Yönetici Hakları ile Elde Edilen Oturumda Meterpreter “hashdump” Komutu ile, MSF “hashdump” Post Modülü ve MSF “smart_hashdump” Post Modülü ile Yerel Hesaplara Ait Parola Özetlerinin Ele Geçirilmesi

Windows sızma testleri sırasında Metasploit tarafından sunulan komut ve modüllerle yerel hesapların parola özetleri elde edilebilir. Bu yazıda Meterpreter “hashdump” komutu, MSF “hashdump” post modülü ve MSF “smart_hashdump” post modülü ile parola özetlerinin elde edilmesi incelenecektir.

Meterpreter “hashdump” Komutu

Meterpreter “hashdump” komutu ile, LSASS prosesine kod enjekte edilir ve CreateThread() fonksiyonu kullanılarak yerel kullanıcılara ait bilgiler (kullanıcı adı ve parolaların özetleri) elde edilir.

Windows 7 bir istemcide Meterpreter “hashdump” komutunun çıktısı aşağıdaki gibidir:

acquiring-windows-password-hashes-by-using-meterpreter-hashdump-command-and-msf-hashdump-post-module-amd-msf-smart-hashdump-post-module-01

Meterpreter “hashdump” komutu ile, diske direk erişim gerçekleşmediği için bellek (RAM) analizi ile tespit edilebilir. Bunun yanında, bu teknikte LSASS prosesine kod enjekte edildiği için işletim sisteminin kararlılığı olumsuz etkilenebilir ve sistem çökebilir.

Meterpreter “hashdump” komutunu çalıştırabilmek için, SYSTEM veya yerel yönetici hakları ile çalışan bir proses yetkisine sahip olmak yeterlidir. Eğer işletim sistemi 64 bitlik ise, mevcut prosesin de 64 bit olması gerekmektedir. Aksi halde LSASS prosesine sıçranamayacağı için parola özetleri elde edilemeyecektir. Meterpreter migrate komutu ile 64 bitlik bir prosese sıçranması yerine, başka bir prosese ait jetonu çalma (Meterpreter “impersonate_token” ve Meterpreter “steal_token”) tekniklerinin kullanılması da parola özetlerini Meterpreter “hashdump” komutu ile elde edilmesini sağlamayacaktır.

 

MSF “hashdump” Post Modülü

MSF “hashdump” post modülü ile, kayıt defterindeki bilgiler kullanılarak (HKLM\SAM ve HKLM\SYSTEM) yerel kullanıcılara ait parola özetleri elde edilir.

Windows 7 bir istemcide MSF “hashdump” post modülünün çıktısı aşağıdaki gibidir:

acquiring-windows-password-hashes-by-using-meterpreter-hashdump-command-and-msf-hashdump-post-module-amd-msf-smart-hashdump-post-module-02

MSF “hashdump” post modülünü çalıştırabilmek için, SYSTEM hakları ile çalışan bir proses yetkisine sahip olmak gereklidir. Yerel yönetici haklarına sahip olunması durumunda SYSTEM yetkilerine sahip bir prosese sıçranmalı veya SYSTEM yetkilerine sahip bir prosesin kimliğine bürünülmelidir. İşletim sisteminin ve çalışan prosesin mimarisinin (32 bit veya 64 bit) bir önemi bulunmamaktadır.

Not: Etki alanı denetleyicisi (DC) üzerinde MSF “hashdump” modülünün çalıştırılması hatalı sonuçlar verebilmektedir. Bu sebeple, DC üzerinde bu post modülün kullanılmaması tavsiye edilmektedir.

 

MSF “smart_hashdump” Post Modülü

MSF “smart_hashdump” post modülü ile parola özetinin elde edilmesi çeşitli adımlarla gerçekleştirilir. Bu adımlar aşağıdaki gibi sıralanabilir.

  • Sahip olunan yetki, üzerinde bulunulan işletim sistemi, işletim sisteminin rolü (etki alan denetleyicisi veya standart istemci) belirlenir.
  • Kayıt defteri okunabiliyorsa (özellikle SYSTEM hakkına sahip olunmuşsa), kayıt defterinden SAM anahtarının altı okunur.
  • Bilgisayar etki alanı denetleyicisi (DC) rolünde ise, LSASS içerisine kod enjekte edilir ve yerel hesapların parola özetleri elde edilir.
  • İşletim sistemi Windows Server 2008 ise ve yönetici haklarına sahip olunmuşsa, aşağıdaki 3 adım gerçekleştirilir:
    • Meterpreter getsystem komutu ile SYSTEM hakkı elde edilir.
    • Eğer hata alındı ise, SYSTEM hakkıyla çalışan bir prosese (wininit.exe) sıçranır.
    • Sonrasında da LSASS prosesine kod enjekte edilir.
  • İşletim sistemi Windows 7 ve üzeri bir işletim sistemi iken, bu bilgisayarda UAC devre dışı ve yönetici haklarına sahip olunmuş ise, aşağıdaki 2 adım gerçekleştirilir:
    • Meterpreter getsystem komutu ile SYSTEM hakkı elde edilir
    • Kayıt defterindeki SAM anahtarı okunur.
  • İşletim sistemi Windows 2000/2003 veya XP ise, aşağıdaki 2 adım gerçekleştirilir:
    • Meterpreter getsystem komutu ile SYSTEM hakkı elde edilir
    • Kayıt defterindeki SAM anahtarı okunur.

Windows 7 bir istemcide MSF “smart_hashdump” post modülünün çıktısı aşağıdaki gibidir:

acquiring-windows-password-hashes-by-using-meterpreter-hashdump-command-and-msf-hashdump-post-module-amd-msf-smart-hashdump-post-module-03

Windows Server 2008 R2 bir etki alanı denetleyicisinde (DC) MSF “smart_hashdump” post modülünün çıktısı aşağıdaki gibidir:

acquiring-windows-password-hashes-by-using-meterpreter-hashdump-command-and-msf-hashdump-post-module-amd-msf-smart-hashdump-post-module-04

MSF “smart_hashdump” post modülünün çalıştırabilmek için, SYSTEM hakları ile çalışan herhangi bir proses yetkisine sahip olmak yeterlidir. Yerel yönetici haklarına sahip olunması durumunda SYSTEM yetkilerine sahip bir prosese sıçranmalı veya SYSTEM yetkilerine sahip bir prosesin kimliğine bürünülmelidir. İşletim sisteminin ve çalışan prosesin mimarisinin (32 bit veya 64 bit) bir önemi bulunmamaktadır.

 

http://blog.packetheader.net/2014/10/post-exploitation-metasploit-and.html

Yazarın Bilgileri

Ertuğrul BAŞARANOĞLU
Ertuğrul BAŞARANOĞLU

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Kullanabileceğiniz HTLM etiketleri ve özellikleri: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

Bu sayfada incelenen konulardan doğacak sorunlar kişinin kendi sorumluluğundadır.