Masaüstü Erişimi Sağlanan Bilgisayardan Alınan LSASS Prosesine Ait Dump Dosyasının Mimikatz Aracına Verilerek Parolaların Açık Halinin Elde Edilmesi

Etki alanı sızma testleri sırasında Windows işletim sistemine yetkili erişim sağlandıktan sonra, gerçekleştirilen adımlardan birisi bellek üzerinden parolaların açık halinin elde edilmesidir. Bu amaçla WCE veya Mimikatz gibi araçlar kullanılabilmektedir. Bu yazıda, Windows işletim sistemindeki masaüstü oturumunda LSASS prosesinin dump hali alınacak ve Mimikatz aracı ile parolanın açık hali elde edilecektir.

WCE ve Mimikatz araçları temel olarak RAM üzerinde bulunan kimlik doğrulama paketlerindeki (authentication packages) kimlik bilgilerini (şifreli parola ve parola özetlerini, kullanıcı adı gibi) okur, parolayı (ve MSV1_0.dll için parola özetini) şifreleyen şifreleme anahtarını elde eder. Sonrasında ise, şifreli kimlik bilgilerini çözer (deşifre eder). Bu yazıda, DCMakinesi adlı 64 bit mimarideki Windows Server 2008 R2 bilgisayarda yerel yönetici hakları ile masaüstü erişimi sağlanabildiği varsayılacaktır. Masaüstü erişimi sağlandıktan sonra LSASS prosesinin dump dosyası ele geçirilirse, oturumu açık olan veya bir şekilde kimlik doğrulaması gerçekleştiren hesaplara (bu yazı için Administrator, Jale ve Zeynep) ait kimlik bilgileri elde edilebilir. Bu amaçla, öncelikle görev yöneticisi üzerinde LSASS.exe prosesi seçilerek prosesin dump hali alınır.

obtaining-clear-text-password-from-lsass-dump-file-that-is-stolen-from-remote-desktop-connection-using-mimikatz-tool-01

Eğer bilgisayar uzun süre açık kalmışsa, RAM kapasitesi yüksekse veya başka sebeplerden ötürü bu işlem biraz zaman alabilir.

obtaining-clear-text-password-from-lsass-dump-file-that-is-stolen-from-remote-desktop-connection-using-mimikatz-tool-02

Dump alma işlemi bittikten sonra, dump dosyasının, işlemi gerçekleştiren hesaba (Jale) ait Temp dizinine otomatik olarak kaydedildiğine dair bir mesaj ile karşılaşılır.

obtaining-clear-text-password-from-lsass-dump-file-that-is-stolen-from-remote-desktop-connection-using-mimikatz-tool-03

Prosese ait dump dosyasının ilgili dizine lsass.dmp adı ile kaydolduğu görülmektedir.

obtaining-clear-text-password-from-lsass-dump-file-that-is-stolen-from-remote-desktop-connection-using-mimikatz-tool-04

Dump dosyası, aynı mimariye sahip (64 bit mimarideki Windows 7 veya Windows Server 2008 R2) bir bilgisayara taşınıp Mimikatz aracına parametre olarak verilirse, LSASS prosesinde kayıtlı olan kimlik bilgileri elde edilebilmektedir.

mimikatz.exe “sekurlsa::minidump lsass.dmp” “sekurlsa::wdigest” exit

obtaining-clear-text-password-from-lsass-dump-file-that-is-stolen-from-remote-desktop-connection-using-mimikatz-tool-05

Komut çıktısının devamında kimlik bilgilerinin olduğu görülmektedir.

obtaining-clear-text-password-from-lsass-dump-file-that-is-stolen-from-remote-desktop-connection-using-mimikatz-tool-06

Yazarın Bilgileri

Ertuğrul BAŞARANOĞLU
Ertuğrul BAŞARANOĞLU

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Kullanabileceğiniz HTLM etiketleri ve özellikleri: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

Bu sayfada incelenen konulardan doğacak sorunlar kişinin kendi sorumluluğundadır.