Sızma Testlerinde ExifTool Aracı ile Bilgi Toplama

Exiftool, dosya metadata verileri üzerinden bilgi toplamaya yarayan adli bilişim analizlerinde ve sızma testlerinde kullanılan bir araçtır. Bu yazıda Exiftool tarafından sunulan temel hizmetler incelenecektir.

Kurulumu

Exiftool, Kali üzerinde hazır olarak gelmektedir. Bunun yanında aşağıdaki bağlantı üzerinden de indirilebilir. Sitesinden de görüldüğü üzere bir çok dosya tipinde analiz işlemi gerçekleştirilebilmektedir.

http://www.sno.phy.queensu.ca/~phil/exiftool/

information-gathering-by-using-exiftool-for-penetration-tests-01

 

İndirilen sıkıştırılmış dosya içerisinde gerekli kaynak kodlar bulunmaktadır.

ls -la
gzip -dc Image-ExifTool-10.21.tar.gz | tar -xf –
ls
ls Image-ExifTool-10.21

information-gathering-by-using-exiftool-for-penetration-tests-02

 

Bilgi Toplama

Exiftool aracının en sık kullanım alanlarından birisi de fotoğraf/resim analizidir. Çekilen bir fotoğrafın çekildiği yerleşke bilgisi (eğer GPS özelliği açıldıysa ve bir takım ayarlar etkinse) , dosyanın oluşma tarihi, hangi cihaz ile çekildiği gibi bir takım bilgiler elde edilebilir. Örneğin aşağıdaki fotoğraf analiz edilmek istensin.

information-gathering-by-using-exiftool-for-penetration-tests-03

 

Bu fotoğrafın exiftool aracı ile analiz işlemi aşağıdaki gibi gerçekleştirilebilir.

cd Image-ExifTool-10.21
./exiftool /root/Desktop/resim.jpg

information-gathering-by-using-exiftool-for-penetration-tests-04

 

Analiz sonucu aşağıdaki gibidir. Sonuçlardan da görüldüğü gibi, bu fotoğraf Apple Iphone 4 bir telefon ile 4 Eylül 2011 tarihinde 38 deg 54′ 35.40″ N, 1 deg 26′ 19.20″ E GPS lokasyonunda çekilmiştir.

ExifTool Version Number : 10.21
File Name : resim.jpg
Directory : /root/Desktop
File Size : 140 kB
File Modification Date/Time : 2016:07:01 09:53:28+03:00
File Access Date/Time : 2016:07:01 00:08:28+03:00
File Inode Change Date/Time : 2016:07:01 00:08:14+03:00
File Permissions : rw-r–r–
File Type : JPEG
File Type Extension : jpg
MIME Type : image/jpeg
JFIF Version : 1.01
Exif Byte Order : Big-endian (Motorola, MM)
Make : Apple
Camera Model Name : iPhone 4
Orientation : Horizontal (normal)
X Resolution : 72
Y Resolution : 72
Resolution Unit : inches
Software : 4.3.5
Modify Date : 2011:09:04 12:51:11
Exposure Time : 1/3016
F Number : 2.8
Exposure Program : Program AE
ISO : 80
Exif Version : 0221
Date/Time Original : 2011:09:04 12:51:11
Create Date : 2011:09:04 12:51:11
Components Configuration : Y, Cb, Cr, –
Shutter Speed Value : 1/3016
Aperture Value : 2.8
Metering Mode : Multi-segment
Flash : No Flash
Focal Length : 3.9 mm
Flashpix Version : 0100
Color Space : sRGB
Exif Image Width : 1024
Exif Image Height : 765
Sensing Method : One-chip color area
Custom Rendered : Unknown (4)
Exposure Mode : Auto
White Balance : Auto
Scene Capture Type : Standard
GPS Latitude Ref : North
GPS Longitude Ref : East
GPS Altitude Ref : Above Sea Level
GPS Time Stamp : 11:07:47
GPS Img Direction Ref : True North
GPS Img Direction : 82.12307692
GPS Date Stamp : 2011:09:04
Profile CMM Type : Lino
Profile Version : 2.1.0
Profile Class : Display Device Profile
Color Space Data : RGB
Profile Connection Space : XYZ
Profile Date Time : 1998:02:09 06:49:00
Profile File Signature : acsp
Primary Platform : Microsoft Corporation
CMM Flags : Not Embedded, Independent
Device Manufacturer : IEC
Device Model : sRGB
Device Attributes : Reflective, Glossy, Positive, Color
Rendering Intent : Perceptual
Connection Space Illuminant : 0.9642 1 0.82491
Profile Creator : HP
Profile ID : 0
Profile Copyright : Copyright (c) 1998 Hewlett-Packard Company
Profile Description : sRGB IEC61966-2.1
Media White Point : 0.95045 1 1.08905
Media Black Point : 0 0 0
Red Matrix Column : 0.43607 0.22249 0.01392
Green Matrix Column : 0.38515 0.71687 0.09708
Blue Matrix Column : 0.14307 0.06061 0.7141
Device Mfg Desc : IEC http://www.iec.ch
Device Model Desc : IEC 61966-2.1 Default RGB colour space – sRGB
Viewing Cond Desc : Reference Viewing Condition in IEC61966-2.1
Viewing Cond Illuminant : 19.6445 20.3718 16.8089
Viewing Cond Surround : 3.92889 4.07439 3.36179
Viewing Cond Illuminant Type : D50
Luminance : 76.03647 80 87.12462
Measurement Observer : CIE 1931
Measurement Backing : 0 0 0
Measurement Geometry : Unknown
Measurement Flare : 0.999%
Measurement Illuminant : D65
Technology : Cathode Ray Tube Display
Red Tone Reproduction Curve : (Binary data 2060 bytes, use -b option to extract)
Green Tone Reproduction Curve : (Binary data 2060 bytes, use -b option to extract)
Blue Tone Reproduction Curve : (Binary data 2060 bytes, use -b option to extract)
XMP Toolkit : XMP Core 5.1.2
Creator Tool : 4.3.5
Date Created : 2011:09:04 12:51:11
Image Width : 800
Image Height : 598
Encoding Process : Baseline DCT, Huffman coding
Bits Per Sample : 8
Color Components : 3
Y Cb Cr Sub Sampling : YCbCr4:2:0 (2 2)
Aperture : 2.8
GPS Altitude : 0 m Above Sea Level
GPS Date/Time : 2011:09:04 11:07:47Z
GPS Latitude : 38 deg 54′ 35.40″ N
GPS Longitude : 1 deg 26′ 19.20″ E
GPS Position : 38 deg 54′ 35.40″ N, 1 deg 26′ 19.20″ E
Image Size : 800×598
Megapixels : 0.478
Shutter Speed : 1/3016
Focal Length : 3.9 mm
Light Value : 14.9

 

GPS pozisyon bilgisi Google Maps üzerinden incelendiğinde fotoğrafın bir marina yakınlarında çekildiği görülmektedir.

information-gathering-by-using-exiftool-for-penetration-tests-05

 

Bilgi Değiştirme

Exiftool ile bazı bilgiler değiştirilebilir. Örneğin aşağıdaki komutlar ile “resim.jpg” adlı fotoğrafın “CreatorTool, GPSPosition, CreationDate, Orientation” adlı 4 bilgilerinden CreatorTool bilgisi değiştirilmiş ve CreateDate bilgisi kaldırılmıştır. Bu işlemler sırasında dosyanın özetinin (md5 değerinin) değiştiği görülmüştür. Bunun yanında aşağıda da görüldüğü gibi “-all” parametresi ile de tüm veriler sıfırlanabilmektedir.

ls -la /root/Desktop/resim*
./exiftool -CreatorTool -GPSPosition -CreationDate -Orientation /root/Desktop/resim.jpg
md5sum /root/Desktop/resim.jpg
./exiftool -CreatorTool=”4.7.3″ /root/Desktop/resim.jpg
./exiftool -CreateDate= /root/Desktop/resim.jpg
./exiftool -CreatorTool -GPSPosition -CreationDate -Orientation /root/Desktop/resim.jpg
ls -la /root/Desktop/resim*
md5sum /root/Desktop/resim.jpg
./exiftool -all= /root/Desktop/resim.jpg
./exiftool /root/Desktop/resim.jpg

information-gathering-by-using-exiftool-for-penetration-tests-06

 

Not: Mevcut bilgilerin değiştirmesinin yanında bazı ek bilgiler (“Comment” gibi) de eklenebilir.

 

İnternet Üzerinden Exiftool

Bunun yanında belirli bir URL’deki veya dizindeki bir dosya verilerek de analiz işlemi gerçekleştirilebilir.

http://regex.info/exif.cgi

Yeni adresi: http://exif.regex.info/exif.cgi

information-gathering-by-using-exiftool-for-penetration-tests-07

 

Bu şekilde analizde de benzer sonuçlar elde edilmiştir.

information-gathering-by-using-exiftool-for-penetration-tests-08

 

Bunun yanında analiz sonucunun kategorilendirilmiştir.

 

information-gathering-by-using-exiftool-for-penetration-tests-09

 

Devamı aşağıdaki gibidir.

information-gathering-by-using-exiftool-for-penetration-tests-10

 

Kaynak:

https://exposingtheinvisible.org/resources/obtaining-evidence/image-digging

 

 

Yazarın Bilgileri

Ertuğrul BAŞARANOĞLU
Ertuğrul BAŞARANOĞLU

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Kullanabileceğiniz HTLM etiketleri ve özellikleri: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

Bu sayfada incelenen konulardan doğacak sorunlar kişinin kendi sorumluluğundadır.