BRUTE FORCE (KABA KUVVET) SALDIRISI NEDİR?

Brute Force (Kaba Kuvvet) saldırısı, doğru kimlik bilgilerini bulana kadar deneme yanılma yönetimi kullanarak bir parola veya kullanıcı adını ele geçirme, gizli bir web sayfasını veya sayfalarını bulma vb. art niyetli faaliyetler için kullanılan girişimidir.
Wordlist (Kelime Listesi), kısacası brute force (kaba kuvvet) saldırılarında hedefin kullanıcı adı veya parolalarını veya her ikisinide hatta hashler için de dahildir denilebilir, bir dizi tahminlerle elde edilen dosyadır ve içerisinden deneye deneye sonuca ulaştırabilen dosyadır.

SSH Servisine Yönelik Brute Force:
SSH (Secure Shell/Güvenli Kabuk), bir bilgisayar ile uzak bir bilgisayar arasında güvenli bir bağlantı kurulum yapılmasını sağlayan bir ağ protokolüdür. Varsayılı haliyle TCP'den 22. portta açılmaktadır.
SSH brute force saldırları için kullanabileceğiniz pek çok araç bulunmaktadır. Bunların arasında Metasploit Framework'ü dahi yer alsa da bizim aşağıdaki görselde görüleceği üzere kullanacağımız aracımız ise "hydra"dır.
Metasploit Framework, hem ofansif hem de defansif güvenlikte kullanılan açık kaynaklı (open source) ve Ruby programlama diliyle yazılmış araçtır. Aracın bağlantısı: https://github.com/rapid7/metasploit-framework
Hydra, kısacası kaba kuvvet saldırıları için kullanılan araçtır. Aracın bağlantısı: https://github.com/vanhauser-thc/thc-hydra

hydra aracında kullandığımız "-t" parametresi hızı ifade eder iken "-L" ve "-P" parametreleri ise sırasıyla kullanıcı adı ve parola listesini ifade etmektedir. Ayrıca SSH'ye yönelik ataktaki kullandığımız wordlistlerimizin kurulduğu dizin ve parola listenizin bulunduğu dizin ve "host" yerinde yazan IP adresi bilgisi sizlerde farklılık gösterebileceğinden değiştirmeniz gerekmektedir.
SSH'ye yönelik saldırılardan korunabilmeniz öncelikle güçlü parolanız olmalı, kimlik doğrulamaya sınırlandırma yapabilirsiniz, Fail2ban vb. kaba kuvvet önleyici eklentileri tercih edebilirsiniz veyahut 2FA (Two-Factor Authentication/İki Faktörlü Kimlik Doğrulama) yapılarından olan Twilio Authy, Google Authenticator, Microsoft Authenticator vb. uygulamarının kullanımı adımlarını izleyebilirsiniz. Detaylı bilgiler için "https://goteleport.com/blog/ssh-hardening-to-prevent-brute-force-attacks/" bağlantısını ziyaret edebilirsiniz.

Hashe Yönelik Brute Force:
Hash, alınan veriyi (girdi/input) veriyi sabit bir uzunlukta çıktıya dönüştüren matematiksel -hashleme algoritmasının türünden türüne değişir- işleme denmektedir.
Elde edilen hash bilgilerinin "hashcat" vb. araçlarla kırılabilmesi söz konusudur.
hashcat, kısa ve öz bir şekilde ifade etmemiz gerekir ise şifre kırma aracıdır. Aracın bağlantısı: https://github.com/hashcat/hashcat

hashcat aracında kullandığımız "-m" parametresi modu ifade eder iken "--force" ifadesi saldırımızı ve son olarak kullanılan "-a" parametresiyse atak modumuzu ifade etmektedir ve maksimum üç değeri almaktadır. Ayrıca hash wordlistinizin kurulduğu dizin ve parola listenizin bulunduğu dizin farklılık gösterebileceğinden değiştirmeniz gerekmektedir.
Hashe yönelik saldırılardan korunabilmeniz için kullanıcı adı veya parola bilgilerinizin hashlendiği unutmamalısınız. Bunlardan yola çıkarak güçlü parola kullanımına yönelmelisiniz ve rastgele atanan kendinizin belirlediği salting (tuzlama) yöntemleriyle hashlerinizi güvence altına alabilirsiniz. Detaylı bilgiler için "https://www.freecodecamp.org/news/hacking-with-hashcat-a-practical-guide/" bağlantısını ziyaret edebilirsiniz.

FTP Brute Force:
FTP (File Transfer Protocol/Dosya Aktarım Protokolü), bilgisayarlar arasında iletişim kurmak ve dosya aktarmak için kullanılmaktadır. Varsayılı haliyle TCP'den 21. portta açılmaktadır.
FTP brute force saldırları için kullanabileceğiniz pek çok araç bulunmaktadır. Bunların arasında Metasploit Framework'ü dahi yer alsa da bizim aşağıdaki görselde görüleceği üzere kullanacağımız aracımız ise "hydra"dır.

FTP'ye yönelik saldırılardan korunabilmeniz için öncelikle güçlü parolanız olmalı, JSCAPE MFT vb. sunucuları kullanabilirsiniz veya Fail2ban vb. kaba kuvvet önleyici eklentileri tercih edebilirsiniz veya detaylı bilgiler için "https://arytmw.medium.com/brute-forcing-protecting-an-ftp-server-f89bdd97903d" bağlantısını ziyaret edebilirsiniz.

RDP Servisine Yönelik Brute Force:
Remote Desktop Protocol/Uzak Masaüstü Protokolü (RDP), bir masaüstü bilgisayarı uzaktan kullanmak için kullanılan bir protokoldür. Varsayılı haliyle TCP'den 3389. portta açılmaktadır.
Crowbar, genellikle penetrasyon testleri sırasında kullanılan bir araçtır.

crowbar aracında kullandığımız "--server" parametresi hedef IP adresini ifade etmekte, "-b" parametresi ise hedeflenen IP adresinin saldırı yapılacağı servisi ifade etmekte, "-u" parametresi ise kullanıcı ifade etmekte ve son olarak kullanılan "-C" parametresiyse parola wordlistini ifade etmektedir. Ayrıca parola wordlistinizin kurulduğu dizin ve parola listenizin bulunduğu dizin farklılık gösterebileceğinden değiştirmeniz gerekmektedir.
Python, nesne yönelimli, yorumlamalı, birimsel ve etkileşimli yüksek seviyeli bir programlama dilidir.
RDP'ye yönelik saldırılardan korunabilmeniz için öncelikle güçlü parolanız olmalıdır, art arda kullanıcı ve parola denemelerinde sınırlandırma konumlandırmalısınız, eğer dahili ağınızda birçok kişi varsa VPN bağlantısını tercih ederek güvenliğinizi bir nebze de olsa artırabilirsiniz veya son olarak MFA (Multi-factor Authentication/Çok Faktörlü Kimlik Doğrulaması) seçeneğini tercih edebilirsiniz. Detaylı bilgiler için "https://www.pwndefend.com/2018/07/24/hail-hydra-rdp-brute-forcing-with-hydra/" bağlantısını ziyaret edebilirsiniz.

HTTP Uygulamalarına Yönelik Brute Force:
HTTP (Hyper Text Transfer Protokol/Hiper Metin Transfer Protokolü), herhangi bir siteye bağlanmak istediğiniz zaman isteğinizi alıp sunucuya olduğu gibi iletmektedir. Varsayılı haliyle TCP'den 80. portta açılmaktadır.
HTTPS (Secure Hyper Text Transfer Protocol/Güvenli Metin Aktarma Protokolü) de aynı işlevi görmekte fakat HTTPS protokolü ile bir siteye bağlandığınız zaman güvenlik önlemleri daha ağırdır ve bilgilerinizin bir başkası tarafından okunabilirlik oranı düşüktür. Varsayılı haliyle 443. portta açılmaktadır.
Burp Suite, kısacası güvenlik testlerini gerçekleştirebilmemiz için sıklıkla kullanılan bir platformdur ve içerisinde birçok özelliği barındırmaktadır. Aracın bağlantısı: https://portswigger.net/burp
Proxy (Vekil), internete erişim sırasında kullanılan bir ara sunucudur.
Genelde "Intercept" özelliğiyle HTTP isteğini yakalayıp "Intruder"e gönderseler de alışkanlığımızdan ötürü "HTTP history" sekmesinden ilgili isteği bulup sağ tıklayarak "Send to Intruder" 
HTTP history, kısacası bizlerin adreslerdeki gezintileri esnasında HTTP isteklerinin (request) ve yanıtlarının (response) kaydedildiği alandır.
Burp Suite’de "Open Browser" butonuyla Chromium tarayıcısının açılması sayesinde "Target" sekmesinde gezindiğiniz adreslerin geçmişlerine kolaylıkla erişebilirsiniz.
Intruder, otomatikman güvenlik zafiyetlerini belirlemek ve belirlenen zafiyetlere yönelik payloadlarla saldırılar için geliştirilmiş sekmedir.
İsteğimizin kullanıcı adı ve parola değişkenlerinin değişiklik gösterebilmesinden kaynaklı bizler aşağıdaki görselde yer alan değişkenlere brute force ataklarımıza gerçekleştirsekte sizler de elbette farklılık gösterecektir.



Not olarak geçmek gerekir ki bizlerin "localhost" görünen "Host" başlığı karşısındaki değerinin bizlerin lokal bilgisayara kurduğu adrese yönelik saldırı gerçekleştiğinden sizlerin hedeflediği sunuculara göre değişiklik göstermektedir.
HTTP'ye yönelik saldırılardan korunabilmeniz için öncelikle güçlü parola olmalıdır, CAPTCHA vb. teknolojileri kullanabilirsiniz, art arda kullanıcı ve parola denemelerinde sınırlandırma konumlandırmalısınız, eğer dahili ağınızda birçok kişi varsa VPN bağlantısını tercih ederek güvenliğinizi bir nebze de olsa artırabilirsiniz veya son olarak MFA (Multi-factor Authentication/Çok Faktörlü Kimlik Doğrulaması) seçeneğini tercih edebilirsiniz. Detaylı bilgiler için "https://book.hacktricks.xyz/pentesting-web/captcha-bypass", "https://www.imperva.com/learn/application-security/what-is-captcha/", "https://www.malwarebytes.com/blog/news/2022/03/blunting-rdp-brute-force-attacks-with-rate-limiting" ve "https://blog.clickstudios.com.au/configuring-the-brute-force-ip-lockout-feature/" bağlantılarını ziyaret edebilirsiniz.

Veri Tabanı Sunucularına Yönelik Brute Force:
Dosya ve kayıt oluşturmayı, veri girişini, veri düzenlemeyi, güncellemeyi ve raporlamayı kolay hale getirerek veri tabanı dosyalarını ve kayıtları oluşturmak, düzenlemek ve muhafaza edebilmek için veri tabanları kullanılır.
Not olarak belirtmemiz gerekir ki hedeflediğiniz veri tabanı sunucusuna göre özel olarak ayarlanmış araçlarla veya tekniklerle devam edebilirsiniz ya da "hydra" adlı aracın kullanımındaki bizlerin anlatmında yer verdiği "ssh" veya "ftp" yazan yeri hedefteki veri tabanını değiştirmenizle saldırılarınızı yapabilirsiniz.
Popüler veri tabanı yönetim sistemlerinin TCP'de varsayılan portlarından bahsetmek gerektiğinden sırasıyla; "Aurora/MySQL/MariaDB"nin 3306 iken "PostgreSQL"nin iken 5432 iken "Oracle" 1521 iken "SQL Server" 1433 varsayılı portlarda aktiftir.

Ağa Yönelik Brute Force:
Ağa yönelik brute force saldırıları genellikle handshake adı verilen ağ el sıkışması yakalanarak yakalanan handshakeyi ("https://medium.com/@alonr110/the-4-way-handshake-wpa-wpa2-encryption-protocol-65779a315a64") kırmaya yönelik saldırılardır. Böylelikle hedeflediğiniz internetin parola bilgisini kırabilmektesiniz. 
El Sıkışma (Handshake), WI-FI isteyen istemci (client) ile bunu sağlayan AP (Access Point/Erişim Noktası) arasındaki şifreleme bağlantı işleminin ilk dört mesajının terimidir.
Sıklıkla kullanılan araçlara "http://www.aircrack-ng.org/" ve "https://github.com/v1s1t0r1sh3r3/airgeddon" bağlantılarından ulaşabilirsiniz.

Yukardaki görselde yer alan ağ bilgilerini görüntüleyebildiğimiz aracımızın komutuysa "ifconfig"tir.
Not olarak belirtmek isteriz ki IP adresi bilgileri sizlerin ağ mimarisine göre değişiklik gösterebilmektedir. IP adresinizi “ifconfig” komutuyla öğrenebilirsiniz. ifconfig, Unix ve benzeri işletim sistemlerinde komut satırından yapılandırma, kontrol ve TCP/IP ağ ara birim parametreleriyle sistem yapılandırma aracıdır. Komutu kullanmanızla aşağıdaki görsele benzer bir çıktı ile karşılaşacaksınızdır.
Ethernet kartı, bir bilgisayarın internete erişmesini sağlayan kablodur. eth arayüzü ise bu kartın kullandığı arayüz bilgisidir. lo (Loopback/Geri Döngü) adresleri, cihazların veri paketlerini iletmesini ve almasını sağlayan IP etki alanı sistemine yerleştirilmiştir. Genellikle “127.0.0.1” ve “localhost” işlevsel olarak benzerdir, yani loopback adresi “127.0.0.1” ve host adı “localhost”; dahili olarak haritalanmıştır. Yine de, diğer loopback adreslerine de erişilebilir ve kullanılabilir.
“inet” ve “inet6” kavramlarındaki sondaki altı rakamı versiyonu ifade etmektedir. Elbette ki “inet” kavramının “internet”ten geldiğini belirtmemizde fayda vardır. 
“RX” kavramı kısacası alınan paketi nitelemekteyken “TX” terimiyse iletimdir. 
“UP” terimi arayüzün aktif olarak çalıştığını belirtir iken “DOWN” kavramı ise tam zıttıdır. 
Mask ya da Subnet Mask (Alt Ağ Maskesi), TCP/IP’de iki cihaz aynı ağda olup olmadıklarını birbirlerinin IP adreslerinin ilk birkaç basamağına bakarak anlamaktadırlar ve bu maskelemeye denmektedir. 
Broadcast (Yayın Ağı), veriler bir veya daha fazla göndericiden aynı ağ içindeki veya diğer ağlardaki tüm alıcılara iletilmektedir. Bu tür iletim, tüm cihazların verileri görmesi gereken ARP ve RIP (Routing Information Protocol/Yönlendirme Bilgi Protokolü) gibi ağ yönetimi paketlerinde kullanışlıdır. 
Multicast (Çok Noktaya Yayın), tek bir kaynak ana bilgisayardan, verileri almakla ilgilenen belirli bir ana bilgisayar grubuna iletildiğinde, çok noktaya yayın iletimi olarak bilinir. Farklı alıcı gruplarının aynı verileri görmesi gerektiğinde çok noktaya yayın, tek noktaya yayından daha verimli olmaktadır. 
Unicast (Tek Noktaya Yayın), tek noktaya yayın iletiminde, veriler tek bir göndericiden (veya tek bir kaynak ana bilgisayardan) tek bir alıcıya (veya tek bir hedef ana bilgisayara) aktarılan türdür.
Ağa yönelik saldırılarda bilinmesi gereken noktalardan birisi de hiç şüphesiz ki "monitor" ve "managed" mod kavramlarıdır. Yönetilen (managed) mod ağlara bağlanmak için kullanılırken izleme (monitor) modu pasif yakalama gerçekleştirmek için kullanılmaktadır.
WPA'ya yönelik brute force saldırılarında "aircrack-ng"den bahsedersek "https://www.aircrack-ng.org/doku.php?id=cracking_wpa" bağlantısından kullanım detaylarına ulaşabilirsiniz.
İnternetin çıkışını gerçekleştiren cihazlara şifreleme (WEP, WPA, WPA2, WPA3 vb.) algoritmaları güvenlik tedbirleri gereğince oluşturulur. Portlar vasıtasıyla internet erişimi gerçekleştirilir. Port, internet trafiğinin iletişim esnasındaki uç noktasıdır denilebilir. Çünkü günün sonunda her port belirli servise veya yazılıma tabiidir. 
WEP (Wired Equivalent Privacy/Kabloluya Eş Değer Gizlilik), günümüzde kullanımı önerilmemektedir nedeniyse birçok güvenlik açığına sahiptir. Dolayısıyla WEP üzerinde birbirinden farklı iyileştirmeler ve çözümler getirilmeye çalışılmıştır. 
WPA (Wi-Fi Protected Access/Wi-Fi Korumalı Erişim), WEP tabanlı bir şifreleme türüdür. WEP şifreleme türünün geliştirilmesi, iyileştirilmesi ve pek çok sorununun giderilmesi ile oluşturulmuştur.
Ağla ilgili merak ettiğiniz diğer detaylara "https://www.ilteriskaanpehlivan.com.tr/2022/12/ag-network-nedir.html" bağlantısındaki yazımdan ulaşabilirsiniz.

Master Key (Ana Anahtar), ücretsiz Wi-Fi erişimi için eşler arası bir Wi-Fi paylaşım mobil uygulama yazılımıdır.
Transient Key (Geçiş Anahtarı), bir istemci (client) istasyonu ile erişim noktası (access point) arasındaki tüm tek noktaya yayın trafiğini şifrelemek için kullanılmaktadır. PTK, bir istemci istasyonu ile erişim noktası arasında benzersizdir. PTK oluşturmak için, istemci cihaz ve erişim noktası aşağıdaki bilgilere ihtiyaç duyar.
EAPOL HMAC (Extensible Authentication Protocol over LAN/LAN Üzerinden Genişletilebilir Kimlik Doğrulama Protokolü), WPA/WPA2'de kullanılan bir kimlik doğrulama protokolüdür. Yardımcı programı, bir kullanıcının kimliğini doğrulamak ve gelecekteki şifreleme anahtarının türetileceği paylaşılan bir veriyi oluşturmaktadır.
Tabi genellikle Evil Twin (Şeytani İkiz) vb. atak metotlarıyla da saldırıyı art niyetli saldırgan veya saldırganlar yapmaktadırlar. Saldırının detaylarına "https://www.kaspersky.com/resource-center/preemptive-safety/evil-twin-attacks" bağlantısından ulaşabilirsiniz. airgeddon adlı araç içerisinde birçok araç bulunmaktadır ve barınan araçlarla handshake brute force yönelik saldırılar yapılsa da yazımızla pek alakası bulunmayan Evil Twin (Şeytani İkiz) saldırısı için yüzeysel geçmeliyiz ki kafa karışıklığı yaşanmasın da yapı olarak birbirine benzese de parolayı bir phishing (oltalama) saldırısıyla elde ettiğimizden brute force saldırısındaki vakti kaybetmeden elde edebilmekteyiz fakat yerlese hani.
Değerli vaktinizi ayırıp yazımı okuduğunuz için teşekkürlerimi takdim ederim ve iyi günler geçirmeniz dileklerimle.