Penetrasyon Testi İçin En İyi 11 Brute Force Aracı

Penetrasyon Testi İçin En İyi 11 Brute Force Aracı

Siber güvenlik için önemli bir uygulama olan penetrasyon testi nedir? Pentest nasıl yapılır? Brute-force saldırısı için kullanılan en araçlar ve programlar.

Siber saldırıların günümüz internet ağlarında oldukça yaygınlaşması, bilgi güvenliği teknolojilerinin gün geçtikçe yeni önlemler almasına neden oluyor.

İşletmelerin web sitelerinin istismar edilebilir güvenlik açıklarını tespit edebilmek ve sistemi kontrol ederek önlemler alabilmek için uzmanlar tarafından penetrasyon testleri simüle ediliyor.

Genellikle ağın güvenlik duvarının güçlendirilmesi amaçlanan bu testler ile herhangi bir siber saldırı esnasında web siteniz için önemli olan verilerin çalınmasının önüne geçiliyor.

Penetrasyon Testi Nedir?

Sızma testi veya pen test olarak da bilinen penetrasyon testi hedef ağın (network) uygulama protokol arabirimleri başka bir deyişle API’ler, backend ve frontend sunuculara brute force yöntemiyle erişimin sağlanmasını kapsar.

Nitekim ağa erişimi olan bir kişi tarafından da hacklenebilecek çeşitli ihlal atraksiyonları da içerebilir. Penetrasyon testi 5 aşamadan meydana gelir. Bu aşamalar aşağıda maddeler halinde verilmiştir.

Penetrasyon Testi Aşamaları

  • Plan ve Keşif

Testin Kapsamı ve hedeflerin belirlenmesi

  • Analiz

Statik ve dinamik analizlerle hedef ağın çeşitli saldırı atraksiyonlarına nasıl tepki vereceği ölçülür.

  • Erişim Kazanma

Hedef ağın güvenlik açıklarını ifşa etmek için XSS scripti oluşturma, SQL enjeksiyonu ve backdoor saldırıları kullanarak veri çalarak ziyaretçi trafiğini engelleme gibi birçok hack girişimini kapsar.

  • Erişimin Devamlılığı

Bu aşamada siber saldırganın sistemi ne kadar süre sömürebileceği ve derinlemesine erişim elde edebileceği test edilir. Örnek olarak; hassas bilgileri çalmak için aylarca sistemde kalan gelişmiş, kalıcı tehditlerin (APT) yasadışı ve uzun vadeli bir mevcudiyet kampanyası yürütmesi gösterilebilir.

  • Sonuç Analizi

Sızma testi sonuçlarının raporlar halinde düzenlenerek ilgili kişilere sunulmasını içerir.

Brute Force Saldırısı Nedir?

Kaba kuvvet saldırısı olarak türkçeleştirilebilen siber saldırıların genel adıdır. En temel hack atraksiyonudur. Örnek vererek açıklamak gerekirse; Bir sürü anahtardan oluşan bir anahtarınız var ve bu anahtarları da deneyebileceğiniz kilitli bir sandık!

Nitekim doğru anahtarı bulmak için elinizdeki tüm anahtarları kilit yuvasına sokarak denemeniz gerekir. Eninde sonunda anahtarlardan biri doğru çıkar ve sandık açılır. İşte Brute Force saldırısı da bu örnekle eşdeğer bir siber saldırı yöntemidir.

Site ve web uygulamalarının kullanıcı giriş panelini hedef alan Brute Force programları binlerce şifre kombinasyonu deneyerek kullanıcı giriş bilgilerine erişim sağlayabilir. Bu durumda veri ihlalleri ve ağa izinsiz erişim sağlanır. Bu süreçten sonra siber saldırganın tespiti çok zordur ve istediği gibi sistemi hackleyebilir.

Brute Force Saldırısı Nasıl Önlenir?

Her ne kadar temel bir siber saldırı yöntemi olsa da son 10 yıl içerisinde çıkan bilgisayar donanımları milyonlarca işlemi saatler içerisinde çözebilecek yetkinliğe sahiptir. Dolayısıyla 8 karakterli alfasayısal bir şifreyi (büyük harf ve küçük harf duyarlı, sayı ve özel karakter) yaklaşık iki saat içinde Brute Force yöntemi ile kırmak mümkündür. Peki web site sahipleri ve kullanıcıları bu saldırıdan korunmak için neler yapabilir?

Öncelikle büyük, küçük harfler, sayılar ve özel karakterler içeren 8 haneden fazla olan şifreler tercih edilmelidir. Birkaç hane fazla olan şifreniz brute force deneme yanılma kombinasyonlarını trilyonlarca olasılığa çıkarabilir. Kullanıcı giriş paneli için CAPTCHA güvenlik önlemi kullanılabilir. Oturum açma işlemlerini belirli IP adresleriyle sınırlandırabilirsiniz.

En önemlisi de 2FA olarak bilinen iki faktörlü kimlik doğrulama kullanabilirsiniz. Tabi bu önlemler bazı durumlarda yetersizdir. İşini bilen bir siber saldırgan her halükarda sisteminize erişebilir. Dolayısıyla site ve web uygulamalarınızın ihlal edilebilir güvenlik açıklarının olması sisteminizin ağ güvenliğini olumsuz etkiler.

Bu güvenlik açıklarını tespit etmek için bilgi güvenliği teknolojisi uzmanları olası bir hacker saldırısına karşı ağınızdaki güvenlik açıklarını bularak sonrasında önlemler almak amacıyla güvenli bir ortamda penetrasyon testleri gerçekleştirir.

Penetrasyon Testi İçin Brute Force Araçları

Sistemlerinizde penetrasyon testleri yapabileceğiniz açık kaynaklı, en iyi 11 Brute Force saldırısı aracını güvenlik açıklarını tespit etmek için kullanabilirsiniz.

Github ve ilgili programların resmi sitelerine erişmek için program isminin başlığına tıklamanız yeterlidir. Penetrasyon testi konusunda uzman değilseniz testleri bir uzman gözetiminde gerçekleştirmeniz veya ilgili hizmet sağlayıcılarına danışmanızı öneririz.

1. Gobuster

Gobuster
Gobuster

Gobuster web sitesi ve URL subdomainlerindeki dizinler ve dosyalara erişmek için uygulanan Kali Linux uyumlu Brute Force saldırısı aracıdır. Linux’ta terminal ekranı kullanılarak apt deposundan otomatik olarak bilgisayara indirilip kurulabilir. Programı kurmak için aşağıdaki kod satırını linux terminal ekranına yazmanız yeterlidir.

apt-get install gobuster

2. Brutex

Brutex
Brutex

BruteX penetrasyon işlemini daha hızlı hale getiren kabuk tabanlı ve açık kaynaklı bir hack programıdır. Nmap, Hydra ve DNSenum araçlarıyla ortak çalışarak hedef sisteme Brute Force saldırısı gerçekleştirir. Aracı apt deposundan indirmek için aşağıdaki kod satırını linux terminale yazın.

git clone https://github.com/1N3/BruteX.git

Ardından indirilen bağlamları bilgisayara kurmak için alttaki kod satırını yazın.

cd BruteX/ 
./install.sh

Kurulum işlemi bittikten sonra tek yapmanız gereken açılan arayüze hedef sistemin IP adresini yazmak. Süreç esnasında komut dosyası ağı numaralandırarak açık hizmetleri zorlamaya başlayacaktır.

3. Dirsearch

Dirsearch
Dirsearch

Dirsearch, web sunucu dizinlerinde yer alan dosya ve klasörlere Brute Force yöntemiyle erişmek amacıyla kullanılan bir komut satırı istemcisidir. Başka bir deyişle web içeriği tarayıcısıdır.

6 yıldır geliştirilen Dirsearch, yüksek doğruluk, etkileyici performans ve gelişmiş bağlantı senkronizasyonu ile modern Brute Force teknikleri sunan tam teşekküllü bir penetrasyon testi aracıdır.

Python programlama diliyle yazılan Dirsearch dizinlerde bulunan gizli dosyalara kaba kuvvet uygulayarak erişmeye çalışır. Çoklu iş parçacığı, proxy desteği gibi çoklu uzantı özellikleri sayesinde web dizini tarayıcısı alanındaki en yetkin araçtır. Dirsearch’ü Kali Linux sisteminde terminal kullanarak indirmek için aşağıda yazan kod satırını yazınız.

git clone https://github.com/maurosoria/dirsearch.git

Kurulum işleminden sonra bilgisayar dizinlerinde dirsearch.py dosyasını arayın. Dosyayı bulduktan sonra açın ve [-h] parametresi ile parametre fonksiyonlarını sorgulatın. Aşağıda nasıl sorgulatmanız gerektiğiyle ilgili kod satırı bulunuyor.

/dirsearch.py ​​-h

4. Callow

Callow
Callow

Callow, web sitesi kullanıcı giriş panellerine kaba kuvvet uygulayan en temel Brute Force aracıdır. Gpl-3.0 lisansı ile korunan Callow  penetrasyona yeni başlayanlar için adeta biçilmiş kaftandır. Basit olduğu kadar ilginç derecede sezgisel bir mantığa sahiptir. Python programlama diliyle yazılmıştır.

Callow’u kendi dizininize indirmek için aşağıdaki kod satırını terminale yazın.

git clone https://github.com/maximousblk/callow.git

Daha sonra bağımlılıkları yüklemek için aşağıdaki kodu terminale yazın.

cd callow

Devamında Python programlama dilinin Selenium ve Request modüllerini kurun. Altta yer alan kod satırı bu gereklilikleri kurmak içindir.

python -m pip install --user -r requirements.txt

Son olarak Chrome’u Python’dan kontrol edebilmek için bir sürücü indirmeniz gerekiyor. Bu sürücüyü indirmek için Chromium sürücü indirme adresini ziyaret edin.

5. SSB

SSB
SSB

Secure Shell Bruteforcer anlamına gelen SSB, SSH serverlar için basit bir Brute Force aracıdır. Benzeri araçlara göre güvenli bir arayüz hizmeti sunar.

6. Thc-Hydra

Hydra; Telnet, RDP, SSH, FTP, HTTP, HTTPS, SMB gibi veritabanı ve protokollere karşı aktif parola kırma saldırıları yapan çevrimiçi şifre kırma programıdır.

THC (The Hacker Choice) adlı hacker örgütü tarafından yaratılan Hydra, güvenlik ve BT uzmanlarına bir sisteme uzaktan yetkisiz erişimin ne kadar kolay sağlanabileceğini göstermek amacıyla geliştirilmiştir.

Hydra’yı kurmak için eğer Kali Linux veya Debian tabanlı işletim sistemleri kullanıyorsanız oldukça basit olan sudo deposunu kullanabilirsiniz. Hydra’yı sudo deposundan kurmak için terminale aşağıda yer alan kod satırını yazın.

sudo apt-get install hydra

7. Burp Suite

Burp Suite
Burp Suite

Burp Suite, penetrasyon testi uzmanları için temel bir Brute Force araç setidir. Monoton test görevlerini otomatikleştirerek performans odaklı bir yaklaşım sergiler.

Birçok benzersiz özelliği beraberinde getiren Burp Suite, web dizini tarama kapsamını arttırarak javascript ve API’leri test ederek pratik bir şekilde tarar. Listemizde yer alan diğer hack programlarına göre tamamen etik hack amacıyla üretilmiştir.

8. Patator

Patator
Patator

Patator, modüler bir tasarıma sahip olan çok amaçlı bir Brute Force saldırısı aracıdır. Kullanım kolaylığı ve esneklik açısından kulvarında en stabil programdır.

FTP, SSH, MySQL, SMTP, Telnet, DNS, SMB, IMAP, LDAP, rlogin ve Zip dosyaları gibi birçok modülü destekler.

Patator aracını indirmek için sudo deposunu kullanabilirsiniz. Kurulum işlemi için aşağıdaki kod satırını terminale yazın.

sudo apt-get install patator

Patator çoklu araç seti olduğundan ihtiyacınız olan bağımlılıkları indirmek için sudo kodunu kullanabilir patator yazan yere aşağıda maddeler halinde verdiğim bağımlılık isimlerini ekleyerek kurulum işlemini gerçekleştirebilirsiniz.

  • default-jre
  • libldap-2.4-2
  • python
  • python-crypto
  • python-dns
  • python-impacket
  • python-ipy
  • python-mysqldb
  • python-paramiko
  • python-psycopg2
  • python-pyasn1
  • python-pycurl
  • python-pysnmp4
  • unzip

9. Pydictor

Pydictor
Pydictor

Brute Force saldırıları için geliştirilmiş güçlü ve faydalı bir şifre üreticisi olan Pydictor listemizde yer alan diğer sızma testi programlarını destekleyici niteliktedir.

Sosyal mühendislik ve hedef web içeriğine dayalı Wordlist’ler üreten Pydictor son derece özelleştirilebilir yapısıyla birden çok yapılandırma dosyasını birleştirebilir leet moduyla filtreleme yapılabilir. Regex, lib, fun standartlarında son derece karmaşık Wordlist’ler oluşturabilirsiniz.

Pydictor Wordlist oluşturucu aracını Kali Linux işletim sistemine kurmak için aşağıdaki kod satırlarını sırasıyla terminale yazın.

git clone https://github.com/LandGrey/pydictor.git
cd pydictor
python pydictor.py

10. Ncrack

Ncrack
Ncrack

Bir ağ kimlik doğrulama aracı olan Ncrack tüm zamanların en çok kullanılan Brute Force aracıdır. Aynı anda birden fazla hedefe saldırmak için benzersiz özelliklere sahiptir. Bu nedenle Penetrasyon Testi İçin en iyi 11 Brute Force aracı listemizin ikinci sırasında yer alıyor.

Kali Linux işletim sisteminde hali hazırda bulunan Ncrack, terminale aşağıdaki kodu yazdığınız takdirde kullanmaya başlayabilirsiniz.

ncrack

Ncrack çok yönlü bir pen test aracı olduğundan popüler ağ kimliği doğrulama biçimlerinin çoğunu test edebilirsiniz. Destekleyen biçimleri görmek için terminale aşağıdaki kodu yazın.

ncrack -v

11. Hashcat

Listemizin en popüler şifre kırıcısı olan Hashcat en karmaşık şifre kombinasyonlarını dahi kırabilecek potansiyeldedir. O yüzdendir ki dünyanın en hızlı şifre kırıcı programı olarak seçilmiştir.

Hashing işlemi tersine mühendisliği oldukça zorlu kılan matematiksel algoritmalardan oluşur. Bu nedenle parolaları kırmanın etkili ve verimli bir yolunu bulmak için önceden hesaplanmış sözlükler, tablolar ve hatta Brute Force kullanır. Hashcat Kali Linux’ta yerleşik olarak gelir. Dolayısıyla aşağıdaki kodu terminale yazınca başlatılabilir

hashcat -h

Önemli Uyarı: Brute Force araçlarını Kali Linux işletim sisteminde kurmanızı tavsiye ediyoruz. Araçlardan birkaçı MAC ve Windows uyumludur ancak işletim sistemi protokollerinden kaynaklı olarak stabil çalışmayabilir.

Ayrıca bu tarz hacker içerikleri ilginizi çekiyorsa, yine sitemizde yer alan “En İyi Hack Cihazları ve Hacker Malzemeleri” adlı rehberimize göz atabilirsiniz.

Abone ol
Bildir
guest
0 Yorum
Satır İçi Geri Bildirimler
Tüm yorumları görüntüle
İlgili İçerikler