Derinlere Dalmak

Yaptığımız şehirler arası yolculuktan sonra müşterimize ulaşıyor ve öğleden sonra hemen testlerimize başlıyoruz. Bir yandan keşif faaliyetleri devam ederken, bir yandan da ARP zehirlemesi saldırısı deniyorum. Zehirleme mümkün olsa da public community metinleri getiren SNMP ve SAP Diag bulguları dışında gerçek bir parola verisine ulaşamıyorum.

Yine de SAP Diag bulguları ilgimi çekiyor. Birçok istemcinin bambaşka bir ağ bloğundaki bir sunucuya bağlandığını farkediyorum. Aşikâr şekilde bu SAP Sunucusu.

Ayrıca incelediğimde ağ paketinden yakalanan metinler olduğunu hissediyorum. Hatta SAP’ye bağlanmaya çalışan arkadaşın Windows kullanıcı adının da geçtiğini görüyorum. İçimden bir ses daha fazlası var diyor. Araştırmaya başlıyorum.

SAP trafiğini Wireshark üzerinden analiz etmeye yarayan bir eklenti keşfediyorum. Yalnız bu eklentiyi kullanabilmem için Wireshark’ı sıfıdan kod olarak indirip eklentiyle birlikte yeniden derlemem gerekiyor. Birçok başarısız adımdan sonra nihayet VMWare Ubuntu ortamında kuruyorum. Ancak eklentide görmem gereken filtre komutları nedense hala tanınmıyor. Biraz inceleyince Wireshark About menüsündeki Plugins sekmesinde eklentinin halen tanımlı olmadığını farkediyorum. sap.so uzantılı eklentiyi gerekli yol’a kopyalıyorum. Evet, nihayet SAP Diag eklentisi başarıyla çalışıyor.

Ancak bir sorun var, VMware ortamındaki Ubuntu bir türlü promiscous modda çalışmıyor, yani asıl makinedeki trafiği görmüyor. Birçok yapılandırma ve ayar denemesine rağmen nedense bir türlü trafiği yakalayamıyorum. Windows makinemden SAP Sunucusuna ping atıyorum gelmiyor ama Ubuntu içinden atınca geliyor.

Kaybedecek zamanım yok, hızlı olmalıyım. Virtualbox oramında promiscous modun çok daha pratik olduğunu biliyorum. Bu ortamda her şeyi yeniden kuruyorum ve promiscous modu açıyorum. Asıl makinemden ping atıyorum ve bingo, Ubuntu içinden artık yakalıyorum.

Fakat bu yeterli olmuyor. Çünkü yalnızca kendi asıl makinemi görüyorum. Diğer makinelerden ping atınca hiçbiri Wireshark tarafına düşmüyor. Aşikâr şekilde Ortadaki Adam Saldırısıyapmam lazım. ARP zehirlemesini tekrarlıyorum ve bu esnada Ubuntu üzerinde trafiği dinliyorum. Gerçekten de trafik akıyor. Hemen kimlik bilgilerini filtreleyen komutları devreye sokuyorum ve beklemeye başlıyorum. Gerçekten de filtre açık durumdayken bazı ufak paketlerin düştüğünü görüyorum.

Paketi analiz ettiğimde, Expert Info isimli ufacık bir alanda bir okunabilir bir metin değeri görüyorum. Bingo, o IP kullanıcısına ait SAP parolasını yakaladığımı anlıyorum.

Sezgilerimin beni yanıltmadığını görmenin mutluluğunu yaşıyorum. Süreci zaten benimle birlikte takip eden müşterimizle ekran görüntülerini paylaşıyorum.