CyberFlow Logo CyberFlow BLOG
Tftp Pentest

Varsayılan Dosya İsimleri ve Keşif: Siber Güvenlikte Uygulamalı Yöntemler

✍️ Ahmet BİRKAN 📂 Tftp Pentest

Siber güvenlikte varsayılan dosya isimleri ve keşif sürecinin önemi. Adım adım yaklaşımlar ve yöntemler.

Varsayılan Dosya İsimleri ve Keşif: Siber Güvenlikte Uygulamalı Yöntemler

Bu yazıda, siber güvenlikte varsayılan dosya isimleri ve keşif tekniklerini derinlemesine inceleyeceğiz. UDP servis taramasından Metasploit kullanımına kadar birçok adım yer alıyor.

Giriş ve Konumlandırma

Siber güvenlik alanındaki en kritik aşamalardan biri, potansiyel hedef sistemlerin keşfi (reconnaissance) sürecidir. Bu süreç, hedefin zayıf noktalarını belirlemek ve bilgilendirilmiş saldırılar gerçekleştirmek adına önemli bilgiler elde etmek için gereklidir. Bu bağlamda, varsayılan dosya isimleri ve yapılandırma dosyaları, siber güvenlik uzmanlarına ve penetrasyon testerlarına önemli ipuçları sunar.

Varsayılan Dosya İsimlerinin Önemi

Çoğu siber saldırı, hedef sistemlerdeki fazla bilgilere erişim sağlamayı amaçlar. Bu bilgiye ulaşmanın yollarından biri de sistemlerde varsayılan dosya isimlerini keşfetmektir. Ağ cihazları ve yazılımlar genelde, üreticileri tarafından sağlanan varsayılan dosya isimleri ve yapılandırmaları kullanır. Örneğin, Cisco cihazlarında çok sık kullanılan dosya isimleri arasında running-config ve startup-config yer alır. Bu dosyalar, cihazın mevcut ve başlangıçtaki yapılandırmasını içerir, bu nedenle saldırganlar bu dosyaları hedef almak isteyebilir.

Hedef sistemler, saldırganların yararlanabileceği bilgilerle dolu olabilir ve bu bilgiler, sistem açıklarını keşfetmede hayati önem taşır. Varsayılan dosya isimleri, çoğu zaman belirsizlik ve öngörü ile ilişkilendirilebilir; çünkü bir saldırgan, bu isimlere aşina olduğunda, yalnızca dosyanın varlığını değil, aynı zamanda içeriğini de okuma şansı bulabilir.

Keşif Operasyonu ve Uygulamalı Yöntemler

Keşif süreci genellikle, hedef sistemin ağdaki durumunu anlamakla başlar. Örneğin, TFTP (Trivial File Transfer Protocol) gibi basit protokoller üzerine kurulu sistemlerde, dosya yapılandırmalarına erişim sağlanabilmesi, şifreleme ve güvenlik kısıtlamaları olsa dahi mümkündür. TFTP protokolünün doğasından kaynaklı olarak, kullanıcılar sunucudaki dosya isimlerini göremediğinden, bu süreç genellikle tahminler ve varsayımlar üzerinden ilerler.

Bu noktada, ağ üzerinde UDP 69 portunun açık olup olmadığını kontrol etmek ve Nmap gibi araçların kullanılması, keşif sürecine yardımcı olur. Aşağıdaki örnek, bu tür bir tarama için gerekli komutu göstermektedir:

nmap -sU -p 69 --script tftp-enum target_ip

Bu komut, belirli bir hedef IP adresinde TFTP portunun açık olup olmadığını kontrol eder ve varsayılan TFTP dosyalarını bulmayı hedefler.

Ayrıca, araştırmacılar, genel dosya uzantılarını ve içeriklerini inceleyerek hedef sistemin türü hakkında daha fazla bilgi edinebilir. Örneğin, .cfg veya .conf uzantılı dosyalar genellikle yapılandırma bilgileri içerirken; .bin ve .img uzantıları, firmware veya işletim sistemi imajlarını temsil eder. Bu dosya uzantılarının bilinmesi, keşif sürecinin hızını artırır ve potansiyel olarak değerli bilgilere ulaşmayı kolaylaştırır.

Dizin Listelemenin Sınırlılıkları

TFTP'nin doğası gereği, dosya isimlerinin listelenmesi büyük ölçüde mümkün değildir. Dizin listeleme özelliğinin olmayışı, keşif sırasında ek bir zorluk oluşturur. Bununla birlikte, manuel dosya çekme denemeleri yaparak daha yaygın dosyaları (örneğin, running-config veya config) sorgulamak, hızlı sonuçlar getirebilir.

Keşif sürecinde ayrıca "numaralandırma" (enumeration) kavramı da oldukça önemlidir. Sistem kaynakları, kullanıcılar ve servisler gibi bilgilere ulaşmak için sistematik sorgulamalar yapılır. Bu tür denemeler, saldırıların bir sonraki aşaması olan lateral movement için gerekli veri toplama sürecinin bir parçasıdır.

Bu bilgiler ışığında, siber güvenlikte varsayılan dosya isimleri ve keşif süreçlerinin önemi daha net bir şekilde anlaşılmaktadır. Hem saldırganlar hem de savunma uzmanları için, bu aşamalar, etkili güvenlik stratejileri geliştirmek adına kritik bir rol oynamaktadır. Okuyucular, ilerleyen bölümlerde bu yöntemlerin uygulama örneklerini ve ilgili teknik ayrıntıları daha derinlemesine inceleyeceklerdir.

Teknik Analiz ve Uygulama

Adım 1: UDP Servis ve Script Taraması

Siber güvenlikteki keşif aşaması, genellikle hedef ağda açık olan portların ve hizmetlerin analiz edilmesiyle başlar. Bu süreç, UDP 69 portunun varlığını doğrulamak amacıyla Nmap kullanılarak yapılabilir. Nmap, yalnızca port taraması yapmakla kalmayıp, yerleşik scriptleri sayesinde daha gelişmiş veriler de toplayabilir. Aşağıda, Nmap ile TFTP hizmetinin taranmasına yönelik bir komut örneği verilmiştir:

nmap -sU -p 69 --script tftp-enum <hedef_ip>

Bu komut, hedef IP üzerinde UDP port 69'u tarar ve TFTP'ye ait dosya isimlerini listeleyen bir script çalıştırır. Bu aşama, sistemde mevcut olan varsayılan dosya isimleri hakkında bilgi verirken, saldırı vektörlerini belirleyebilmemiz için kritik bir noktadır.

Adım 2: Dosya Uzantıları ve İçerikler

Keşif sırasında, belirli dosya uzantıları ve içerikleri hedef sistemin yapılandırmasına dair önemli ipuçları sunar. Örneğin:

  • .cfg / .conf: Ağ cihazlarının yapılandırma dosyalarıdır; genellikle erişim bilgileri içerir.
  • .bin / .img: Cihaz firmware veya işletim sistemi imgelerini temsil eder.
  • .txt / .xml: Düz metin ya da yapılandırılmış bir formatta veri içeren dosyalar.

Bu dosyaların varlığı, sistemin güvenlik açıklarını keşfetmek için olanak sağlar.

Adım 3: Temel Kısıtlama: Dizin Listeleme

TFTP protokolü, FTP'ye göre bazı kısıtlamalar taşır. TFTP, kullanıcıların sunucudaki dosyaları listelemesine olanak tanımaz. Yani, dizin listelemesi yapılamaz; bu nedenle tüm dosya keşfi tahminlere dayanarak yapılmalıdır. Örneğin, TFTP istemcisi kullanarak yaygın dosya isimlerini sorgulamak gerekebilir:

tftp <hedef_ip>
tftp> get running-config

Bu komut, varsayılan yapılandırma dosyası olan running-config dosyasını çekmeyi dener. Ancak bu dosya sunucuda mevcut değilse, yanıt olarak "File not found" hatası alırız.

Adım 4: Manuel Dosya Çekme Denemesi

Otomatik ağ tarama araçları dışında, manuel olarak en yaygın dosya isimlerine ulaşmak, hızlı bir keşif süreci sağlar. Saldırgan, sürekli olarak farklı dosyaları denemek zorundadır. Genel dosya isimleri arasında config, startup-config, gibi dosyalar sayılabilir. Şayet bu dosyalar hedef sunucuda mevcutsa ve erişim kısıtlaması yoksa, bu aşamada değerlendirilecek önemli bilgiler elde edilebilir.

Adım 5: Üretici Odaklı Dosya İsimleri

Ağ cihazları üreticileri, konfigürasyon dosyaları için genellikle standart isimlendirme şablonları kullanmaktadır. Örneğin:

  • Cisco: running-config, startup-config
  • Juniper: juniper.conf, rescue.conf
  • Linux/Embedded: /etc/shadow, /etc/passwd

Her bir üreticiye ait dosya isimlerini bilmek, keşif sürecini hızlandırır.

Adım 6: Teknik Terim: Enumeration

Keşif sırasında, bir sistemdeki mevcut kaynakları sistematik olarak sorgulayıp listeleme işleminin adı "enumeration"dır. Bu aşama, sistemdeki kullanıcılar, dosyalar ve servisler hakkında bilgi toplamak için kritik öneme sahiptir. TFTP protokolünü kullanarak dosya isimlerini belirleme, bu enumerasyonun önemli bir parçasıdır.

Adım 7: Metasploit ile Sözlük Saldırısı

Metasploit, büyük bir dosya listesi (wordlist) kullanarak TFTP keşfi yapmak için mükemmel bir araçtır. Kullanıcı, tftp_enum modülünü aktif hale getirip, belirli bir wordlist kullanarak keşif yapabilir. Aşağıda, böyle bir komut örneği verilmiştir:

use auxiliary/scanner/tftp/tftp_enum
set RHOSTS <hedef_ip>
set FILELIST custom.txt
run

Bu komut dizisi, custom.txt dosyasındaki isimlerle hedef sistemdeki dosyaları kontrol eder. Yanıtlar, dosyaların var olup olmadığı hakkında bilgiler sunarak, daha sonraki saldırı aşamalarını planlamada yardımcı olur.

Adım 8: Yanıt Kodları ile Durum Analizi

TFTP sunucusundan alınan yanıt kodları, dosyaların sunucuda bulunup bulunmadığı hakkında kritik bilgi sağlar. Örneğin:

  • Error 1: "File not found" - Tahmin edilen dosyaların sunucuda mevcut olmadığını belirtir.
  • Error 2: "Access violation" - Dosya var ancak anonim erişime sınırlama getirilmiş olabilir.
  • DATA Packets: Dosya bulundu ve transfer başarılı bir şekilde başladı.

Bu bilgilerin analiz edilmesi, hedef sistemin zafiyetlerini belirlemede yardımcı olur.

Adım 9: Kritik Hedef: PXE Boot Dosyaları

TFTP ile sıkça karşılaşılan hedeflerden biri, PXE boot dosyalarıdır. Örnek olarak, pxelinux.0 dosyası, ağdan önyükleme yapan sistemler için kritik bir yapılandırma dosyasıdır. Bu dosya, işletim sisteminin nasıl yükleneceği konusunda bilgileri içerir ve sızdırılması durumunda sistemin güvenliğini tehdit eder.

Adım 10: Nmap Script Argüman Kullanımı

Nmap taramaları sırasında, varsayılan liste yerine özel bir dosya listesi kullanmak tarama kalitesini büyük ölçüde artırır. Aşağıdaki komut, özel bir dosya listesi belirlemeyi sağlar:

nmap --script-args tftp-enum.filelist=custom.txt -sU -p 69 <hedef_ip>

Bu komut, belirli bir wordlist ile hedef sistemdeki dosyaları tarayarak daha kapsamlı sonuçlar alınmasını sağlar.

Adım 11: Sızdırılan Verinin Değeri

Keşif aşamasında elde edilen dosyalar, sonraki saldırı aşamalarındaki stratejilerin belirlenmesinde hayati öneme sahiptir. Elde edilen veriler, kullanıcı bilgileri, parolalar veya ağ yapılandırmaları gibi hassas bilgileri içerebilir. Bu nedenle, her bir adımda elde edilen bilgilere dikkat edilmelidir.

Adım 12: Nihai Hedef: Reconnaissance

Sonuç olarak, keşif (reconnaissance) aşaması, güvenlik testlerinin ilk ve en önemli adımıdır. Bu süreç, potansiyel zayıflıkları tespit etme ve hedef sistemin güvenlik durumunu anlama açısından kritik bir rol oynar. Varsayılan dosya isimleri ve ilgili keşif yöntemleri, bu aşamada önemli araçlar haline gelir. Hedef sistemde elde edilen bilgiler, sonraki adımların başarılı bir şekilde planlanmasında yönlendirici olur.

Risk, Yorumlama ve Savunma

Siber güvenlik alanında, kelebek etkisi gibi düşünülebilecek karmaşık bir yapı mevcuttur. Bir sistemdeki tek bir zafiyet, siber saldırganlar tarafından birçok veri ve servise ulaşmayı sağlayabilir. Bu bağlamda, varsayılan dosya isimlerinin keşfi ve analiz edilmesi, potansiyel zayıflıkları belirlemek için kritik öneme sahiptir. Bu bölümde, siber güvenlik tehditlerini değerlendirirken uygulamalı yöntemleri tartışacağız.

Elde Edilen Bulguların Yorumlanması

Varsayılan dosya isimleri, genellikle sistemlerin yapılandırma dosyalarıdır ve bunlar üzerinden çeşitli bilgiler toplanabilir. Örneğin, bir ağ cihazının yapılandırma dosyası running-config, ağ yapılandırmayla ilgili önemli bilgileri içerebilir. Eğer bu dosyaya erişim sağlanırsa, sistemin güvenliği ciddi ölçüde tehlikeye girebilir.

nmap -sU -p 69 --script tftp-enum target_ip

Yukarıdaki komut, hedef sistemdeki varsayılan TFTP dosyalarının keşfi için kullanılabilir. Başarılı bir tarama sonucunda sızdırılan dosyalar, yapılandırmalar, parolalar veya ağ topolojisi gibi kritik bilgileri ortaya çıkarabilir.

Yanlış Yapılandırma ve Zayıflık Etkileri

Yanlış yapılandırmalar, siber saldırganların gözünde açık kapılar anlamına gelir. TFTP protokolü, kullanıcılara sunucudaki dosyaları direkt olarak listelemede kısıtlamalar getirir. Bu yüzden, tahmine dayalı işlem yaparak olası dosya isimlerini denemek durumunda kalınır. Eğer bu süreçte doğru dosya ismi tahmin edilirse, advers için büyük bir avantaj kazanılmış olur.

Örneğin, bir sistemde TFTP sunucusunda yapılandırma dosyası olduğu tahmin ediliyorsa, aşağıdaki komut ile çekilmeye çalışılabilir:

get config

Elde edilen bilgilere göre sistemin açığına yönelik daha fazla keşif yapmak mümkündür. Düşük güvenlik önlemleriyle yapılandırılmış bir sistemde, kullanılabilir parolaların veya hassas bilgilerin sızdırılması işten bile değildir.

Sızan Veriler ve Hizmet Tespiti

Elde edilen dosyaların içeriği, hedef sistemin güvenlik durumu ve açıkları hakkında kritik bilgiler sunar. Sızan veriler, genellikle sistemin türüne göre inşaat edilen bir harita gibi düşünülebilir.

  • .cfg ya da .conf dosyaları, cihazların yapılandırma bilgilerini taşır.
  • .bin veya .img dosyaları, firmware güncellemeleri veya işletim sistemi imajını içerir.
  • .txt veya .xml dosyaları ise, genellikle daha basit konfigürasyon ve verilerin tutulduğu metin dosyalarıdır.

Aşağıdaki örnek, farklı dosya uzantılarını ve bunların siber güvenlikteki anlamlarını ilişkilendirme amacı taşır:

Dosya Uzantısı Anlamı
.cfg / .conf Ağ konfigürasyon dosyaları olabilir.
.bin / .img Sistem firmware'ı veya işletim sistemi görüntüleri.
.txt / .xml Hassas veriler veya düz metin dosyaları.

Profesyonel Önlemler ve Hardening Önerileri

Güvenliği artırmak ve bu tür zafiyetleri önlemek için aşağıdaki adımlar izlenebilir:

  1. Güçlü Parola Politikaları: Tüm kullanıcı hesaplarının ve cihazların güçlü parolalarla korunması sağlanmalı.
  2. Güncellemelerin Yönetimi: Yazılım ve donanım güncellemeleri düzenli olarak yapılmalı, bilinen zafiyetler kapatılmalıdır.
  3. Erişim Kontrolleri: Yetkisiz erişimi önlemek amacıyla dosya erişim izinleri sıkı bir şekilde denetim altında tutulmalıdır.
  4. **Düzenli Audity: ** Sistem güvenliği konusunda düzenli olarak audit yapılmalı ve potansiyel zayıflıklar belirlenmelidir.
  5. Düşük Riskli Protokollerin Kullanımı: Eğer mümkünse, güvenli iletişim protokolleri tercih edilmelidir.

Sonuç Özeti

Varsayılan dosya isimleri ve bu dosyaların keşfi, siber saldırılar açısından kritik bir öneme sahiptir. Hedef sistemin doğru bir şekilde değerlendirilmesi, yanlış yapılandırmalar ve potansiyel zafiyetlerin tespiti için önem arz eder. Doğru yorumlama ve profesyonel savunma stratejileri ile, siber tehditlerden korunmak ve güvenliği sağlamak mümkündür. Bu bağlamda, siber güvenlik pratiği, sürekli bir öğrenme ve iyileştirme süreci olarak değerlendirilmelidir.