Fiziksel Olarak Erişim Sağlanan Windows İşletim Sisteminde samdump2 ve bkhive Araçları ile Yerel Parola Özetlerinin Elde Edilmesi

0
606
views
Kurumlardaki bilgisayarların fiziksel güvenliği, kritik öneme sahiptir. Bu yazıda, gerekli önlemler alınmamış ve fiziksel olarak erişim sağlanmış olan bir Windows 7 bilgisayarda, samdump2 ve bkhive araçları ile yerel kullanıcı parola özetlerinin, herhangi bir kimlik bilgisi olmadan elde edilebileceği görülecektir.

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

Bu yazıda SAM ve SYSTEM dosyaları elde edildikten sonra, samdump2 ve bkhive adlı 2 araç yardımıyla yerel kullanıcıların parola özetleri elde edilecektir.

Not: İşletim sisteminde standart yetkilere sahip bir hesap ile oturum açık iken, SAM ve SYSTEM dosyaları elde edilememektedir. Çünkü, standart bir hesabın bu dosyaları erişim yetkisi yoktur. Bu yazının amacı, standart yetkilere sahipken – hatta hiç bir yetkiye sahip değilken – fiziksel olarak erişim sağlanan bilgisayarda yerel hesapların parola özetlerine sahip olmaktır.

SAM dosyalarına erişim için, NTFS ile formatlanmamış ancak NTFS modülü olan Kali kullanılarak disk sistemine erişim sağlanacaktır. Bu amaçla Kali ISO dosyası sanal makinenin CD/DVD ROM’una konulur.

fiziksel-olarak-erisim-saglanan-windows-isletim-sisteminde-samdump2-ve-bkhive-araclari-ile-yerel-parola-ozetlerinin-elde-edilmesi-01

Bilgisayar yeniden başlatılır ve sistem harddiskten okumaya başlamadan önce, SETUP penceresinin gelmesi için gerekli tuş kombinasyonuna (F2 gibi) basılır.

fiziksel-olarak-erisim-saglanan-windows-isletim-sisteminde-samdump2-ve-bkhive-araclari-ile-yerel-parola-ozetlerinin-elde-edilmesi-02

Gelen Boot Menu penceresinde CD-ROM sürücüsü seçilir.

fiziksel-olarak-erisim-saglanan-windows-isletim-sisteminde-samdump2-ve-bkhive-araclari-ile-yerel-parola-ozetlerinin-elde-edilmesi-03

Kali işletim sistemi başlatılır.

fiziksel-olarak-erisim-saglanan-windows-isletim-sisteminde-samdump2-ve-bkhive-araclari-ile-yerel-parola-ozetlerinin-elde-edilmesi-04

Artık, harddiskteki Windows işlemine ait dosyalar değil, Kali sürümüne ait dosyalar yüklenerek sistem açılır.

fiziksel-olarak-erisim-saglanan-windows-isletim-sisteminde-samdump2-ve-bkhive-araclari-ile-yerel-parola-ozetlerinin-elde-edilmesi-05

Bilgisayar açıldığında erişim sağlanan bilgisayarın harddiski görülür.

fiziksel-olarak-erisim-saglanan-windows-isletim-sisteminde-samdump2-ve-bkhive-araclari-ile-yerel-parola-ozetlerinin-elde-edilmesi-06

Bu diskin içerisine girildiğinde (mount işlemi gerçekleştiğinde) masaüstünde de bir dosya (dizin) otomatik olarak oluşur.

fiziksel-olarak-erisim-saglanan-windows-isletim-sisteminde-samdump2-ve-bkhive-araclari-ile-yerel-parola-ozetlerinin-elde-edilmesi-07

Bu dizin içerisinde Windows işletim sistemine ait dosyalar bulunmaktadır. Elde edeceğimiz SAM/SYSTEM dosyaları Windows\System32\config dizini altındadır.

fiziksel-olarak-erisim-saglanan-windows-isletim-sisteminde-samdump2-ve-bkhive-araclari-ile-yerel-parola-ozetlerinin-elde-edilmesi-08

Bu dosyaların birer kopyası Kali bilgisayarda oturum açılan (root) hesabın masaüstüne alınır.

fiziksel-olarak-erisim-saglanan-windows-isletim-sisteminde-samdump2-ve-bkhive-araclari-ile-yerel-parola-ozetlerinin-elde-edilmesi-09

Sonrasında bkhive aracıyla SYSTEM dosyasınn içerisinden SYSKEY elde edilir.

bkhive SYSTEM SAM_Anahtari

fiziksel-olarak-erisim-saglanan-windows-isletim-sisteminde-samdump2-ve-bkhive-araclari-ile-yerel-parola-ozetlerinin-elde-edilmesi-10

Son olarak da bu dosya ve SAM dosyası samdump2 aracına verilir ve yerel hesapların parola özetleri elde edilir.

samdump2 SAM SAM_Anahtari

fiziksel-olarak-erisim-saglanan-windows-isletim-sisteminde-samdump2-ve-bkhive-araclari-ile-yerel-parola-ozetlerinin-elde-edilmesi-11

 

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

CEVAP VER

Yorumunuzu giriniz
İsminizi giriniz

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.