CloudFlare/Tor Arkasındaki Orijinal IP Adresini Nasıl Buluruz?

CloudFlare/Tor Arkasındaki Orijinal IP Adresini Nasıl Buluruz?

CloudFlare gibi servislerin etkinliği orijinal sunucuları gizlemesinden kaynaklanır. Basit ve küçük hatalar IP’nin ortaya çıkmasına sebep olabilir. Bu durum CloudFlare koruması altındaki bir siteye saldırmaya yarayabilir ya da Tor gizli servisi operatörünün kimliğinin ifşa olmasını sağlayabilir. Gerçekleştirilen hatalar kullanılan servise göre değişmektedir, örneğin Tor için MX kayıtları geçerli değildir.

1) SSL Sertifikaları

1.1 Belirli bir alan adını kullanmak

xyz123boot.com”da bir servis kullanıyorsunuz. Kullanıcıya gösterilen IP adresiniz 136.23.63.44. CloudFlare ise projenizi çevrimdışı olarak görmek isteyen insanlara karşı size DDoS koruması, WAF ve birkaç hizmet daha sunuyor. Web sunucunuz aynı zamanda SSL’i de destekliyor ve sunucunuzun CloudFlare ile olan iletişimi, kullanıcılarınızla olan iletişiminiz gibi şifreleniyor.

Buradaki sorun ise şu: IP adresinize 443 numaralı porttan direkt olarak bağlanmaya çalıştığınızda SSL sertifikanız ortaya çıkıyor. (https://136.23.63.44:443).
0.0.0.0/0’ı xyz123boot.com için 443. portta çalışan bir SSL sertifikasını bulmak için aramak orijinal IP adresini saldırgana ifşa edecektir.

Censys bu taramayı sizin için kendisi gerçekleştiriyor. Sizin tek yapmanız gereken şey ise yukarıda anlattığımız olayı gerçek arama sorgularına çevirmek olacaktır.

xyz123boot.com için sertifikalar şu parametre ile görüntülenebilir:

parsed.names: xyz123boot.com

Sorguya ek olarak sadece geçerli olanları görmek istersek şunu ekleyebiliriz:

tags.raw: trusted

Yani Censys’de birçok parametreyi beraber kullanarak sorgu yapabilmekteyiz. Bunun için şu linki inceleyebilirsiniz. Son olarak sorgumuz şu şekilde şekilleniyor:

parsed.names: xyz123boot.com and tags.raw: trusted

Censys size yukarıdaki arama kriterlerine uyan tüm sonuçları listeleyecektir. İstediğiniz bir sonuca tıkladığınızda sağ tarafta bulunan “Explore” seçeneğine tıklarsanız karşına kullanabileceğiniz araçlar çıkacaktır. Çıkan araçlardan “What’s using this certificate?” seçeneğinin altındaki “IPv4 Hosts” seçeneğini seçelim.

Karşınıza bu sertifikayı kullanan IPv4 hostları listeleyen bir liste çıkacaktır. Bu IP’lerden birisi orijinal IP olabilir.

Çıkan IP’lerin 443 numaraları portlarına giderek doğrulama işlemini yapabilirsiniz. Bizi doğrudan xyz123boot.com sitesine yönlendiriyor mu diye inceleyebilirsiniz.

1.2 Belirli bir SSL sertifikasını kullanmak

FBI’da çalışıyorsunuz ve “cheesecp5vaogohv.onion”da bulunan çocuklar ilişkin cinsel istismar videolarının bulunduğu servisi kapatmak istiyorsunuz. Bunu yapmak için, orijinal IP adresine ihtiyacınız olacaktır.

Buradaki servis bir SSL sertifikasına sahip olacaktır. Aynı SSL sertifikasını kullanan IPv4 hostlar SHA1 fingerprint kullanılarak Censys’de bulunan IPv4 Hosts aracı kullanılarak bulunabilir. Kötü bir şekilde yapılandırılmış olan bir websitesi bu yöntemle kolayca bulunabilir.

2) DNS Kayıtları:

Birçok saldırıya maruz kaldınız ve CloudFlare gibi bir servis kullanmaya karar verdiniz fakat Censys gibi DNS servisleri ve Pasif DNS servisleri sizin eski A kayıtlarınızı ve buradaki orijinal IP adresinizi hala saklıyor olabilir.

Tam olarak yukarıda bahsettiğim işlemi gerçekleştiren SecurityTrails adlı bir servis bulunmakta. Yapmanız gereken tek şey servise girip arama çubuğuna istediğiniz alan adını girmek ve enter’a basmak. Çıkan sonuçta sol tarafta bulunan “Historical Data” kısmını bulabilir ve burada incelemelerinizi gerçekleştirebilirsiniz.

Eski A kayıtlarının dışında mevcut olan DNS kayıtlarınız bile orijinal IP adresinizi ifşa edebilir. E-postadan bilgi toplamak hakkında yazdığım yazımda da belirttiğim gibi MX kayıtları da IP adresinizi bulmanın sıkça kullanılan yollarından birisidir. Web sitesi kendi e-posta sunucusunu web sunucusu ile aynı sunucuda barındırıyorsa orijinal IP adresi MX kayıtlarında bulunacaktır. Bahsi geçen yazıyı okumadıysanız aşağıdaki linkten okuyabilirsiniz.

https://link.medium.com/5TXpF4IcnV

3) HTTP Başlıkları:

Subversion dahil olmak üzere çeşitli yazılımlara sahip benzersiz bir sunucu başlığına sahip olmanız sizi bulmayı daha da kolaylaştırıyor.

Ayrıca bu durum tek bir parametreyle de sınırlı değil. 1.1‘de belirtildiği gibi, arama parametrelerini Censys’de birleştirebilirsiniz. Bu yöntemle bulunma olasılığı, daha az kullanılan her başlık key’i veya gönderdiğiniz değer ile artar.

Kendi HTTP başlığınızı başlık key’i ve değeri ile kombine bir şekilde diğer 1500 web sunucusu ile paylaştığınızı varsayalım. Ayrıca benzersiz bir HTTP başlığı yollayan yeni bir PHP framework’u kullanıyorsunuz. Yaklaşık 400 webmaster da bu framework’u kullanıyor fakat kesişim 3 sunucudan oluşur. Bunların üzerinden geçmek birkaç saniye sürer ve karşınızda IP adresini görürsünüz.

Örnek olarak, Censys’de eşleşen sunucu başlıklarını aramak için şu parametreyi kullabilirsiniz:

80.http.get.headers.server:

CloudFlare tarafından hizmet verilen web sitelerini bulmak için şu şekilde bir parametre girebilirsiniz:

80.http.get.headers.server: cloudflare

4) Uygulamalar ve Servisler:

Hızlıca, bir sızma testine başlayarak gerçek IP adresi bulunabilir. HTTP sunucu başlığı gibi başlıkları kullanarak servisler ve versiyonları hakkında bilgi edinilerek uygun exploit bulunabilir. Sunucuya erişim sağlarken orijinal IP adresini bulabilirsiniz.

Yapılabilecek diğer bir girişim ise hataları tetikleyebilecek olayları keşfetmek olacaktır çünkü hata mesajları hassas bilgileri ortaya çıkarabilmektedir. Bu sayede edinilecek bilgiler orijinal IP’nin kendisini ya da IP’yi bulmak için gerekli olan parametreleri içeriyor olabilir. Bunların hepsi yaratıcı olmak, keşif yapmak ve bulduğunuz dataları birleştirmekle ilgili şeylerdir.

Keşif aşamasında dizinleri ve dosyaları bulmak için gobuster’ı çalıştırmak her pentestte yapılabilecek bir işlemdir. Bunu yaparak bulabileceğimiz şeylerin arasında loglar, veritabanı kayıtları ya da bu kayıtların yedekleri gibi birçok şey olabilir.

Ayrıca web sitesi diğer servislerin uygulamalarıyla etkileşim halinde mi diye kontrol edebilirsiniz. Eğer NSA değilseniz tek bir API kullanan sitenin orijinal IP adresini bulamazsınız fakat bir örnek verecek olursak, hedef sitede bir avatar yüklerken direkt bilgisayarınızdan yüklemek yerine bir URL’den bağlantı verebilirsiniz. Eğer site avatarı yüklemek için karşıdan indirme işlemi yapıyorsa muhtemelen bunu orijinal sunucularından gerçekleştiriyordur. Böylece orijinal IP artık sizin loglarınızda gözükür.

Bu sadece denenebilecek şeylerin kısa bir özetiydi. Karşınızdaki yöneticiler birçok hata yapabilirler ve siz bunları orijinal IP adresini öğrenmek için kullanabilirsiniz.

5)İçerik

Eğer orijinal sunucu web sitesinin içeriğini döndürüyorsa sizin için internet üzerinde araştırabileceğiniz birçok veri var demektir.

Kaynak koda göz atarak eşsiz kod parçaları arayabilirsiniz. Javascript’e erişim anahtarına sahip olan Google Analytics, reCAPTCHA gibi 3. parti servisleri incelemek güzel bir başlangıç olacaktır.

HackTheBox web sitesinden alınan Google Analytics Tracking Kodu örneği:

ga(‘create’, ‘UA-93577176–1’, ‘auto’);

Censys verileri body/source’a göre filtrelenebilir. Bunun için şu parametre işinizi görecektir:

80.http.get.body:

Ne yazık ki normal araştırma alanı sınırlıdır fakat Cenesys’den Google BigQuery aracılığı ile çok daha güçlü araştırmalar yapmanızı sağlayan araştırma yetkisi için istekte bulunabilirsiniz.

Shodan da Censys’e benzer bir şekilde size “http.html” parametresi sağlar. Örnek verecek olursak:

https://www.shodan.io/search?query=http.html%3AUA-32023260-1

Bunlara ek olarak sırf CloudFlare’lı siteleri ifşa etmek için oluşturulan web siteleri de var. Ufak bi google araması ile bunları bulabilirsiniz, artık o kısmı size bırakıyorum. Bu konuda güvenliği sağlamak için x0rz’un yazmış olduğu çok güzel bir makale de bulunmakta onu da şuraya iliştireyim.

https://blog.0day.rocks/securing-a-web-hidden-service-89d935ba1c1d

Herhangi bir illegal kullanımda sorumluluk kullanıcıya aittir. Okuduğunuz için teşekkürler.

No Comments

Give a comment