Cyber-Warrior.Org \ Doküman \ Web Güvenlik Açıkları > Enumeration ( Listeleme

Enumeration ( Listeleme – Döküman Çikarma)

Enumeration,Tarama isleminden sonra gerçeklesir ve kullanici adlarini,Network kaynaklarini,Bilgisayar isimlerini, paylasimlari ve servisler hakkinda bilgi toplamak ve bunlari liste haline getirme islemidir.

Enumeration isleminin amaci,Hedef sistemi hackleme isleminde potansiyel olarak kullanabilmek amaciyla bir kullanici hesabi ve sistem hesabini belirtmektir. Sistem admin hesabini bulmak için gerekli degildir çünkü hesaplarin ayricaliklari önceden belirtilmis olandan daha fazla erisim saglayabilmesi için yükseltilebilir.

Bircok hacking araci,Netbios isimlerini belirlemek için IP network taramak amaciyla dizany edilmistir.Herbir cevap veren host için araçlar,IP adreslerini, NETBIOS bilgisayar isimlerini,Login olmus kullanici adlarini ve Mac adres bilgilerini listeler.

Windows 2000 domain içinde yerlesik bir araç olan net view komutu ile NETBiOS isimlerininin listelemesi yapilabilir. NETBIOS isimlerinin ;

net view / domain
nbtstat –a IP adress

yukaridaki komut ile enumerate edilebilir.

Enumeration Araçlari;

Dumpsec bir NETBIOS enumeration(listeleme) aracidir. Hedef sisteme null kullanici olarak net use komutu ile baglanir. Daha sonra kullanicilari, gruplari, NTFS izinlerini ve dosya sahiplik(owner) bilgilerinin dökümünü çikarir.

Hyena, NETBIOS paylasimlarini listeler ve ek olarak hedef sisteme baglanmak için null olan oturumun açiklarini kullanabilir ve paylasimin yolunu degistirebilir veya registry üzerinde degisiklikler yapabilir.

Dumpsec ve hyena bilgisayariniza indirmek için ;

color=#0000cc http://www.systemtools.com/cgi-bin/download.pl?DumpAcl
------------------------------------------------------------------------

Null Oturumlar Ne Ifade Eder?

Bir null session(oturum), sisteme giris yaparken herhangi bir kullanici adi veya sifre kullanilmadigi zaman olusur. NETBIOS null oturumlari isletim sistemine bagli olarak SMB veya Common Internet File System (CIFS) içinde saldiriya açik bir durum meydana getirir.

Not;Microsoft Windows SMB kullanir, Unix/Linux CFIS kullanir.

Bir hacker bir kez sisteme null session kullanarak NETBIOS baglantisi kurarsa null kullanici hesabini kullanarak tüm kullanici adlarini,gruplari,paylasimlari,izinleri,servisleri,Policy’leri ve daha fazlasinin tam bir dökümün kolayca elde edebilir.Smb ve NETBIOS,Windows içinde TCP port 139 üzerinden sistem hakkinda bilgi veren API’leri kapsiyan standartlardir.

Windows sistemine NETBIOS null session ile baglanti kurmak için bir yöntemde gizli olan Inter Process Communication paylasimini (IPC$) kullanmaktir. Bu gizli paylasima net use komutu ile ulasilabilir.

Not: Net use komutu Windows içinde diger bilgisayarlardaki paylasimlara ulasmakta kullanilan built-in(Yerlesik-isletim sistemi ile birlikte gelen) Bir komuttur.

Bos tirnak isareti (‘’ ‘’) Herhangi bir kullanici adi ve sifre olmadan baglanti kurmak istediginizi gösterir.Ip adresi 192.168.2.1 olan bir sisteme yine built-in bir hesap olan anonymous kullanici hesabi ile ve net use komutu ile bos lifre kullanarak NETBIOS null oturumu olusturmakda kullanilacak komut dizisi asagidaki gibidir.

C: \\\\\\\\\\\\\\\\\\> net use 192.168.2.1 \\\\\\\\\\\\\\\\\\ IPC$ ‘’’’ / d: ‘’’’

Birkez net use komutu basari ile tamamlandiktan sonra hacker diger hacking
teknikleri ve araçlarini kullanacagi bir kanala sahip olur.

NETBIOS enumeration ve Null session’a karsi önlemler ;

Netbios null session hedef makinede özel port numaralarini kullanir.Null oturumlarin,TCP port 135,137,139 ve/veya 445 Numarali portlara erismeye ihtiyaçlari vardir.Karsi önlemlerden biri hedef makine üzerinde bu portlari kapatmaktir.Bu,Tekil bir makinede network baglanti özelliklerinden TCP/IP WINS client’i açip burdan Smb servisini kapatarak gerçeklestirilir.Bu önlemi uygulamak için takip edilecek adimlar ;
1. Network baglantinizin özelliklerini açin.

2.TCP/IP ve sonrada özellikler butonuna tiklayin

3.Gelismis(Advanced) butonuna tiklayin.

4.Wins tabina tiklayin,burda disable netbios over TCP/IP seçenegini seçin.

Ayrica bir güvenlik uzmani, registry içinden anonymous kullanici hesabini sisteme login olmasini engelleyebilir.Bu önlemi uygulamak için takip edilecek adimlar ;
1.Baslat’a ve burdanda çalistir’a tiklayin ve regedt32 yazin.

2.Gelecek listeden; HKLOCALMACHINE\\\\\\\\\\\\\\\\\\SYSTEM\\\\\\\\\\\\\\\\\\CurrentControlSet\\\\\\\\\\\\\\\\\\LSA kismina gelin

3.Menüden edit > Add value seçenegine tiklayin ve asagidaki degerleri girin;

1a. Value Name : RestrictAnonymous
2a. Data Type : REG_WORD
3a. Value : 2
Not;Eger ayni isimde bir regword dosyasi varsa üstünü cift tiklayip value degerini 2 yapin.

IPC$ girislerini engellemek için ise su adimlari takip edin ;
1.Bir not defteri olusturup su komutlari giriniz

@echo off
net share c$ /d
net share d$ /d
net share f$ /d
net share g$ /d
net share h$ /d
net share e$ /d
net share admin$ /d
net share IPC$ /d

Sonra uzantisini .bat yapiniz ( Eger uzanti degistiremiyor iseniz. Bir klasör açiniz üstteki menüden araçlar > klasör seçenekleri >Görünüm >Bilinen dosya türleri için uzantilari gizle’yi tiklayiniz )

Not; Yukaridaki komutlar bilgisayar her acilip kapandiginda pasif duruma düsücektir.Önerim bunu her zaman ulasabiliceginiz bir yere .bat olarak kaydedin ve bunu her bilgisayari açtiginizda çalistirin.