Arşiv:Ocak 2017

1
Sızma Testlerinde Standart Komut Satırının Meterpreter Kabuğuna Yükseltilmesi
2
Erişim Sağlanan Jooma Yönetim Arayüzünde MsfVenom ile Oluşturulan PHP Kodunun Gömülerek İşletim Sistemine Erişim Sağlanması
3
Linux Sızma Testlerinde Python pty Modülü ile Etkileşimsiz Kabuktan Etkileşimli Kabuğa Geçiş Sağlama
4
Sızma Testlerinde Sqlite Veritabanının Kullanılması
5
MSF jenkins_login Modülü ile Jenkins Uygulamasına Erişim Sağlanabilecek Hesaplara Ait Kimlik Bilgilerinin Tespit Edilmesi

Sızma Testlerinde Standart Komut Satırının Meterpreter Kabuğuna Yükseltilmesi

Sızma testleri sırasında ele geçirilen hedef sistemin standart komut satırı ile erişim sağlanabilir. Bunun yanında MSF’in kabiliyetlerini kullanmak için Meterpreter kabuğu elde etme ihtiyacı olabilir. Bu yazıda MSF shell_to_meterpreter post modülü ve “sessions -u” komutu kullanılarak standart komut satırı üzerinden Meterpreter erişiminin elde edilmesi incelenecektir.

Devamını Oku

Erişim Sağlanan Jooma Yönetim Arayüzünde MsfVenom ile Oluşturulan PHP Kodunun Gömülerek İşletim Sistemine Erişim Sağlanması

Web uygulaması sızma testleri sırasında erişilen web uygulaması üzerinden işletim sisteminde kod çalıştırılabilir. Bu yazıda yönetici hakları ile erişim sağlanan Joomla yönetim arayüzü MsfVenom aracı ile hazırlanan bir PHP kodunun (webshell backdoor) hedefe şablon olarak yüklenmesi yolu ile istismar edilecek ve işletim sistemine Meterpreter ile erişim sağlanacaktır.

Devamını Oku

Linux Sızma Testlerinde Python pty Modülü ile Etkileşimsiz Kabuktan Etkileşimli Kabuğa Geçiş Sağlama

Sızma testlerinde bir Linux sistem ele geçirildikten sonra, bu sistemin komut satırında bir takım komutlar çalıştırmaya ihtiyaç duyulabilir. Ancak etkileşimli kabuk (interactive shell) elde edilemediği durumlarda su, sudo, ssh gibi etkileşim isteyen bazı komutlar çalıştırılamayabilir. Bu yazıda, etkileşimli olmayan bir kabuk erişimi elde edilen Linux bir sistemde bir Python kodu ile etkileşimli kabuk elde edilmesi incelenecektir.

Devamını Oku

MSF jenkins_login Modülü ile Jenkins Uygulamasına Erişim Sağlanabilecek Hesaplara Ait Kimlik Bilgilerinin Tespit Edilmesi

Sızma testleri sırasında, hedef olarak belirlenen Jenkins uygulamasına erişim sağlayabilecek kullanıcı hesaplarının kimlik bilgilerinin tespit edilmesi gerekmektedir. Bu yazıda, MSF jenkins_login auxiliary modülü kullanılarak, kaba kuvvet (sözlük) saldırısı ile Jenkins yazılımına erişim sağlayabilecek hesaba ait kimlik bilgileri elde edilecektir.

Devamını Oku

Bu sayfada incelenen konulardan doğacak sorunlar kişinin kendi sorumluluğundadır.