Komut Satırı Erişimi Sağlanan Bilgisayardan Alınan LSASS Prosesine Ait Dump Dosyasının Mimikatz Aracına Verilerek Parolaların Açık Halinin Elde Edilmesi

0
610
views
Etki alanı sızma testleri sırasında Windows işletim sistemine yetkili erişim sağlandıktan sonra, gerçekleştirilen adımlardan birisi bellek üzerinden parolaların açık halinin elde edilmesidir. Bu amaçla WCE veya Mimikatz gibi araçlar kullanılabilmektedir. Bu yazıda, Windows işletim sistemindeki komut satırında LSASS prosesinin dump hali alınacak ve Mimikatz aracı ile parolanın açık hali elde edilecektir.

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

WCE ve Mimikatz araçları temel olarak RAM üzerinde bulunan kimlik doğrulama paketlerindeki (authentication packages) kimlik bilgilerini (şifreli parola ve parola özetlerini, kullanıcı adı gibi) okur, parolayı (ve MSV1_0.dll için parola özetini) şifreleyen şifreleme anahtarını elde eder. Sonrasında ise, şifreli kimlik bilgilerini çözer (deşifre eder). Bu yazıda, DCMakinesi adlı 64 bit mimarideki Windows Server 2008 R2 bilgisayarda yerel yönetici hakları ile komut satırı erişimi sağlanabildiği varsayılacaktır. Komut satırı erişimi sağlandıktan sonra LSASS prosesinin dump dosyası ele geçirilirse, oturumu açık olan veya bir şekilde kimlik doğrulaması gerçekleştiren hesaplara (bu yazı için Administrator, Jale ve Zeynep) ait kimlik bilgileri elde edilebilir. Bu amaçla, öncelikle hedef sisteme Windows Systernals aracı olan Procdump aracı indirilir. Bu araç kullanılarak LSASS prosesinin dump hali elde edilir.

procdump.exe -accepteula -ma lsass.exe LSASS_Prosesi.dmp

obtaining-clear-text-password-from-lsass-dump-file-that-is-stolen-from-remote-desktop-command-line-using-mimikatz-tool-01

Dump dosyası, aynı mimariye sahip (64 bit mimarideki Windows 7 veya Windows Server 2008 R2) bir bilgisayara taşınıp Mimikatz aracına parametre olarak verilirse, LSASS prosesinde kayıtlı olan kimlik bilgileri elde edilebilmektedir.

mimikatz.exe “sekurlsa::minidump LSASS_Prosesi.dmp” “sekurlsa::wdigest” exit

obtaining-clear-text-password-from-lsass-dump-file-that-is-stolen-from-remote-desktop-command-line-using-mimikatz-tool-02

Komut çıktısının devamında kimlik bilgilerinin olduğu görülmektedir.

obtaining-clear-text-password-from-lsass-dump-file-that-is-stolen-from-remote-desktop-command-line-using-mimikatz-tool-03

 

 

Not: Benzer olarak kullanılabilecek bir başka komut da aşağıdaki gibidir.

Powershell.exe -c C:\Windows\System32\rundll32.exe “C:\windows\System32\comsvcs.dll”, MiniDump (Get-Process lsass).id C:\temp\lsass.dmp full

 

Kaynaklar:

https://www.ired.team/offensive-security/credential-access-and-credential-dumping/dump-credentials-from-lsass-process-without-mimikatz

 

 

 

 

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

CEVAP VER

Yorumunuzu giriniz
İsminizi giriniz

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.