BYPASSING HTTPS
Önceki makalelerimizde bettercap kullanarak ortadaki
adam olup, aradaki tüm trafiği şifreli ve şifresiz olarak dinleyebiliyorduk.
Hatta senaryomuzda http protokolü
ile bir siteye bağlanan kurbanımızın kullanıcı adını ve şifresini ele
geçirmiştik. Peki https protokolü
ile şifreli trafik yapan kullanıcıya nasıl bir saldırı yapabilirdik?
Aşağıda temsili olarak gösterilen hacker client ve
gateway arasına geçerek her iki cihazı da kandırıyor. Buna ARP Spoofing adını
veriyorduk
Herşeyden önce bu iki temel kavramın (http - https) ne olduğunu
öğrenelim.
HTTP (Hypertext Transfer Protocol):
• HTTP, web
tarayıcıları ve web sunucuları arasında veri alışverişi için kullanılan bir
protokoldür.
• Web
sayfalarını, resimleri, videoları ve diğer içerikleri internet üzerinden
iletmek için kullanılır.
• HTTP,
verileri şifrelemez, bu nedenle veriler açık bir şekilde iletilir ve potansiyel
olarak izlenebilir veya manipüle edilebil
HTTPS (Hypertext Transfer Protocol Secure):
• HTTPS,
HTTP'nin güvenli bir sürümüdür.
• Veri
alışverişini şifrelemek için SSL/TLS (Secure Sockets Layer/Transport Layer
Security) protokollerini kullanır.
• Bu, web
tarayıcıları ve web sunucuları arasındaki iletişimi güvenli hale getirir ve
verilerin üçüncü şahıslar tarafından okunmasını veya değiştirilmesini önler.
• Özellikle
hassas bilgilerin (örneğin, şifreler, kredi kartı bilgileri) iletildiği web
siteleri için önemlidir.
Biz Ne Yapacağız?
Https olarak
gelen trafiği devre dışı bırakarak (SSL Stripping) http’ye düşüreceğiz. Kurban’ın şifresiz
trafikteki verilerini yakalamaya çalışacağız
Daha öncesinde tek tek açıklamalı olarak eklediğimiz komutları bu sefer
bir cap oluşturarak çalıştıracağız.
İlk önce kali makinemizdeki leafpad’i açarak başlayalım.
Ardından önceki makalemizde yazdığımız komutlar benzer komutları
ekledikten sonra farklı olarak sadece set.net.sniff.local
true olan net.sniff’in bir parametresini aktif edeceğiz. Bu parametre ile yerel ağ trafiğinin
dinlenmesini sağlıyoruz.
Leafpad’deki dosyamızı komutları yazdıktan sonra caplet dosyası şeklinde
kaydetmek için spoof.cap diyerek hedef klasöre kaydettik.
İfconfig komutu ile bağlı olduğumuz internet
arayüzünü kontrol ediyoruz.
bettercap iface -eth0
-caplet /root/spoof.cap
Bağlı olduğumuz arayüzü ve sonrasında çalıştıracağımız .cap uzantılı dosyamızın hedef klasörünü
yazıyoruz ve enter’a basıp devam ediyoruz.
Help komutumuz ile modüllerimizin çalışıp çalışmadığını gözlemliyoruz.
Moduüllerimizin hepsi aktif bir şekilde çalışmakta.
Ardından caplets.show komutu ile local deki tüm caplet dosyalarımızı ve bulunduğu konumları
görmekteyiz. Önceden indirilmiş olan caplet dosyamızı çalıştırmak için sadece hstshijack/hstshijack yazmamız yeterlidir(hs + Tab tuşuna basarak işlemi
hızlandırabilirsiniz.)
Ardından böyle bir ekran karşılayacak burada local den yürüteceğimiz
domain trafikleri ve ip adresimiz gözükmektedir. DNS SPOOF
TEST ZAMANI !
Şimdi hedef makinemiz olan güncel Windows 10 ve Google Chrome
tarayıcısına sahip bilgisayarımıza gidiyoruz. arp -a komutu ile ARP Zehirlenmesine maruz kaldığımızı görmekteyiz.
Şimdi https içeren Linkedin’e doğru ilerleyelim.(HSTS içeren sitelerde işe yaramayabilir.)
Burada bağlandığımızda ilk farkettiğimiz olay güncel hayatta devamlı
olarak tarayıcımızdan linkedin.com yazdığımızda bizi varsayılan olarak https:// bağlantısı ile ulaştırmasıdır. Ama görüntüde hiç te öyle değil :(
Kullanıcının bu sitede login olması için giriş bilgilerini doldurup,
oturum aç seçeneğine tıklıyor.
https trafiğini http üzerine çekerek (SSL Stripping – Bypass Https) kurbanın Linkedin kullanıcı adı ve şifresini ele geçirdik.
PEKI HSTS (HTTP Strict Transport
Security) sahip bir sitede işe yaracak mı
deneyelim !
Ne yazıkki HSTS,devamlı olarak web tarayıcılarına sadece https protokolü üzerinden
bağlanmasını sağlıyor.
Peki bunlar için başka bir yöntem yok mu??
Bir sonraki makalemde
cevabını bekleyiniz 😊
***Bu makalede açıklanan saldırı teknikleri, yalnızca siber güvenlik
uzmanlarının ve etik hacker'ların yetkili oldukları sistemlerde güvenlik
testleri yapmaları amacıyla sunulmuştur. Bu tekniklerin yetkisiz kullanımı,
ciddi yasal sonuçlar doğurabilir. Herhangi bir sisteme yetkisiz erişim
sağlamak, ilgili yasa ve yönetmeliklere aykırıdır. Bu nedenle, bu bilgileri
kullanmadan önce gerekli yasal izinleri aldığınızdan emin olun. Yazar, bu
bilgilerin yasa dışı veya etik olmayan amaçlarla kullanılmasından dolayı sorumluluk
kabul etmemektedir.