Pazar, Temmuz 22, 2018

Red Team

Bu kategoride incelenen yazıların ana konusu, kurumların sistemlerine karşı gerçekleştirilebilecek saldırılardır. Sızma testleri (veya gerçek saldırılar) sırasında gerçekleşen saldırı yöntemleri, bu kategori içerisindeki yazılarda incelenmektedir.

Kimlik Bilgisi Tespit Edilen Jenkins Uygulaması Üzerinden Ters Bağlantı Elde Edilmesi

Sızma testleri sırasında, kimlik bilgileri tespit edilen Jenkins uygulaması üzerinden işletim sisteminin komut satırına erişim ihtiyacı olabilir. Bu yazıda, Kevgir:1 sanal makinesinde yüklü olan...

Dizin Aşımı / Atlama Zafiyetinin İstismarı

Web uygulamaları sızma testlerinde karşılaşılabilecek zafiyetlerden birisi de Dizin Aşımı/Atlama (Directory Traversal) zafiyetidir. Bu yazıda güvenilir olarak yapılandırılmamış Pentester Lab: Web For Pentester (I)...

Bir Windows Bilgisayardan Diğerine Parola ile Uzaktan Erişim Yöntemleri

Bilgi güvenliğinin temel unsurlarının başında kimlik doğrulama gelmektedir. Bu yazıda, bir Windows bilgisayara erişim için kullanılabilecek kimlik bilgisi (kullanıcı adı ve parola) mevcutken, bir...

Güvenilir Olarak Yapılandırılmamış NFS Servisinin İstismarı

Sızma testleri sırasında tespit edilen zafiyetlerin istismarı ile hedef sistemin işletim sistemine erişim elde edilebilir. Bu yazıda, HackLAB: Vulnix sanal makinesi üzerinde güvenilir olarak...

Webmin 1.280 Üzerindeki Dosya İfşası Zafiyetinin İstismarı

Sızma testleri sırasında keşfedilen web sunucusunun çeşitli zafiyetleri bulunabilir. Bu yazıda pWnOS: 1.0 sanal makinesindeki Webmin web sunucusundaki zafiyet istismar edilerek "root" yetkisi ile...

Sızma Testlerinde ve Denetimlerde En Çok Karşılaşılan Servisleri Değerlendirme: FTP, SSH,...

Sızma testleri ve denetimler sırasında çeşitli servisler ile karşılaşılır. Bu servislerin keşfi, incelenmesi, güvenlik denetimlerinin gerçekleştirilmesi, istismarı, yapılandırma dosyalarının incelenmesi gibi bir çok adım...

Vekil Sunucu Üzerinden Erişilen Web Servisinde Shellshock Zafiyetinin İstismar Edilmesi

  Sızma testleri sırasında bir vekil (proxy) sunucu üzerinden başka ağlara veya servislere erişim sağlanması gerekebilir. Bu yazıda SickOs: 1.1 sanal makinesindeki Shellshock zafiyeti içeren...

Windows Sızma Testlerinde Kimlik Bilgisi Olmadan RDP Oturumunu Çalma

Windows sızma testleri sırasında hedef sistemin çok kritik olması durumunda üçüncü taraf yazılımların kullanılması istenmeyebilir. Yerel yönetici yetkisi ile RDP yapılabilen bu gibi sistemlerde...

Achat 0.15 Beta Uygulama Zafiyetinin İstismar Edilerek Komut Satırı Erişiminin Elde...

Sızma testleri sırasında tespit edilen zafiyetlerin istismarı ile hedef sistemlerde bir takım yetkiler elde edilebilir. Bu yazıda 64 bitlik Windows 7 SP0 işletim sisteminde...

Nmap Vulners Betiği ile Ağ Üzerinde Tespit Edilen Servislerdeki Zafiyetlerin Keşfi

NMAP (Network Mapper), ağ keşfi ve güvenlik denetimlerinde kullanılan açık kaynak kodlu bir araçtır. Nmap aracına ait betikler ile bir çok zafiyetin tespit edilmesi...