Bu yazımda CyberExam platformunda bulunan Command Injection (Type 1) odasının çözümünü anlatacağım.Oda bizden “flag.txt”yi istiyor.   “ifconfig” komutu ile kendi IP adresimizi öğreniyoruz. Kendi IP adresimi öğrendikten sonra “nmap -sV 10.0.1.2/24” komutuyla  bu IP adresi aralığındaki cihazların açık portlarını ve bu portlarda çalışan servislerin versiyonların bilgilerini öğreniyoruz. Çıktı sonucunda “10.0.1.40” IP adresinde 80 numaralı http portu açık ve bu IP adresinde bir web sunucusunun çalıştığını görüyorum.Browserdan bu IP adresinin bu portuna gidiyorum. Karşıma çıkan ekranda “Click here to ping localhost” bağlantısına tıkladığımda kendi local hostuma ping atmış oluyorum.Bunun arka taraftaki komutu “ping 127.0.0.1″dir. URL’e bir önceki komutu ; ile ayırıp

Bu yazımda CyberExam platformunda bulunan Tomcat Exploitation-Part 1 odasının çözümünü anlatacağım.Oda bizden kendi dahili ağımızda çalışan Tomcat sunucusunu bulmamızı ve 1- Tomcat Server’ın IP adresi nedir? 2-Tomcat Server’ın Port numarası nedir? 3-Tomcat Server’ın kullanıcı adı ve şifresi nedir? (kullanıcı adı:şifre) bu 3 soruyu cevaplamamızı istiyor.   “ifconfig” komutuyla kendi IP adresimizi öğreniyoruz. Kendi IP adresimin “10.0.1.2” olduğunu görüyorum ve “nmap -sV 10.0.1.2/24” komutu ile bu IP adresi aralığındaki cihazların açık portlarını ve bu portlarda çalışan servislerin versiyonlarına ulaşabiliriz. Ve bu çıktıda “10.0.1.3” IP adresinin “8080” portunda bir Tomcat Server çalışıyor.Böylelikle 1. sorumuzun cevabı “10.0.1.3” , 2. sorumuzun cevabı “8080” oluyor.

Bu yazımda CyberExam platformunda bulunan Sqlmap for Beginners odasının çözümünü anlatacağım.Oda bizden 1-Savunmasız parametre nedir? 2-Mark’ın şifresi nedir? bu iki sorunun cevabını istiyor.   “ifconfig” komutu ile kendi makinemin IP adresini öğrenerek başlıyorum. Makinemin IP adresini “10.0.1.2” olarak öğreniyorum ve şimdi “nmap 10.0.1.2/24”komutu ile dahili ağımı tarıyorum. Ve “10.0.1.40” IP adresinde HTTP portunun açık olduğunu görüyorum ve bu IP adresiyle portu tarayıcıda açıyorum. Böyle bir ekranla karşılaşıyorum ve “click here to query employee names using id” bağlantısına tıklıyorum. ID değerlerini denerken 3 numaralı id değerinin Mark’a ait olduğunu öğreniyorum ve bu URL’i sqlmap’de inceliyorum.”sqlmap -u “http://10.0.1.40/task/task1.php?id=3” –dbs”komutu ile web uygulamasında

Bu yazımda CyberExam platformunda bulunan Memory Forensics with Volatility odasının çözümünü anlatacağım.Oda bizden 1-“As Layer1” değeri nedir? 2-Görüntünün Alındığı Tarih ve Saat Nedir? 3-İlk KDBG profil değeri nedir? 4-Ters bağlantı için kullanılan .exe dosyasının adı nedir? 5-Ters bağlantının başlangıç ​​tarihi nedir? 6-Dllhost.exe PPID değeri nedir? 7-Ters bağlantıı kuran saldırganın IP adresi nedir? 8-Ters bağlantıda saldırganın kullandığı PORT adresi nedir? 9-Ters bağlantı için kullanılan .exe dosyasının bulunduğu klasör? (Dosya adıyla tam yol: \De***\Ha***\) 10-Bu dosyayı indiren kullanıcı adı nedir?(Ters bağlantı) 11-İnternetten indirdiğiniz fotoğrafın adı nedir? Bu 11 soruyu cevaplamımızı istiyor.   “volatility -f memdump.mem imageinfo” komutu ile bellek görüntüsünün temel özelliklerini

Bu yazımda CyberExam platformunda bulunan  WPA2 Cracking (Live) odasının çözümünü anlatacağım. Oda bizden 1-Hedef wifi ağının SSID’si nedir? 2-Hedef WPA2 Ağının Şifresi Nedir? Sorularının cevabını bulmamızı istiyor.   Önce “sudo su” komutuyla root oluyorum.Passwordı odanın girişinde verildiği gibi “user” olarak giriyorum. Root olduktan sonra “airmon-ng” komutunu kullanıyorum.Bu komut sistemdeki kablosuz ağ arayüzlerini listeler.Listede, arayüzlerin isimleri, çip setleri ve sürücü bilgileri gibi detayları gösterir. Arayüz ismini öğrendikten sonra “airmon-ng start wlan0” komutu ile  kablosuz ağ adaptörünü monitör moduna geçiriyorum. “airodump-ng wlan0mon” komutu ile çevredeki tüm kablosuz ağları tarayarak bu ağlar hakkında detaylı bilgiye erişiyorum. Bu bilgiler arasında kablosuz ağın adı olan

MITRE ATT&CK , siber güvenlikte saldırganların kullandığı çeşitli taktikler ve teknikler hakkında kapsamlı bir bilgi tabanıdır. Bu çerçeve, güvenlik analistleri için saldırı yöntemlerini analiz etme, tespit etme ve önleme amacıyla oldukça değerli bir kaynaktır. Bu yazıda MITRE ATT&CK çerçevesini tanıtacak, yaygın kullanılan bazı teknikleri açıklayacak ve uygulamalı bir örnek üzerinden analiz yapacağız. MITRE ATT&CK, saldırganların saldırılarını nasıl gerçekleştirdiğine dair bir dizi taktik ve teknik sunar. Çerçeve, bir saldırının aşamalarını çeşitli başlıklar altında toplar: Reconnaissance (Keşif): Hedef hakkında bilgi toplama. Initial Access (Başlangıç Erişimi): Sisteme ilk giriş yapma. Execution (Çalıştırma): Kötü amaçlı yazılımları veya komutları çalıştırma. Persistence (Kalıcılık): Sistemde sürekli erişim

Bu yazımda CyberExam platformunda bulunan “System Hacking – ActiveMQ” odasını çözümünü anlatacağım.Bu oda bizden dahili ağımızda çalışan ActiveMQ servisinin güvenliğini test etmemizi istiyor.Ve bu soruları cevaplamamızı istiyor. 1-Hedef IP adresi nedir? 2-Güvenlik açığı bulunan hedef servisin port numarası nedir? 3-Hedefte toplam açık port sayısı nedir? 4-Güvenlik açığı bulunan hizmet hangisidir? 5-Güvenlik açığı bulunan hizmetin CVE’si? 6-/flag.txt dosyasının içeriği?   Dahili ağda çalışan servisleri kontrol etmek için önce kendi makinemin IP adresini öğreniyorum. Makinemin IP adresinin 10.0.1.2 olduğunu öğrendim.Apache ActiveMQ genelde 8161 numaralı portta çalışır.O yüzden “nmap -sV -p 8161 10.0.1.2/24” taraması yapıyorum.Bu komut 10.0.1.0/24 ağı içindeki tüm cihazlarda, yalnızca 8161

Bu analizde, emniyetgenelmudurlugu86@gmail.com adresinden gelen ve “Polis siber suç platformu Ön soruşturma No 6526667 (bkz. Ek)” başlığı ile gönderilen şüpheli e-posta incelenmiştir. E-posta içeriği ve ekli dosya incelenerek, bunun bir oltalama (phishing) saldırısı olduğuna dair belirtiler ortaya konulmuştur. Gönderen Adresinin İncelenmesi Gönderen E-posta Adresi: emniyetgenelmudurlugu86@gmail.com Gönderen adresi, bir resmi kurum adresi gibi görünse de, Gmail tabanlı bir hesap kullanılmıştır. Resmi devlet kurumlarının genellikle kendi alan adlarına sahip e-posta adresleri olur. Örneğin, Emniyet Genel Müdürlüğü, @egm.gov.tr gibi bir uzantı kullanır. Gmail gibi ücretsiz e-posta hizmetleri, dolandırıcılar tarafından sıkça kullanılır.  E-Posta Başlığı ve İçeriği E-posta Başlığı: “Fwd: Polis siber suç platformu Ön

Giriş Prometheus, özellikle bulut tabanlı ve mikro hizmet mimarilerinde kullanılan, açık kaynaklı bir sistem izleme ve uyarı platformudur. 2012 yılında SoundCloud tarafından geliştirilmiş ve 2016 yılında Cloud Native Computing Foundation’a (CNCF) dahil edilmiştir. O zamandan beri, Prometheus hızla popülerlik kazanmış ve birçok büyük şirket ve organizasyon tarafından benimsenmiştir. Prometheus’un Temel Özellikleri Prometheus’un popülerliğini sağlayan birkaç temel özelliği vardır: Zaman Serisi Veri Depolama: Prometheus, metrikleri zaman serisi veri olarak depolar. Bu, her metrik veri noktasının bir zaman damgası ile saklandığı anlamına gelir. Bu, performans analizi ve trendlerin belirlenmesi için son derece faydalıdır. Sorgu Dili (PromQL): Prometheus, güçlü ve esnek bir sorgu

Giriş Yazılım Hizmeti Olarak (SaaS) çözümler, işletmelerin dijital dönüşüm süreçlerinde kritik bir rol oynamaktadır. Ancak, bu çözümler siber suçlular için de cazip hedefler haline gelmiştir. SaaS saldırı zinciri, saldırganların SaaS platformlarını hedef alarak veri ihlallerine ve diğer siber tehditlere yol açtığı bir dizi saldırı tekniğidir. Bu makalede, SaaS saldırı zincirinin nasıl çalıştığını ve bu tehditlerle nasıl mücadele edileceğini ele alacağız. SaaS Saldırı Zinciri Nedir? SaaS saldırı zinciri, saldırganların bir SaaS platformunu hedef alarak sistematik bir şekilde ilerlediği ve sonunda değerli verilere veya sistemlere erişim sağladığı bir dizi adımdan oluşur. Bu zincir genellikle şu aşamalardan oluşur: Keşif: Saldırganlar, hedefledikleri SaaS platformu