TOR ağı üzerinden hedefe erişim ihtiyaçlarından bazıları aşağıdaki gibi sıralanabilir:
- HTTrack ile bir URL içeriğini indirebilme
- NMAP ile ağ taraması gerçekleştirebileme
- Nessus ile zafiyet taraması gerçekleştirebilme
- Sqlmap ile veritabanı sunucusuna erişebilme
- Metasploit ile istismar işleminin gerçekleştirilmesi
Belirtilen amaçlarla TOR ağına dahil olma ihtiyacı doğabilir. TOR ile çalışma konusu 3 bölümde incelenecektir.
- TOR web gezgini kurulacak ve internete TOR ağı üzerinden çıkılacaktır.
- TOR Socks vekil sunucu aracı kurulacaktır.
- SOCKS desteği olan ve olmayan uygulamalar TOR ağı üzerinden kullanılacaktır.
1) TOR Web Gezgininin Yüklenmesi
TOR web gezgininin TOR Projesi‘nin web sayfasından indirilebilir.
https://www.torproject.org/download/download.html.en
İndirilen sıkıştırılmış dosya dışarıya çıkarılır.
cd Downloads
ls -la
tar -xJf tor-browser-linux32-6.0.5_en-US.tar.xz
ls -la
cd tor-browser_en-US/
ls -la
“start-tor-browser.desktop” çalıştırıldığında bir hata mesajı alınmaktadır.
./start-tor-browser.desktop
Hatanın sebebi; Browser klasöründeki “start-tor-browser.desktop” dosyasındaki bir “if” bloğudur. “root” kullanıcısı ile TOR çalıştırılamamaktadır.
Kullanıcı ID’sinin “1” olduğunda hata vermesi sağlandığında (veya “if” bloğu kaldırıldığında) uygulama çalışacaktır.
Böylece TOR gezgini başlatılabilmiştir.
./start-tor-browser.desktop
Artık, TOR ağına dahil olunabilir.
Web gezgini ile internete erişim sağlandığında ISP’den kiralanan/alınan IP adresi (Mavi renkli: 78.185.138.1) ile dışarı çıkılırken; TOR gezgini ile internete erişim sağlandığında TOR ağındaki bir uç üzerinden (Kırmızı renkli: 176.10.99.205) dışarı çıkıldığı görülmektedir.
https://www.whatismyip.com
2) TOR SOCKS Vekil Sunucusunun Yüklenmesi
Kali üzerinde kurulum aşağıdaki gibidir.
apt-get install tor
Ancak depo listesi boş olabildiği için depo kaynak listesine (“/etc/apt/sources.list”) TOR deposunun eklenmesi gerekebilir.
deb http://deb.torproject.org/torproject.org wheezy main
Not: Kali dağıtımı için “wheezy” kullanılmaktadır. Ubuntu 14 için trusty, Ubuntu 15 için wily, Ubuntu 16 için xenial,… kullanılabilir.
Kaynak listesi ayarlandıktan sonra, yazılım deposunun imza anahtarları sisteme tanıtılır.
gpg –keyserver keys.gnupg.net –recv 886DDD89
gpg –export A3C4F0F979CAA22CDBA8F512EE8CBC9E886DDD89 | apt-key add –
Anahtarların eklenme durumu kontrol edilir.
apt-key list
Repository güncellenir.
apt-get update
TOR indirilir.
apt-get install deb.torproject.org-keyring
apt-get install tor
Not: Bazı işletim sistemlerinde ise TOR depolardan sorunsuz olarak indirilebilmektedir.
apt-get install tor
Bu depo örneklerinden birisi aşağıdaki gibidir.
cat /etc/apt/sources.list
TOR kurulduktan sonra; TOR servisi başlatılabilir.
/etc/init.d/tor status
/etc/init.d/tor start
/etc/init.d/tor status
3) TOR Socks Vekil Sunucusunun Kullanılması
TOR varsayılan olarak 9050 portundan hizmet verir. Bu port kullanılmayan başka bir port ile değiştirilebilir.
cat /etc/tor/torrc | grep 9050
netstat -nlpt
Iceweasel/Firefox web gezginini TOR ağından çıkarmak için, ağ ayarı yapılandırılır.
Edit > Preferences > Advanced > Network > Settings > Mabuel proxy configuration > SOCKS Host / Port: 127.0.0.1 / 9050
Not: TOR, bir SOCKS vekil uygulaması olup HTTP vekil uygulaması değildir. Bu sebeple SOCKS vekili olarak TOR gösterilmiştir.
Böylece, internete çıkış IP adresinin değiştiği görülmektedir.
https://www.iplocation.net/find-ip-address
SOCKS desteği olmayan uygulamaları çalıştırabilmek için, Linux ProxyChains, TorSocks, Privoxy… gibi uygulamalar kullanılabilir. Böylece, Linux işletim sistemindeki bir aracın, mevcut vekil sunucu üzerinden geçerek çalışması sağlanır. Bu amaçla, ProxyChains/Torsocks gibi uygulamalar (Kali’de kurulu olarak gelir) yüklü değilse kurulur ve yapılandırılır. Örneğin, proxychains konfigürasyon dosyasında (Kali için /etc/proxychains.conf) SOCKS4 sunucusunun erişim bilgileri yazılır. TOR aracı kurulduğunda, aşağıdaki yapılandırmanın otomatik olarak gerçekleşmiş olduğu görülmektedir.
socks4 127.0.0.1 9050
Böylece proxychains uygulaması ile belirtilen araç, TOR ağı üzerinden çalışır. Tor ağı üzerinden nmap aracı ile tarama yapıldığında, hedef saldırganın gerçek IP adresini değil, TOR çıkış IP adresini (93.115.95.202) görür.
Saldırgan Komut Satırı: proxychains nmap -sT –open -p 24680 <Hedef>
Saldırgan Web Gezgini: IP sorgulaması –> 93.115.95.202
Kurban Komut Satırı: tcpdump port 24680 -n
Kaynak:
https://www.linux.com/blog/beginners-guide-tor-ubuntu
https://www.bgasecurity.com/2013/03/pentest-calsmalarnda-socks-ve-http/