Mimikatz Aracı ile RAM Üzerinden Parolanın Açık Halinin Elde Edilmesi

Etki alanı sızma testleri sırasında Windows işletim sistemine yetkili erişim sağlandıktan sonra, gerçekleştirilen adımlardan birisi bellek üzerinden parolaların açık halinin elde edilmesidir. Bu amaçla WCE veya Mimikatz gibi araçlar kullanılabilmektedir. Bu yazıda, Mimikatz aracı ile parolanın açık hali elde edilecektir.

WCE ve Mimikatz araçları temel olarak RAM üzerinde bulunan kimlik doğrulama paketlerindeki (authentication packages) kimlik bilgilerini (şifreli parola ve parola özetlerini, kullanıcı adı gibi) okur, parolayı (ve MSV1_0.dll için parola özetini) şifreleyen şifreleme anahtarını elde eder. Sonrasında ise, şifreli kimlik bilgilerini çözer (deşifre eder). Bu yazıda, ele geçirilmiş olan Windows 7 64 bit bir bilgisayar için parolanın açık hali elde edilecektir.

Mimikatz aracının son sürümü http://blog.gentilkiwi.com/mimikatz adresindeki Github bağlantısından elde edilebilir. 64 bitlik Windows 7 işletim sisteminde, RAM üzerinde kayıtlı parolaların açık halini elde etmek için, yönetici hakları ile çalıştırılan komut satırında başlatılan Mimikatz aracına Debug yetkisi verilir. Sonrasında da SSP değeri ile çalıştırılır.

C:\Users\Kerem\Desktop\mimikatz_trunk\x64
mimikatz.exe
privilege::debug
sekurlsa::wdigest

obtaining-clear-text-password-from-ram-using-mimikatz-tool-01

Tüm SSP değerleri için parolalar elde edilmek isteniyorsa, “sekurlsa::logonPasswords all” komutu kullanılır.

obtaining-clear-text-password-from-ram-using-mimikatz-tool-02

Tek bir satırda mimikatz aracını çalıştırmak için, her bir komut tırnak işaretleri arasında parametre olarak verilebilir.

mimikatz.exe “privilege::debug” “sekurlsa::logonPasswords full” “exit”

obtaining-clear-text-password-from-ram-using-mimikatz-tool-03

İlk 2 parametre çalıştıktan sonra, “exit” parametresi ile Mimikatz kabuğundan otomatik olarak çıkıldığı görülmektedir:

obtaining-clear-text-password-from-ram-using-mimikatz-tool-04

 

 

 

Yazarın Bilgileri

Ertuğrul BAŞARANOĞLU
Ertuğrul BAŞARANOĞLU

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Kullanabileceğiniz HTLM etiketleri ve özellikleri: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

Bu sayfada incelenen konulardan doğacak sorunlar kişinin kendi sorumluluğundadır.