Fiziksel Olarak Erişim Sağlanan Windows İşletim Sisteminde samdump2 ve bkhive Araçları ile Yerel Parola Özetlerinin Elde Edilmesi

Kurumlardaki bilgisayarların fiziksel güvenliği, kritik öneme sahiptir. Bu yazıda, gerekli önlemler alınmamış ve fiziksel olarak erişim sağlanmış olan bir Windows 7 bilgisayarda, samdump2 ve bkhive araçları ile yerel kullanıcı parola özetlerinin, herhangi bir kimlik bilgisi olmadan elde edilebileceği görülecektir.

Bu yazıda SAM ve SYSTEM dosyaları elde edildikten sonra, samdump2 ve bkhive adlı 2 araç yardımıyla yerel kullanıcıların parola özetleri elde edilecektir.

Not: İşletim sisteminde standart yetkilere sahip bir hesap ile oturum açık iken, SAM ve SYSTEM dosyaları elde edilememektedir. Çünkü, standart bir hesabın bu dosyaları erişim yetkisi yoktur. Bu yazının amacı, standart yetkilere sahipken – hatta hiç bir yetkiye sahip değilken – fiziksel olarak erişim sağlanan bilgisayarda yerel hesapların parola özetlerine sahip olmaktır.

SAM dosyalarına erişim için, NTFS ile formatlanmamış ancak NTFS modülü olan Kali kullanılarak disk sistemine erişim sağlanacaktır. Bu amaçla Kali ISO dosyası sanal makinenin CD/DVD ROM’una konulur.

acquiring-windows-password-hashes-using-samdump2-and-bkhive-01

Bilgisayar yeniden başlatılır ve sistem harddiskten okumaya başlamadan önce, SETUP penceresinin gelmesi için gerekli tuş kombinasyonuna (F2 gibi) basılır.

acquiring-windows-password-hashes-using-samdump2-and-bkhive-02

Gelen Boot Menu penceresinde CD-ROM sürücüsü seçilir.

acquiring-windows-password-hashes-using-samdump2-and-bkhive-03

Kali işletim sistemi başlatılır.

acquiring-windows-password-hashes-using-samdump2-and-bkhive-04

Artık, harddiskteki Windows işlemine ait dosyalar değil, Kali sürümüne ait dosyalar yüklenerek sistem açılır.

acquiring-windows-password-hashes-using-samdump2-and-bkhive-05

Bilgisayar açıldığında erişim sağlanan bilgisayarın harddiski görülür.

acquiring-windows-password-hashes-using-samdump2-and-bkhive-06

Bu diskin içerisine girildiğinde (mount işlemi gerçekleştiğinde) masaüstünde de bir dosya (dizin) otomatik olarak oluşur.

acquiring-windows-password-hashes-using-samdump2-and-bkhive-07

Bu dizin içerisinde Windows işletim sistemine ait dosyalar bulunmaktadır. Elde edeceğimiz SAM/SYSTEM dosyaları Windows\System32\config dizini altındadır.

acquiring-windows-password-hashes-using-samdump2-and-bkhive-08

Bu dosyaların birer kopyası Kali bilgisayarda oturum açılan (root) hesabın masaüstüne alınır.

acquiring-windows-password-hashes-using-samdump2-and-bkhive-09

Sonrasında bkhive aracıyla SYSTEM dosyasınn içerisinden SYSKEY elde edilir.

bkhive SYSTEM SAM_Anahtari

acquiring-windows-password-hashes-using-samdump2-and-bkhive-10

Son olarak da bu dosya ve SAM dosyası samdump2 aracına verilir ve yerel hesapların parola özetleri elde edilir.

samdump2 SAM SAM_Anahtari

acquiring-windows-password-hashes-using-samdump2-and-bkhive-11

 

Yazarın Bilgileri

Ertuğrul BAŞARANOĞLU
Ertuğrul BAŞARANOĞLU

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Kullanabileceğiniz HTLM etiketleri ve özellikleri: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

Bu sayfada incelenen konulardan doğacak sorunlar kişinin kendi sorumluluğundadır.