla /USER ve boş şifreyle bağlanılmaktadır

Hedef sisteme null sessions ile bağlantı kuran hacker bundan sonra sistemdeki paylaşımları kullanıcı adlarını bilmek isteyecektir bunun için

C:\net view / domain adı

DOMAIN

-- --- -- --- --- --- ---- ----
DOMAIN -1
DOMAIN -2

The command completed succesfully

Belli bir etki alanındaki bilgisayarları görmek içinse bir etki alanı belirtilinir

C:\net view /domain: domain adı

SERVER NAME REMARK
---- ----- ----- ----- -- - - - -- - - - - - --

\\belgelerim
\\yedek
\\hard porno

The command completed succesfully
Bir makinedaki paylaşımları görmek içinse sadece o makinenin ismini vermek yeterlidir

C:\net view \\85.105.2.96
Shared resources at \\85.105.2.96

SHARE NAME TYPE COMMENT
------------------- ----- ------- ------------- -----
hp laser jet print hp laser jet 1100
dosyalarım directory dosyalarım

WINFINGERPRINT

[ÜYE OLMADAN LİNKLERİ GÖREMEZSİNİZ. BURAYA TIKLAYARAK BEDAVA ÜYE OLUN...]
Windows NT/2000/XP sistemlerinde çalışan program açık kaynak kodlu bir yazılımdır
Çoğu bilgiye IPC$ paylaşımıyla erişir uzak sistemlerdeki kullanıclar gruplar paylaşımlar
Event log kayıtları gibi önemli bilgilere ulaşmasının yanında active directory yapısı hakkında
Önemli bilgiler verir

05-24-2007	#1
Brad-Let PcSystem Expert Türkiyenin En Kaliteli Bilgi Paylasim Mekani AKdenizForum.. Kullanıcı Bilgileri Üyelik Tarihi: Jun 2006 Nerden: Türkiye Yaş: 22 Mesajlar: 3.972 Üye No: 9 Extra Bilgiler Tecrübe Puanı: 49 Rep Gücü : 218 Rep Derecesi : İletişim	!!! Hack Attack Part 2 !!!! PORT NEDİR, PORT SCANNER ve ÇEŞİTLERİ Günümüz dünyasında birçok işletim sistemi birden fazla programın aynı anda çalışmasına izin vermektedir. Bu programlardan bazıları dışarıdan gelen istekleri (istemci-client/request) kabul etmekte ve uygun gördüklerine cevap (sunucuserver/ response) vermektedir. Sunucu programları çalışan bilgisayarlara birer adres verilir ( IP adresleri) ve bu adresler kullanılarak istenilen bilgisayarlara ulaşılır. Ulaşılan bu bilgisayar üzerindeki hangi sunucu programdan hizmet almak istendiği belirlemek ise port’lar sayesinde sağlanır. ve her birine, adresleyebilmek için positif bir sayı verilir (port numarası) ama bunlar makinanızın arkasındaki LPT ve COM portları değildir bu nette bağlandığınız anda akif olan soyut bağlantı noktalarıdır örnek uzak bir yerdeki bir yere telefon açmak için oranın alan kodunu çevirmeniz gerekir 0216 gibi ilk alan kodu tuşlandıktan sonra sistem aramaya müsait olur yani kanal açılır işte port ta bunun gibidir bir şeyi çalıştırmadan önce onu kullanabilmeniz için önce alan kodunu açmanız gerekir Bazı sunucu programları, daha önce herkes tarafından bilinen port’lardan hizmet verirken (örn:telnet->23. port) MSN portu vs bazıları da sunucu programını çalıştıran kişinin türüne ve isteğine göre değişik port’lardan hizmet verir. Dolayısıyla, ağ üzerindeki herhangi bir sunucu programa bağlanmak istenildiğinde, programın çalıştığı bilgisayarın adresinin yanında istekleri kabul ettiği port numarasını da vermek gerekir.peki vermezsek yada karşı tarafta istediğimiz port kapalıysa ne olur ? tabiki bağlanamayız yani IP bilmek tek başına bir şey değildir Port numarası genellikle 2 byte olarak tutulur. Bu nedenle 6555 adet port Vardır Genellikle 1024’ten küçük olan port numaraları özel hakları olan kullanıcılar (root) tarafından kullanılırken, büyük olanlar genel kullanıma açıktır. Port Scanner’ler ise varolan bu port’lar otomatik olarak tarayan yazılımlardır. Scan işleminin birçok çeşidi vardır. Bu çeşitler, hacker ve hacking yöntemlerine karşı koymak için geliştirilen yöntem ve tekniklerin gelişimi ile doğru orantılı olarak artmıştır. Temel Port Scan türleri aşağıda verilmiştir: 1. TCP Connect Scan 2. TCP SYN Scan 3. TCP FIN Scan 4. SYN/FIN scanning using IP fragments (bypasses packet filters) 5. TCP Xmas Tree Scan 6. TCP Null Scan 7. TCP ACK Scan 8. TCP ftp proxy (bounce attack) scanning 9. TCP Windows Scan 10. TCP RPC Scan 11. UDP Scan 12. Ident Scan Fakat bu Scan çeşitleri anlatılmadan önce konunun daha iyi anlaşılması için bilgisayarların İnternet üzerinden bir birleri ile bağlantısını sağlayan bir dizi ağ protokolü olan Transmission Control Protocol’nün “TCP” nin nasıl çalıştığı incelenmelidir. Kısa olarak TCP oturumu, ilk olarak, bir sunucu bilgisayardan servis isteyecek diğer bilgisayar (istemci), bağlantı kurmak istediğini göstermek için SYN bayrağı kalkık(set) paketini, sunucu bilgisayara gönderir. Bu paketi alan sunucu SYN paketi aldığını ve bağlantı isteğini onayladığını yine SYN bayrağı kaldırılmış(set) paketi (SYN-ACK paketi) istemci bilgisayara gönderir. Üçüncü aşamada ise sunucu bilgisayarın gönderdiği SYN-ACK paketini alan istemci bilgisayar sunucuya bu paketi aldığını bildiren bir paket gönderir(ACK) ( şimdi BENİ OKU CANIM bölümündeki sözüme geldiniz sanırım ) TCP Connect Scan Bu tarama yukarıda bahsi geçen oturum açma işlemini tamamıyla yapar ve oturum açıldığında bağlantıyı kesip bize port’un açık olduğu bilgisini verir. Bu tarama türünün iyi yanı, oturumun açık olduğunu bire bir test etmesi olduğu gibi kötü tarafı da karşı sistemin açılan bütün oturumları kaydetmesi durumunda oturum açma isteğini gönderen tarafın IP bilgisin karşı sistemin veri tabanında yerini almış olmasıdır. Sadece zorunlu durumlarda yada emin olunması gereken durumlarda risk alınarak yapılan bir tarama türüdür fakat kesin sonuç verir. TCP SYN Scan Yukarıda bahsi geçen riski almamamız için oturumu açmadan taramamız gerekir. Bu tarama türü yarı-açık tarama olarak ta anılır. Sebebi yukarıda anlatılan oturum açma işleminin ilk 2 aşaması olan SYN bayraklı paketi gönderme ve SYN/ACK bayraklı paketi alma işlemini başarıyla yapmasına rağmen ardından RST/ACK bayraklı bir paket göndererek oturumun açılmasını reddetmesidir. Port’un açık olduğu sonucuna SYN/ACK bayraklı paketi alındığında karar verilir. RST/ACK bayraklı paket oturumun resetlenmesi için gönderilen pakettir. Böylece oturum açılmadığından kayıtlara geçme ihtimalimiz azalır. TCP FIN Scan Eğer bir port’u oturum açma işlemlerini kullanmadan taramak istiyorsak kullanabileceğimiz yöntemlerden biri FIN taramadır. Eğer bir sistemin port’larından birine FIN bayraklı bir paket gönderilirse RFC793'e göre sistem kapalı olan portlar icin RST cevabı gonderir. Bize de açık olan portların bilgisi kalır SYN/FIN Scanning Using IP Fragments Bu Scan tip aslıda yeni bir yöntem değildir. SYN ve FIN yöntemlerinin geliştirilmiş bir türüdür. Bu yöntemde bir araştırma paketi göndermek yerine paketi daha küçük iki üç IP fragmenti olarak gönderilir. Kısaca TCP paketlerinin başlıklarını paket filtreleşicilerinin işini zorlaştırmak ve yapılan işin anlaşılmaması için çeşitli paketlere bölmektir. TCP Xmas Tree Scan Noel ağacı anlamına gelen bu tarama türünde hedef sistemin portuna FIN “No more data from sender”, URG “Urgent Pointer field significant” ve PUSH “Push Function” flaglı paket gönderilir ve kapalı olan port’lardan RFC 793'e göre RST cevabı beklenir. Cevapsızlar yine açık port’lardır. TCP Null Scan Bu tarama türü ise Xmas Tree'nin tersine hiçbir bayrak taşımayan bir paket gönderir. RFC 793'e göre sistemin kapalı olan portlarından RST cevabı gelir. TCP ACK Scan Bu tip taramada temel mantık statik yada dinamik paket filtreleme de firewall'ların bağlantıyı ilk başlatan tarafı hatırlayamamasıdır. Bazı firewall'ların onaylanmış bağlantılara izin verdiğini de düşünürsek bu ACK “Acknowledgment field significant“ paketin firewall yada router’ların içinden engellenmeden geçmesi ve hedefe ulaşması mümkün olabilir. Bu şekilde Firewall'ları bypass ederek hedefe ulaşıp hedefin port’larını tarama şansı kazanırız. TCP Ftp Proxy (Bounce Attack) Scanning RFC 959 tanımına göre ftp protokolünün dikkat çekici bir özelliği de proxy ftp bağlantısına izin vermesidir. Bu tür scan tipi ise bu özelliğin yarattığı açığı kullanır. Çünkü bu özellik hacker.com’dan, kurba.com’un FTP server-PI (protocol interpreter) aracılığı ile kontrol haberleşme bağlantısı kurulabilir. Bu bağlantı sayesinde, server- PI’e ağdaki her hangi bir yere dosya yollayabilecek server-DTP (data transfer process) isteği aktif edilebilir. Bu açık özellikle firewall arkasında bağlı bulunan bir ftp’ya bağlandığımız zaman sunucuya kendi port’larını taratması sağlandığı için çok tehlikeli bit tarama türüdür. Çünkü firewall baypas edilmiş olur. TCP Windows Scan Bu scan türü TCP Windows Scan raporlarındaki kusurları dikkate alarak bazı işletim sistemlerinde portların açık olup olmadığını yada filtreli olup olmadığını kontrol eder. TCP RPC Scan Bu tarama yöntemiyle RPC (Remote Procedure Call - Uzak işlem çağrıları) port’larından çalışan işlemleri ve sürümlerini anlama şansımız olabilir. UDP Scan Bu teknik hedef porta udp paketi göndererek kapalı olan porttan "ICMP port unreachable" mesajının alınması temeline dayanır. Eğer bu mesaj gelmezse port’un açık olduğu anlaşılır. Bu işlemi yaparken oldukça yavaş davranmak gerekir. Özellikle de yoğun işlemlerin olduğu bir filtreleme cihazının üzerinden scan yaparken. Ident Scan RFC 1413'te tanımlanmış bir protokol olan Ident protokolü üzerine inşa edilen bir tarama türüdür. Diğer taramalar ile birlikte kullanılır. Hedef sistem üzerinde Identd aktif ise sistemde çalışan servislerin tam listesine ve bu servisleri çalıştıran kullanıcıların isimlerine ulaşılması için yapılır. Identd aktif durumda değil ise bu tarama türü işlevsiz olmaktadır. Bunlar sadece bir port scanner’ın nasıl çalıştığını göstermek için verilmiştir Bunları manuel yapmanız asla gerekmez KURBANIN HANGİ İŞLETİM SİSTEMİNE SAHİP OLDUĞUNU ÖĞRENMEK TCP/IP sorgulamasıyla uzak sistemde çalışan işletim sistemini öğrenmek mümkündür Peki neden ihtiyaç duyarız ? çünki örnek adamda Windows varsa Windows saldırı tiplerini Linux varsa Linux saldırı tiplerini uygularız Nmap Uzak sistemin açık portuna FIN paketi gönderir RFC 793 ‘e göre bu pakete cevap gelmesi gerekir Windows NT gibi işletim sistemine sahipse yada diğer versiyonlara bu pakete FIN/ACK ile cevap gelir eğer HP-UX-CISCO-LINUX kullanıyorsa RESET cevabı gelir Birkaç yöntem ise hedef sistemlerde Banner yakalama, Aktif TCP parmakizleri saptama, Pasif TCP parmakizleri saptama ve son olarak ICMP kullanarak işletim sistemi saptamadır.alternatif olarak sisteme whois çekersiniz ve buna ilişkin nette ararsanız bir ton program var yada o kadar uğraşmayın açın sorun kardeşim insan ayı değil ya söyler alt tarafı abi sen ne kullanıyorsun sorusu Banner Yakalama Bu tekniğin temeli bazı sistemlerde bağlanılan portlarda giriş mesajlarıyla karşılaşılmasına dayanmaktadır. Fakat buna ek olarak giriş yaptıktan sonra basit yöntemlerle işletim sistemini saptamaya çalışmak gerekebilir. Aşağıdaki örnekte Washington Universitesi FTP sunucusu kullanılan sunucuya bağlanarak SYST komutunu verdi ve işletim sistemi tipi hakkında ufak bir bilgi edinildi. Trying 127.0.0.1... Connected to localhost.localdomain (127.0.0.1). Escape character is '^]'. 220 localhost.localdomain FTP server (Version wu-2.6.1-16) ready. SYST 215 UNIX Type: L8 Aktif TCP Parmakizleri Saptama Temel fikir işletim sistemlerine bazı TCP paketleri gönderilerek verdikleri cevapları incelemek ve bu sayede işletim sistemini saptamaktır. Gönderilecek paketler içerisindeki çeşitli flag'larla oynanarak , parçalanma işareti ile oynayarak , ack değeri yada servis türü gibi bilgilerle oynayarak gönderilir. Karşılığında gelen paketlerdeki cevaplar içinde flaglara bakmak, pencere boyutuna bakmak yada gönderilen ve alınan IP SPOOFING NEDİR? Internet veya ağa bağlı sisteminizle başka bir sisteme bağlanacaksınız, ama bu bağlantın sizin tarafınızdan yapıldığını gizlemek istiyorsunuz. Bunun için bağlantı sırasında kimliğinizi (ki TCP/IP protokollerinde kimliğiniz IP adresinizdir), yanlış gösteriyorsunuz. İşte bu yaptığını işleme IP Spoofing denir Yani yaptığınız bağlantıda IP adresinizi karşıdaki bilgisayara farklı gösterme işlemine IP Spoofing denir. IP SPOOFING YÖNTEMLERİ: IP Spoofing iki şekilde yapılır. Proxy/Socks sunucularını kullanarak, veya IP paketlerini editleyerek. Proxy/Socks sunucusu kullanmak basit bir yöntemdir. Daha çok web/IRC bağlantılarında IPyi gizlemek için kullanılır. IP paketlerini editleyerek yapılan IP Spoofing çok etkilidir ve genel olarak D.o.S saldırılarında veya session-hijacking yönteminde kullanılır. PROXY/SOCKS KULLANIMI: Internetde gezdiğiniz sitelerin sizin IP adresinizi loglarında tutmaması için, kullandığınız browserın bağlantı ayarlarına girerek bir proxy sunucusu üzerinden bağlantı yapmasını sağlayabilirsiniz. Bu şekilde siz aslında proxy sunucusuna bağlanmış olurken, proxy sunucusu sizin yerinize hedef bilgisayara bağlanmış olacaktır. Örnek: sistemim : 1059 -> benim proxy:8080 benim proxy: 1039 -> hedefim:80 Önce sistemimiz (MySystem) kullanmak istediğimiz proxy`ye (MyProxy), proxynin portundan bağlanıyor. Proxy portları 80, 3128, 8080 gibi değişik portlar olabilir. Bu bağlantı sağlanınca, sistemimiz daha üst bir protokol ile (HTTP, HTTPS), bağlanmak istediği hedef (MyTarget) bilgisayarla ilgili bilgiyi proxy`ye yolluyor. Proxy`de hedef bilgisayara bağlanıp bizim gönderdiklerimizi ona, ondan gelen bilgileri, bizim sistemimize aktarıyor. Böylece hedef bilgisayarın bağlantı loglarına bizim değil Proxy`nin IPsi geçmiş oluyor. Yalnız bazı proxy yazılımları bu konuda tam olarak IP saklama özelliğine sahip değil. Bizim isteğimizi karşı tarafa yollarken, bizim IPmizide HTTP başlığına ekleyenler var. Logların incelenmesi durumunda bağlantının gerçekten kim adına istenmiş olduğu ortaya çıkıyor. Proxy kullanımının da IP adresinizin gizlenmesiyle ilgili bir de şu tehlike var. Sizin IP adresiniz, hedef bilgisayara iletilmese de proxy loglarında tutuluyor. Bu yüzden hedef bilgisayarın admini, proxy sunucusunun loglarına başvurup sizin IPnizi bulabilir. Eğer IP adresimizi webde surf yaparken değil de, başka bir TCP bağlantısında spoof etmek istiyorsak socks sunucusu kullanabiliriz. Socks sunucuları genelde 1080. porttan bağlantı kabul ederler ve kullanıcıya Proxy sunucusundan çok daha fazla seçenek sunar. Socks sunucusu kullanarak telnet, ftp, IRC gibi TCP bağlantısı kabul eden her sunucuya bağlanabilirsiniz. Socks sunucusu ile sistemimiz haberleşmek için TCP bağlantısını yaptıktan sonra socks protokolünü kullanır. Örnek: benım portum:1075 -> benim portum:1080 benim portum:1043 -> hedefim:ftp Proxy bağlantısında olduğu gibi yine sistemimiz önce socks sunucusuna bağlanır. Sistemimiz yapmak istediği bağlantıyı socks sunucusuna socks protokolü yardımıyla bildirir. Socks sunucusu da bizim sistemimiz yerimize hedef bilgisayara bağlanır. Bu sayede yine IP adresimiz hedef bilgisayara ulaşmamış olur. IP Spoofing yöntemini durdurmak için hedef sunucuda socks sunucusu kontrolü olabilir. Yani bağlantı isteğini kabul etmeden önce bağlantının bir socks sunucusundan gelip gelmediğini kontrol eder. Eğer bağlantı bir socks sunucusundan geliyor ise bağlantıyı kabul etmez. Özellikle socks sunucusu ile IP Spoof yapılmasının önlenmesi için IRC sunucularında bu kontrolün olduğunu görebilirsiniz. IP PAKETLERİNİ EDİTLEMEK Bu basit proxy/socks yöntemi bir çoklarının işini görse de en etkili IP Spoofing yöntemi paketleri editlemektir. Eğer ileri düzeyde TCP/IP bilginiz varsa, IP paketlerin editlenmesi fikri size yabancı değildir. Eğer IP paketlerindeki kaynak adreslerini editlerseniz, IP spoof yapılmış paketler elde edersiniz. UDP/TCP/ICMP/IGMP paket yapıları, 3 yollu el sıkışmak karşılaştırmalarını anlatmak çok detaya kaçtığı için ben sadece IP paketlerini editleyerek nelerin, nasıl yapılabileceğinden bahsedeceğim TCP BAĞLANTISI GEREKMEYEN DURUMLARDA IP SPOOF Genelde TCP bağlantı gerekmediği durumlarda IP spoof yapmak, yapılan D.o.S saldırılarının kaynağının tespitini önlemek içindir. KOD, jolt, papasmurf gibi bir çok D.o.S saldırısında gönderilen paketlerin kaynak adresleri değiştirilerek, kaynağın gizliliği sağlanır. Bu işe yarayan programların Linux için yazılan kaynak kodlarını packetstorm.securify.com adresinden bulabilirsiniz. TCP SESSION HIJACKING: Hacking için bazı durumlarda kendi IP adresimizden farklı bir adresle hedef sunucuya bağlanmamız gerekebilir. Örneğin elimizde bir web sunucusu olsun. Sunucuya dosya güncellemek için sysadmin şirketin local ağına ve lease line sattığı x.x.x.x static IP adresi olan müşterisine izin vermiş olsun. Yani web sunucusunun önündeki firewall, sunucunun ftp portuna gelen isteklerden sadece x.x.x.x adresinden gelenlere izin veriyor. Bu tip bir durumda bir hackerın ftp root/admin şifresini bilmesine rağmen sisteme girebilmesi için bu x.x.x.x IP adresine sahip olması gereklidir. Bunu sağlamak için hacker sistemde tanımlı olan x.x.x.x IP adresinden sahte bir bağlantı oluşturmalıdır. Karşımıza şu sorun ortaya çıkar: Biz gönderdiğimiz paketleri editleyerek kaynak adreslerini değiştirebiliyoruz ama sunucu aldığı paketlere vereceği cevapları nereye yollayacak? Tabi ki sunucu cevapları bizim verdiğimiz sahte IP adresine yollayacak. TCP protokolündeki bağlantı kontrolünü bildiğinizi varsayarak böyle bir durumda sunucunun gönderdiği ve bizim alamadığımız paketlere karşılık gelen doğru cevapların (ve Seq# Ack#lerin) yollanmasının ne kadar zor olduğunu tahmin edebileceğinizi sanıyorum. MySystem (Spoofed packet x.x.x.x:1027) ->hedefim:80 (hedefim:1405 -> x.x.x.x:1027 Eğer bu gelen (kaybolan) paketlere doğru cevapları verirsek sahte bir oturum oluştururuz. Buna da session hijacking denir. Hijacking de yapılan spoof ikiye ayrılıyor blind ve active spoof. Örnekte belirtilen x.x.x.x adresinin sizin local ağınızda bir makinaya ait olduğunu düşünelim. Böyle bir durumda x.x.x.x adresine gönderilen paketleri sniff yöntemiyle alıp, gereken seq#, ack#leri öğrendikten sonra hedef makinaya yeniden spoofed paketler yollarsanız sahte oturumunuz hatasız çalışır. Gelen paketler sniff yöntemiyle görülebildiğinden buna active spoof denir. Ama eğer x.x.x.x adresine gönderilen paketlerin sniff yöntemiyle alınamayacağı bir durumdaysanız, yani bu paketler sizinle aynı local ağda değil veya ağda hub yerine switch kullanılıyorsa, o zaman blind spoof yapmanız gerekir. Blind spoofde deneme yanılma ve tahmin yoluyla sunucunun gönderdiği paketlerdeki seq# numarasını bulmak gerekir. nette IP spoof kelimelerini aratırsanız sizde bu kaynağa ulaşırsınız. Bulamazsanız benden boşuna istemeyin . CIS ( Cerberus Internet Security ) CIS ile uzak sistem çalışan NETBIOS dahil bir çok servis ve kaynak hakkında bilgi alabiliriz bunun yanı sıra hedef makinedeki kullanıcı ve grup listesi ,bunların yetki ve izinleri , çalışan NT servisleri FTP servisleri SMTP ve POP3 servisleri gibi önemli bilgileri görme imkanı tanır [ÜYE OLMADAN LİNKLERİ GÖREMEZSİNİZ. BURAYA TIKLAYARAK BEDAVA ÜYE OLUN...] NBTSTAT + MAC ADRESİ ÖĞRENMEK Nbtstat / NETBIOS over TCP/IP ile hedef sistemdeki NETBIOS isim tablosunu görmek Mümkündür bu tablo sayesinde hedef makinenin ismi ait olduğu etki alanı ve mac adresi Öğrenelinebilir C:\nbtstat –A 85.105.2.96 NETBIOS remote machine name table NAME TYPE STATUS ---------------------------------------------------------------- ARES <00> UNIQUE registered ARES <20> UNIQUE registered DOMAIN <00> GROUP registered DOMAIN <0E> GROUP registered MAC adres= 00-06-29-2E-41-51 Yukarda görüldüğü gibi ARES isimli makine domain etki alanına üye değildir Ve MAC adresi 00-06-29-2E-41-51 şeklindedir <xx> kodlar ise sistemle ilgili Spesifik bilgiler verir bunları aşağıda hazırladım NTRK yada NTHK Microsoft Windows NT yi piyasaya sürdüğünde + olarak ayrı satılan WINDOWS NT RESOURCE KIT yada kısaca NTRK olarak adlandırılan içersinde çok güçlü yönetim araçlarının bulunduğu bir program kitini çıkardı bu kitteki programlar gerçekten çok güçlü ve Kullanışlıydıki sistem yöneticileri kadar hackerlar’da bu kiti kullanmaya başladı böylece Vazı saldırılarda Microsoft kendi silahıyla vuruldu zamanla NTRK ismi NTHK yani NT HACKING KIT olarak değişti NTRK içersinde çok güçlü sistem ve ağ yönetim araçları bulunmaktadır ama bu bölümde NETBIOS tabanlı yapılan taramalara bakıcaz ileride bunu daha detaylı göstericem bazı bilinen NTRK komutları Nltest: Bir etki alanındaki birincil ve ikincil etki alanı sunucularının listesini verir Srvcheck: Gizli ve açık paylaşımları ve yetkili kullanıcıları gösterir Rmtshare: Uzak sistemdeki paylaşımları gösterir GETmac: Uzak sistemdeki MAC adresini gösterir BOŞ BAĞLANTI ( NULL SESSION 139 PORT ) NETBIOS ve CIF/SMB içerdiği API ler sayesinde yetkisiz kulacılara TCP 139 nolu porttan bağlantı imkanı sunmaktadır ( aslında sistem açığı ) bu bağlantı sayesinde kullanıcılar gruplar paylaşımlar etki alanları gibi bir çok kaynağa erişmek mümkündür eğer bir sistem paylaştırılmış bir kaynak varsa yada TCP 139 port açıksa bu bağlantı şu şekilde yapılır C:\ net use \\85.105.2.96\IPC$ ”” / USER:”” The command completed successfully Bu komutla 85.105.2.96 no’lu makinedeki gizli paylaşım olan IPC$ yerleşik locak kullanıcıyla /USER ve boş şifreyle bağlanılmaktadır Hedef sisteme null sessions ile bağlantı kuran hacker bundan sonra sistemdeki paylaşımları kullanıcı adlarını bilmek isteyecektir bunun için C:\net view / domain adı DOMAIN -- --- -- --- --- --- ---- ---- DOMAIN -1 DOMAIN -2 The command completed succesfully Belli bir etki alanındaki bilgisayarları görmek içinse bir etki alanı belirtilinir C:\net view /domain: domain adı SERVER NAME REMARK ---- ----- ----- ----- -- - - - -- - - - - - -- \\belgelerim \\yedek \\hard porno The command completed succesfully Bir makinedaki paylaşımları görmek içinse sadece o makinenin ismini vermek yeterlidir C:\net view \\85.105.2.96 Shared resources at \\85.105.2.96 SHARE NAME TYPE COMMENT ------------------- ----- ------- ------------- ----- hp laser jet print hp laser jet 1100 dosyalarım directory dosyalarım WINFINGERPRINT [ÜYE OLMADAN LİNKLERİ GÖREMEZSİNİZ. BURAYA TIKLAYARAK BEDAVA ÜYE OLUN...] Windows NT/2000/XP sistemlerinde çalışan program açık kaynak kodlu bir yazılımdır Çoğu bilgiye IPC$ paylaşımıyla erişir uzak sistemlerdeki kullanıclar gruplar paylaşımlar Event log kayıtları gibi önemli bilgilere ulaşmasının yanında active directory yapısı hakkında Önemli bilgiler verir

Benzer Konular
Konu	Konuyu Başlatan	Forum	Cevaplar	son Mesaj
Dos Attack - Ddos Attack Ve BoTNeT !! En Güçlü Saldırı Programları !! iLK KeZ BuRaDa!	KeFeRe	Geri Dönüşüm Kutusu	14	10-25-2007 08:00 PM
Domaİn Hack!!	Brad-Let	WebSite Security	0	07-27-2006 01:15 PM
Hacking	Brad-Let	WebSite Security	0	07-02-2006 09:04 PM
hack dökümanları hadi gel gel!!!...	by_hacker	Msn \| İcq \| Yahoo Hakkında Herşey	3	07-01-2006 02:17 PM

Seçenekler
Yazdırılabilir şekli göster Sayfayı E-Mail olarak gönder