Bilgi toplama aşamasından sonra, sistemin kendisi hakkında daha detaylı bir inceleme yapılır. Bu incelemeye Enumaration denir. Sızma testlerinin Enumaration (Fingerprinting) adımında hedef sisteme aktif bağlantı kurulur ve hedefe sorgu/paket gönderilir. Bu adımda bağlantı kurulan sistemlerden, sisteme ait bazı bilgiler elde edilir. Bu bilgiler; tespit edilen servisin arkasında çalışan teknoloji detayı (üreticisi, sürümü,…), sisteme bağlanan kullanıcılar, makinenin adı, paylaşımlar, servisler, ağ routing bilgileri,… olabilir.
Sızma testlerinde Enumaration işlemi için kullanılabilecek temel servisler aşağıdaki gibidir:
- NetBIOS
- SNMP
- DNS
- SMTP
- NTP
- LDAP
- Unix / Linux
- Windows
NetBIOS Servisi
- NetBIOS (Network Basic Input Output System); ağ üzerinden dosya ve yazıcı paylaşımı, isim çözme gibi amaçlarla kullanılır. UDP 137/138/139 portlarından (varsayılan olarak 139) hizmet verir. NetBIOS’un kullanım amacı; LAN üzerindeki kaynakların birbirleri ile haberleşebilmesi, isim çözümlemesinin yapılabilmesi,… için API sağlamaktır.
- NetBIOS, OSI 5. katmanda çalışır.
- Windows işletim sisteminde NetBIOS isimlendirmesi 16 karakterli olup, son karakteri servisi veya kayıt adı tipini ifade ederken diğer ilk 15 karakteri ise cihaz/bilgisayar adını tanımlar. NetBIOS kaydı o ağda benzersiz olmalıdır.
- NetBIOS isimleri internete çıkmaz, sadece yerel ağda kullanılır.
- Windows Server 2000’de SMB servisi sadece NETBIOS bağlantısından sonra başlarken; sonraki sürümlerde Direct Message (Microsoft-DS: TCP 445) üzerinden de SMB bağlantısı desteklenmeye başlanmıştır. Bu sebeple NETBIOS devre dışı bırakılabilir. Bu amaçla “Network and Dial-up Connection > Local Area Connection > Properties > Internet Protocol (TCP/IP) > Properties > Advanced > WINS > Disable NetBIOS over TCP/IP” adımları izlenebilir.
- NetBIOS genel olarak 3 amaçla kullanılır:
- İsim çözümlemek
- Datagram dağıtımı gerçekleştirmek
- Oturum hizmeti vermek
- Sızma testleri sırasında NetBIOS üzerinden gerçekleştirilebilecek çalışmalar aşağıdaki gibidir:
- NETBIOS kötüye kullanılarak bilgisayarın NETBIOS adı, MAC adresi, paylaşımlar, etki alanı adı, oturum açan kullanıcılar, parola politikaları,… elde edilebilir.
- DOS gerçekleştirilebilir.
- NETBIOS kötüye kullanılarak parola özetleri de elde edilebilir. Ayrıntılı bilgi için bakınız: LLMNR&NetBIOS – Lostar veya LLMNR&NetBIOS-BGA
- NetBIOS tablosundaki suffix kodları ve çalıştığını belirttiği servisler aşağıdaki gibidir:
- 01 ve 1D: Master Browser
- 20: Dosya sunucusu
- 03: Messenger servisi
- 00: Workstation servisi
- 1E: Browser Service Elections
- Nbtstat Aracı: NetBT (NetBIOS over TCP/IP) kullanarak mevcuttaki (önbellekteki) TCP/IP bağlantılarını ve protokol istatistiklerini görüntüler. Windows işletim sisteminde gömülü gelmektedir. Ayrıca uzak bilgisayarlar için de çalışabilmektedir. Örnek kullanımı: nbtstat -A 192.168.2.24
- NetBIOS Enumeration araçları: SuperScan, Hyena, Winfingerprint…
- SMB sürümleri ve kullanıldıkları işletim sistemleri:
- SMB1: Windows Server 2000/2003 ve Windows XP
- SMB2: Windows Server 2008 ve Windows Vista SP1
- SMB2.1: Windows Server 2008 R2 ve Windows 7
- SMB3: Windows Server 2012 ve Windows 8
SNMP Servisi
- SNMP (Simple Network Management Protocol); ağa bağlı cihazları (router, switch, bridge, yazıcı, sunucu, bilgisayar,…) yönetimi ve denetimi (sıcaklığı, performansı, internet hızı, çalışma süresi,…) için kullanılan bir protokoldür.
- SNMP varsayılan olarak UDP 161-162 portlarını kullanır. OSI 7. katmanda çalışır.
- SNMP 3 bileşenden oluşur:
- Ajan uygulama: Yönetilecek istemci uygulamalarda çalışır.
- Yönetici uygulama: Ajan uygulama ile Ağ yöneticisi arasında çalışarak ikisi arasındaki veri/komut iletimini sağlar.
- Ağ yönetim sistemi: Yönetici sistemde çalışır ve istemcileri toplu olarak izleme ve yönetmeye yarar.
- Yönetim Bilgi Birimleri (Management Information Base – MIB): İstemcilerin bilgisini tutan ve önceden tanımlanmış olan parametreleri saklayan birimdir. XML gibi ID’lerden oluşan (OID) bir hiyerarşik yapısı vardır. Örneğin 1.3.6.1.2.1.2 OID değeri, cihaz açıklamasıdır.
- SNMP’nin 3 sürümü vardır. SNMPv1, SNMPv2 ve SNMPv2c güvenilir değil (örneğin, trafik açık metin gider) iken SNMPv3’te ise şifreleme ve kimlik doğrulama vardır.
- SNMP topluluk isimleri (community name) varsayılan olarak 2 tanedir. Okuma işlemi için Public, okuma ve yazma işlemleri için Private kullanılır. Bu isimlerin karmaşık verilmesi tavsiye edilmektedir.
- SNMP konfigürasyon dosyası, Cisco VPN konfigürasyon dosyası (*.pcf uzantılı) içerisindeki parolayı (password-7) açık olarak elde edebilmek için Cain & Abel aracı kullanılabilir.
- Sızma testleri sırasında SNMP üzerinden elde edilebilecek bilgiler aşağıdaki gibidir:
- Ağ cihazları hakkında bilgi edinilebilir.
- Trafik istatistikleri, ARP, yönlendirme tabloları, VLAN bilgileri,… elde edilebilir.
- Cihaza özel bilgiler, kullanıcı erişim bilgileri, anahtarlar,… alınabilir.
- SNMP servisine karşı saldırılar ile ilgili ayrıntılı bilgi için bakınız: SMNP-Pentest-Full
- SNMP tespit / sorgu araçları: OpUtils, SNMPUtil, SNScan, Solarwinds IP Network Browser, SNMP Scanner, SNMP walk…
SNMP ile ilgili ayrıntılı bilgi için bakınız: BIDB-SNMP
DNS Servisi
- DNS (Domain Name System); etki alanı adını ve IP adresi arasında dönüşüm yapan hiyerarşik dağıtılmış bir servistir.
- DNS varsayılan olarak UDP 53 (sorguları çözümlemek için) ve TCP 53 (bölge transferleri için) portlarını kullanır. OSI 7. katmanda çalışır.
- Örnek DNS kayıtları:
- A: Host adının IP adresi
- PTR: IP adresinin alan adı
- NS: DNS sunucularının IP adreslerini
- MX: Mail sunucusu
- CNAME: Takma adı
- SRV: Servis adı
- SOA: Zone için birincil sunucuyu belirtir. Örnek kayıt; 200302028 3600 3600 604800 2400 (Version/SeriNo – Refresh – UpdateRetry – Expiry – MinTTL). Bu kayıt ile DNS kayıtlarındaki değişiklikler görülebileceğinden; DNS zehirlenmesi gibi bir saldırı için bilgi edinilebilir.
- DNS tespit / sorgu araçları: Belirtilen araçlar DNS sunucudan bilgi almaya yarar. Örnek:
- Nslookup Aracı:
- Bir etki alanının DNS sunucusunun tespit edilmesi: nslookup > server 8.8.8.8 > set type=ns > facebook.com
- Gelen tüm kayıtların çekilmesi: nslookup -query=any facebook.com
- Dig Aracı:
- Gereksiz komut ve bayrakların kaldırılarak gelen tüm kayıtların çekilmesi: dig +nocmd milliyet.com ANY +noall +answer
- Host Aracı:
- Mail sunucunun tespiti: host -t mx yahoo.com
- Diğer Araçlar:
- İnternet: Örnek:
- Nslookup Aracı:
- Zone (Bölge): DNS’teki belli bir etki alanındaki kayıtların bütünüdür.
- DNS’e yönelik saldırılar:
- Alan adı tespiti: Kaba kuvvet saldırısı ile etki alanına ait alan adları (A kayıtları) ve IP adresleri elde edilmeye çalışılır. AlanAdiListesi.txt dosyasına www,ftp,test,… gibi alan adlar varsa;
- for AlanAdi in $(cat AlanAdiListesi.txt);do host $IPAdresi.hedefsite.com.tr;done
- PTR tespiti: Kaba kuvvet saldırısı ile IP adresine veya IP bloğuna ait alan adları (A kayıtları) ve IP adresleri elde edilmeye çalışılır.
- for SonOktet in $(seq 1 255);do host 50.40.30.$SonOktet;done
- Bölge transferi: Bir bölge içerisindeki tüm kayıtlar elde edilebilir.
- SOA ID değeri düşük olan, yüksek olandan transfer etme talebinde bulunur.
- TCP 53’ten hizmet veriliyorsa gerçekleştirilebilir.
- Bölge transferi için kullanılablecek araçlar: nslookup, dig, sam spade, host,…
- Örnek komutlar:
- nslookup; server ns3.dnssunucu.com; set type=any; ls -d websitesi.com.tr
- dig @ns3.dnssunucu.com AXFR websitesi.com.tr
- host -t AXFR websitesi.com.tr ns3.dnssunucu.com
- host -l websitesi.com.tr ns3.dnssunucu.com
- nmap dnssunucusu.com -p 53 –script dns-zone-transfer.nse –script-args dnszonetransfer.domain=websitesi.com.tr
- Ayrıntılı bilgi için bakınız: @BölgeTransferi
- Bölge zehirleme: Birincil DNS sunucusu ele geçirilerek zone dosyası değiştirilir.
- DNS önbellek zehirleme
- Reflection DOS: Sahte sorgular ile cevap veremez duruma getirilir.
- Alan adı tespiti: Kaba kuvvet saldırısı ile etki alanına ait alan adları (A kayıtları) ve IP adresleri elde edilmeye çalışılır. AlanAdiListesi.txt dosyasına www,ftp,test,… gibi alan adlar varsa;
DNS ile ilgili ayrıntılı bilgi için bakınız: Btrisk-DNS
SMTP Servisi
- SMTP (Simple Mail Transfer Protocol); elektronik posta göndermeye/iletmeye yarar.
- Not: Eposta almak için ise IMAP veya POP kullanılır.
- SMTP varsayılan olarak TCP 25 ve 587 portlarını kullanır.
- Sızma testleri sırasında SMTP üzerinden elde edilebilecek bilgiler aşağıdaki gibidir:
- Herkese açık relay mail sunucuları tespit edilebilir.
- SMTP’nin sağladığı yerleşik (built-in) komutlar ile bir kullanıcının var olup olmadığı anlaşılabilir. SMTP’nin bu 3 komutu aşağıdaki gibidir:
- VRFY: Kullanıcıyı doğrular. Örneğin aşağıdaki komutların çıktısı sonucunda; “Ahmet” kullanıcısı yoksa “550 User Unknown” gibi varsa “250 Super-User <Ahmet@ornek.com.tr>” gibi bir sonuçla karşılaşılır.
- telnet 192.168.24.6 25
HELO mail.ornek.com.tr
VRFY Ahmet - nc -nv 192.168.24.6 25
VRFY Ahmet
VRFY OlmayanKullanici
- telnet 192.168.24.6 25
- EXPN: Mail listesini (veya Alias’ı) ve üyelerini doğrular.
- RCPT TO: Mesajın alıcısını tanımlar.
- VRFY: Kullanıcıyı doğrular. Örneğin aşağıdaki komutların çıktısı sonucunda; “Ahmet” kullanıcısı yoksa “550 User Unknown” gibi varsa “250 Super-User <Ahmet@ornek.com.tr>” gibi bir sonuçla karşılaşılır.
- SMTP tespit / sorgu araçları: NetScan Tools Pro,…
NTP Enumaration
- NTP (Network Time Protocol); ağdaki cihazların zamanını senkronize etmeye yarar.
- NTP varsayılan olarak UDP 123 portunu kullanır. OSI 7. katmanda çalışır.
- Sızma testleri sırasında NTP üzerinden elde edilebilecek bilgiler aşağıdaki gibidir:
- NTP sunucusuna bağlanan istemcilerin bilgileri (IP adresi, adı, işletim sistemi,…) elde edilebilir.
- NTP tespit / sorgu araçları: ntptrace, ntpdc, ntpq
LDAP Enumeration
- LDAP (Light Weight Directory Access Protocol); Microsoft Aktif Dizin, OpenLDAP gibi dağıtık dizin servislerine erişim için kullanılır.
- LDAP varsayılan olarak TCP 389 portunu kullanır. OSI 7. katmanda çalışır.
- Sızma testleri sırasında LDAP üzerinden elde edilebilecek bilgiler aşağıdaki gibidir:
- Dağıtık dizin servislerinde bulunan kullanıcı adları, adresler, iletişim detayları,… elde edilebilir.
- LDAP tespit / sorgu araçları: Active Directory Explorer, Active Directory Domain Services Management Pack, LDAP Administration Tool, Softerra LDAP Administrator
UNIX/LINUX Enumaration Araçları
- finger: Sistem ve kullanıcı hakkında bilgi verir. Kullanıcıların ev (home) dizini, oturum açma zamanı, boş zamanı, ofis/soyadı gibi özellikleri, mail alma/okuma zamanları… gibi bilgileri verir. Örnek kullanımı: finger admin@192.168.3.65
- rpcclient: Kullanıcı adlarını verir.
- rpcinfo: RPC bilgileri elde edilir.
- showmount: NFS üzerinden paylaşım bilgilerini verir.
- enum4linux: SAMBA üzerinden Linux/Windows sistemlerden bilgi elde etmeye yarar. Grup üyelikleri, paylaşımlar, etki alanı, politikalar,…
Windows Enumaration Araçları
- psexec: Uzak veya yerel bilgisayarda proses çalıştırmaya yarar. Ayrıntılı bilgi için bakınız: https://www.siberportal.org/tag/sysinternals-psexec-tool/
- psgetsid: Windows nesnelerine ait SID bilgilerini verir.
- pskill: Uzak veya yerel bilgisayarda çalışan prosesleri sonlandırır.
- pslist: Uzak veya yerel bilgisayardaki prosesleri, CPU veya bellek istatistiklerini verir.
- psloggedon: Oturum açan kullanıcıları listeler.
- psloglist: Olay kayıtlarını listeler.
- sid2user / user2sid: Kullanıcı ve SID değişimini sağlar.
Enumaration Önlemleri
- Gereksiz servisler (NETBIOS gibi) veya özellikler (SMTP’de open-relay, DNS’te alan adı transferi,… gibi) kapatılmalıdır. Kapatılamıyorsa, sadece belli IP’lerden erişilecek şekilde kısıtlanmalıdır.
- Güvenlik duvarları kullanılarak erişimler sınırlandırılmalıdır.
- Şifreli protokoller (SNMP v3, LDAPs, Kerberos, IPSec tünelleme…) tercih edilmelidir.
- Varsayılan (SNMP için public/private topluluk isimleri) veya gereksiz (DNS için HINFO ve diğerleri) değerler/bilgiler bulunmamalıdır.
- SMTP sunucuları gönderen mail adresini doğrulamalıdır.
- Loglama ve alarm mekanizmaları oluşturulmalıdır.
Diğer Araçlar
- İşletim sistemi fingerprinting araçları: SolarWinds, Netcraft, HTTrack, Nmap, Queso
- Sistem enumaration araçları: DumpSec, NAT, Enum,…
CEH v9 Eğitimi Konu Başlıkları
- Enumeration Concepts
- What is Enumeration?
- Techniques for Enumeration
- Services and Ports to Enumerate
- NetBIOS Enumeration
- NetBIOS Enumeration Tool
- SuperScan
- Hyena
- Winfingerprint
- NetBIOS Enumerator and Nsauditor Network Security Auditor
- Enumerating User Accounts
- Enumerating Shared Resources Using Net View
- NetBIOS Enumeration Tool
- SNMP Enumeration
- Working of SNMP
- Management Information Base (MIB)
- SNMP Enumeration Tool
- OpUtils
- Engineer’s Toolset
- SNMP Enumeration Tools
- LDAP Enumeration
- LDAP Enumeration Tool: Softerra LDAP Administrator
- LDAP Enumeration Tools
- NTP Enumeration
- NTP Enumeration Commands
- NTP Enumeration Tools
- SMTP Enumeration
- SMTP Enumeration Tool: NetScanTools Pro
- Telnet Enumeration
- DNS Zone Transfer Enumeration Using NSLookup
- Enumeration Countermeasures
- SMB Enumeration Countermeasures
- Enumeration Pen Testing
Kaynak: