WCE ve Mimikatz araçları temel olarak RAM üzerinde bulunan kimlik doğrulama paketlerindeki (authentication packages) kimlik bilgilerini (şifreli parola ve parola özetlerini, kullanıcı adı gibi) okur, parolayı (ve MSV1_0.dll için parola özetini) şifreleyen şifreleme anahtarını elde eder. Sonrasında ise, şifreli kimlik bilgilerini çözer (deşifre eder). Bu yazıda, Meterpreter bağlantısı elde edilmiş bir Windows 7 64 bit bir bilgisayar için parolanın açık hali elde edilecektir.
Meterpreter ile parolaları açık olarak elde etmek için, 64 bitlik Windows 7 işletim sisteminde, SYSTEM hakları elde ettikten sonra, Mimikatz eklentisi yüklenir.
getuid
getpid
load mimikatz
help
Mimikatz komutlarında da görüldüğü gibi, SSP belirtilerek parolanın açık hali elde edilir.
wdigest
Meterpreter Mimikatz eklentisi kullanıldıktan sonra, dikkat edilmesi gereken noktalardan birisi, 64 bitlik işletim sisteminde, 64 bitlik bir proses ile çalışma yapılıyor olmasıdır. Eğer 32 bitlik bir proseste iken, 64 bitlik LSASS prosesinden parolanın açık hali elde edilmeye çalışılırsa hata alınır.
getuid
getpid
ps -A x86 -s
load mimikatz
wdigest
Bu sebeple, 64 bitlik bir prosese sıçranması gerekir.
ps -A x86_64 -s
migrate 1672
wdigest