Category Archives: Linux

citrix,

Hello to all of you. 🙂 Introduction: The recently discovered Citrix Bleed vulnerability (CVE-2023-4966) poses a serious threat to computer security. Stemming from a security flaw in Citrix products, this vulnerability has the potential to allow malicious actors to infiltrate systems and gain access to sensitive information. Vulnerability Description: Citrix Bleed points to a specific security vulnerability in Citrix products. This flaw, by permitting unauthorized access, enables attackers to breach systems and access user data. Exploiting this vulnerability, adversaries can infiltrate corporate networks and compromise confidential information. CVE-2023-4966 Details: The Citrix Bleed vulnerability is identified by the CVE-2023-4966 number. Originating from a code weakness in specific Citrix products, Citrix recommends users promptly address this issue by applying security patches. Affected Products/Versions: The Citrix Bleed vulnerability impacts specific Citrix products. The following versions of NetScaler ADC and Gateway devices are affected by this security flaw: NetScaler ADC and NetScaler Gateway 14.1-pre-14.1-8.50…

Read more

This vulnerability causes command injection by mismanaging a $file =~ /\|$/ check in lib/Image/ExifTool.pm in ExifTool prior to 12.38. #!/usr/bin/python3 from pwn import * import base64 import sys class ExploitExiftools: def __init__(self,ip,port): self.ip = ip self.port = port self.p = log.progress(“”) def printBanner(self): print(“”” _____ __ __ ______ ___ ___ ___ ___ ___ ____ ___ ____ _____ / ____|\ \ / /| ____| |__ \ / _ \|__ \ |__ \ |__ \ |___ \ / _ \|___ \ | ____| | | \ \ / / | |__ ______ ) || | | | ) | ) |______ ) | __) || (_) | __) || |__ | | \ \/ / | __||______|/ / | | | | / / / /|______|/ / |__ < \__, ||__ < |___ \ | |____ \ / | |____ / /_ | |_| |/ /_ / /_ / /_ ___) |…

Read more

Hepinize selamlar. 🙂 Bu makalemde sizlere Linux sistemler üzerinde olay müdahale süreçleri sırasında bilinmesi gereken aşağıdaki komutlardan bahsedeceğim; user account komutları, log girdi komutları, sistem kaynakları, servisler, processler, network ayarları komutları Ve olay müdahalesi sırasında bu konumlarda yer alan anormal durumların nasıl tespit edileceği konularına değineceğiz. Sistemler üzerinde herhangi bir saldırıyı tespit edebilmek, Incident Response açısından çok önemli bir adımdır. Incident Response adımları çok geniştir. Bu nedenle küçük adımlarla başlamak daha iyidir. Olay müdahalesi gerçekleştirirken her zaman saldırganların ihlal edebileceğini düşündüğünüz alanlara odaklanmamız gerekmektedir. Bu şekilde olay müdahalesi sırasında saldırıları tespit etmek oldukça kolaylaşmaktadır. Ben de bu makalemde Linux Sistemlerde temel olarak olay müdahalesinin nasıl gerçekleştirildiği konusuna odaklanacağım. Şimdiden iyi okumalar. Olay Müdahalesi Nedir? Olay müdahalesi, bir bilgisayar veya ağ güvenliği olayları meydana geldiğinde öncesinde ya da anında gerçekleştirilen eylem planı olarak tanımlanmaktadır. Bu nedenle olay müdahalesi yapacak kişilerin sistemler üzerinde gerçekleştirilen normal durumları bilmesi çok önemlidir. Normal durumları bilmesi…

Read more

Hepinize merhabalar, yeni makalemde sizlere Host tabanlı bir saldırı tespit sistemi olan Wazuhtan bahsettim. Umarım faydalı olur. 🙂   Wazuh Nedir?  Wazuh açık kaynaklı bir Host Detection System (HIDS) sistemidir. Wazuh, tehdit algılama, bütünlük izleme, olay yanıtı ve uyumluluk için ücretsiz, açık kaynaklı ve kurumsal kullanıma hazır bir güvenlik izleme çözümüdür. Wazuh, güvenlik verilerini toplamak, toplamak, indekslemek ve analiz etmek için kullanılır ve kuruluşların izinsiz girişleri, tehditleri ve davranışsal anormallikleri tespit etmesine yardımcı olur. Wazuh, Windows kayıt defteri izleme, rootkit tespit etme, dosya bütünlük denetimi yapma, anlık olarak uyarı ve response gibi özelliklere sahiptir. Wazuh Dağıtım Türleri Wazuh için iki farklı dağıtım seçeneği mevcuttur: Hepsi bir arada dağıtım : Wazuh ve Elasticsearch için Açık Dağıtım aynı ana bilgisayara kurulur. Dağıtılmış dağıtım : Her bileşen, tek düğümlü veya çok düğümlü bir küme olarak ayrı bir ana bilgisayara kurulur. Bu dağıtım türü, ürünün yüksek düzeyde kullanılabilirliğini ve ölçeklenebilirliğini sağlar ve geniş çalışma ortamları için uygundur. Wazuh…

Read more

Hepinize merhabalar yeni makalemde sizlere son birkaç gündür çok fazla konuşulan bir zafiyetten bahsedeceğim. Umarım faydalı olur. 🙂 Remote Code Execution (RCE) CVE-2021-44228 kodu ile yayınlanan zafiyet, kötü niyetli kişilerin Apache Log4j bulunan sistemleri Remote Code Execution (RCE) ile ele geçirmesine imkan tanımaktadır. Uzaktan kod çalıştırma olarak tabir edilen RCE, kötü niyetli kişilerin sistemde tam erişim yetkisi elde etmesini sağlamaktadır. Log4j Nedir? Log4j Apache Software Foundation ın geliştirmiş olduğu bir loglama kütüphanesidir.  Java programcıları tarafından kullanılmaktadır. Log4j isteğe göre seviye bazlı loglama yapar ve Java kullanan bir çok  uygulama içerisinde yer almakta ve kullanılmaktadır. Bu zafiyetin diğer zafiyetlerden önemi ise Log4j’nin bir kütüphane olmasıdır. Bu nedenle bir çok uygulama ve program bu zafiyetten etkilenmektedir. Örneğin; Bir uygulamada çıkan bir zafiyet sadece bu uygulamayı etkiliyorsa bu uygulama üzerinde bir  yama yapılabilir ve zafiyetin sömürülmesinin önüne geçilir. Ancak Log4j bir kütüphane olduğu için birden fazla uygulamayı etkileyerek çok geniş bir saldırı yüzeyi olmasına…

Read more

Hepinize Merhabalar. 🙂 Bu makalemde sizlere sanallaştırma üzerine nasıl T-POT honeypot kurulumunu yapacağınızdan ve buradaki logları inceleyeceğinizden bahsedeceğim. Bal Küpü (Honeypot) Nedir? Bal küpü bir sistemi ele geçirmeye çalışan ya da sistem hakkında bilgi toplamaya çalışan saldırganları tuzağa düşürmeyi amaçlayan sistemlerdir. Bal küpleri içerisinde bulundukları ağın bir parçasıymış gibi görünen bir bilgisayar veya sunucu olabilmektedir. Honeypotlar saldırganlara hedef bir cihazmış gibi görünen ancak izole edilmiş olarak saldırganların hareketlerini izlemeyi amaçlayan önemli bir kaynaktır. T-POT Honeypot T-POT Debian tabanlı, birden fazla honeypot aracını yapılandırılmış halde içerisinde barındıran Docker altyapısıyla servise sunulduğu honeypot sistemi bütünüdür. T-POT özellikleri şu şekilde sıralanabilir; Saldırganlar tarafından portların taranması sonucunda bu saldırganlara ait araçlar veya IP tespit edilmesi sonucunda istihbarat veritabanı oluşturulabilir. Saldırganların sistemde denediği kullanıcı adı, parola vb. tespit edilebilir ve veritabanı oluşturulabilmektedir. İç networkte saldırganların yapacağı hareketler tespit edilebilir. Kurulum Gereksinimleri 8GB RAM 128GB SSD DHCP üzerinden ağ Çalışan, proxy olmayan bir internet sayfası Kurulum…

Read more

1,

Hepinize merhabalar. 🙂 Bu makalemde sizlere sanal makine üzerine kurmuş olduğum Security Onion ve Security Union üzerinde bulunan Kibana’yı kullanarak log izleme yapacağım. Burada sırası ile şunları yapacağım; nmap ile port taraması, hydra ile ssh servisine BruteForce saldırısı, security onion ve kibana üzerinde bu aktivitelerin tespiti ve logların izlenmesi. Yukarıdaki başlıklar dahilinde sırası ile işlemlerimi gerçekleştireceğim. Security Onion Nedir? Security Onion, saldırı tespiti, ağ güvenliğini izlemek ve log kayıt yönetimini sağlayan ücretsiz ve açık kaynaklı bir Linux dağıtımıdır. Elasticsearch, Logstash, Kibana, Snort, Suricata, Bro, Wazuh, Sguil, Squert, CyberChef, NetworkMiner ve diğer birçok güvenlik araçlarını içermektedir. Daha fazla detay ve bilgiye buradan ulaşabilirisiniz. İlk olarak aşağıdaki gibi sanal makinam üzerine kurulmuş Security Onion’u görüyorsunuz.   Nmap ile Port Taraması Burada nmap aracını kullanarak aşağıdaki komutu yazıyoruz. Burada hedef IP adresi kısmına tarama yapacağınız IP adresini yazabilirsiniz.   Servisleri taramamız sonucunda SSH servisinin açık olduğunu gördük. Ben burada SSH servisine BruteForce atağı…

Read more

Hydra aracı, Kali Linux üzerinde yüklü olarak gelen ve Brute-Force (kaba kuvvet) saldırıları yapmak için kullanılan bir saldırı aracıdır. Hydra aracı ile daha önceden oluşturulmuş bir wordlist kullanılarak deneme yanılma yöntemi yani Brute-Force atağı yapılır. Bunun sonucunda ise kimlik doğrulama isteyen giriş panellerini atlatmış oluruz. Örnek olarak bir giriş paneli sayfasında parolasını bilmediğimiz bir kullanıcının parolasını tek tek denemek yerine bir wordlist içerisine bu parolaları yazarak Hydra aracını kullanarak parolaları daha hızlı bir şekilde denetebiliriz. Hydra‘nın desteklediği protokoller: Asterisk, AFP, Cisco AAA, Cisco auth, Cisco enable, CVS, Firebird, FTP, HTTP-FORM-GET, HTTP-FORM-POST, HTTP-GET, HTTP-HEAD, HTTP-POST, HTTP-PROXY, HTTPS-FORM-GET, HTTPS-FORM-POST, HTTPS-GET, HTTPS-HEAD, HTTPS-POST, HTTP-Proxy, ICQ, IMAP, IRC, LDAP, MEMCACHED, MONGODB, MS-SQL, MYSQL, NCP, NNTP, Oracle Listener, Oracle SID, Oracle, PC-Anywhere, PCNFS, POP3, POSTGRES, Radmin, RDP, Rexec, Rlogin, Rsh, RTSP, SAP/R3, SIP, SMB, SMTP, SMTP Enum, SNMP v1+v2+v3, SOCKS5, SSH (v1 and v2), SSHKEY, Subversion, Teamspeak (TS2), Telnet, VMware-Auth, VNC and XMPP. Hydra Kurulumu Hydra aracı Kali…

Read more

Günümüzde en çok kullanılan web sunucu türleri genel olarak Apache, ISS ve Nginx sunucu türleridir. APACHE Web Sunucusu ve Log Kayıtları  Açık kaynak kodlu, esnek, sağlam ve performanslı olduğu için Apache en çok tercih edilen web sunucu türleri arasında bulunmaktadır. Çok kapsamlı ve esnek loglama imkanına sahiptir. Apache Web Server da Error Log ve Access Log adlı iki günlük dosyası bulunmaktadır. Access Log (Erişim Logları):  Web sunucusu üzerinde yer alan internet sitesine gelen ziyaretçilerin kayıt altına alındığı günlük dosyasıdır. Kullanıcıların hangi dizinlere eriştiği, web sunucuların kullanıcılardan gelen isteklere nasıl yanıt verdiği ve ziyaretçilerin hangi tür web tarayıcı bilgilerini kullandığını ve bir çok farklı bilgilere buradan ulaşabiliriz. Erişim günlüğünün biçimi son derece yapılandırılabilir. Erişim günlüğünün konumu ve içeriği CustomLog yönergesi tarafından kontrol edilir . Varsayılan apache erişim günlüğü dosyası konumu:  /var/log/httpd/access_log: RHEL / Red Hat / CentOS / Fedora Linux Apache erişim dosyası konumu bu günlük içerisinde bulunmaktadır. /var/log/apache2/access.log: Debian / Ubuntu Linux Apache erişim günlüğü…

Read more

0,

Hepinize Merhabalar. 🙂 Bu makalemde sizlere Linux çekirdeğinin son sürümünü kullanarak bunu derlemekte sorun yaşayanlar için nasıl derlenebileceğinden bahsedeceğim. Bunun için gerekli olan bilgiler ve komutlara değineceğim. Özel bir çekirdeği derlemenin avantaj ve dezavantajları bulunmaktadır. Ben yazımın devamında Linux çekirdeğinin 5.12.12 sürümünün Ubuntu üzerinde derlenmesinden adım adım bahsedeceğim. Bunun için adımlarımız sırasıyla şöyledir: kernel.org‘dan en son çekirdeğinin alınması, Çekirdeği doğrulanması, tar.xz dosyasının çıkarılması Mevcut Linux çekirdek yapılandırma dosyasının kopyalanması, Linux çekirdeğinin derlenmesi ve oluşturulması 5.12.12, Linux çekirdeğinin ve modüllerinin (sürücüler) kurulması, Grub yapılandırmasının güncellenmesi, Sistemin yeniden başlatılması. 1)  En son Linux çekirdeğinin kaynak koduna erişme İlk kısımda resmi proje sitesini ziyaret ederek en son kayna kodunu indiriyoruz. “Latest  Release” yazan sarı kısımdan indirme yapabilirsiniz. Burada wget komutunu kullanarak da linux-5.12.12.tar.xz dosyasını indirebilirsiniz. Bu komutu görselde gördüğünüz gibi kullanabilirsiniz. wget https://cdn.kernel.org/pub/linux/kernel/v5.x/linux-5.12.12.tar.xz   2) tar.xz dosyasının ayıklanması /usr/src içindeki kaynak kodunu gerçekten çıkarmanız gerekmez. Aşağıdaki unzx komutunu veya xz komutunu kullanarak $HOME dizininizdeki…

Read more

10/18