Meterpreter Mimikatz Eklentisi İle RAM Üzerinden Parolanın Açık Halinin Elde Edilmesi

Etki alanı sızma testleri sırasında Windows işletim sistemine yetkili erişim sağlandıktan sonra, gerçekleştirilen adımlardan birisi bellek üzerinden parolaların açık halinin elde edilmesidir. Bu amaçla WCE veya Mimikatz gibi araçlar kullanılabilmektedir. Bu yazıda, Meterpreter tarafından sunulan Mimikatz eklentisi ile parolanın açık hali elde edilecektir.

WCE ve Mimikatz araçları temel olarak RAM üzerinde bulunan kimlik doğrulama paketlerindeki (authentication packages) kimlik bilgilerini (şifreli parola ve parola özetlerini, kullanıcı adı gibi) okur, parolayı (ve MSV1_0.dll için parola özetini) şifreleyen şifreleme anahtarını elde eder. Sonrasında ise, şifreli kimlik bilgilerini çözer (deşifre eder). Bu yazıda, Meterpreter bağlantısı elde edilmiş bir Windows 7 64 bit bir bilgisayar için parolanın açık hali elde edilecektir.

Meterpreter ile parolaları açık olarak elde etmek için, 64 bitlik Windows 7 işletim sisteminde, SYSTEM hakları elde ettikten sonra, Mimikatz eklentisi yüklenir.

getuid
getpid
load mimikatz
help

Mimikatz komutlarında da görüldüğü gibi, SSP belirtilerek parolanın açık hali elde edilir.

wdigest

Meterpreter Mimikatz eklentisi kullanıldıktan sonra, dikkat edilmesi gereken noktalardan birisi, 64 bitlik işletim sisteminde, 64 bitlik bir proses ile çalışma yapılıyor olmasıdır. Eğer 32 bitlik bir proseste iken, 64 bitlik LSASS prosesinden parolanın açık hali elde edilmeye çalışılırsa hata alınır.

getuid
getpid
ps -A x86 -s
load mimikatz
wdigest

Bu sebeple, 64 bitlik bir prosese sıçranması gerekir.

ps -A x86_64 -s
migrate 1672
wdigest