Mimikatz Aracı ile RAM Üzerinden Parolanın Açık Halinin Elde Edilmesi

0
1298
views
Etki alanı sızma testleri sırasında Windows işletim sistemine yetkili erişim sağlandıktan sonra, gerçekleştirilen adımlardan birisi bellek üzerinden parolaların açık halinin elde edilmesidir. Bu amaçla WCE veya Mimikatz gibi araçlar kullanılabilmektedir. Bu yazıda, Mimikatz aracı ile parolanın açık hali elde edilecektir.

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

WCE ve Mimikatz araçları temel olarak RAM üzerinde bulunan kimlik doğrulama paketlerindeki (authentication packages) kimlik bilgilerini (şifreli parola ve parola özetlerini, kullanıcı adı gibi) okur, parolayı (ve MSV1_0.dll için parola özetini) şifreleyen şifreleme anahtarını elde eder. Sonrasında ise, şifreli kimlik bilgilerini çözer (deşifre eder). Bu yazıda, ele geçirilmiş olan Windows 7 64 bit bir bilgisayar için parolanın açık hali elde edilecektir.

Mimikatz aracının son sürümü http://blog.gentilkiwi.com/mimikatz adresindeki Github bağlantısından elde edilebilir. 64 bitlik Windows 7 işletim sisteminde, RAM üzerinde kayıtlı parolaların açık halini elde etmek için, yönetici hakları ile çalıştırılan komut satırında başlatılan Mimikatz aracına Debug yetkisi verilir. Sonrasında da SSP değeri ile çalıştırılır.

C:\Users\Kerem\Desktop\mimikatz_trunk\x64
mimikatz.exe
privilege::debug
sekurlsa::wdigest

obtaining-clear-text-password-from-ram-using-mimikatz-tool-01

Tüm SSP değerleri için parolalar elde edilmek isteniyorsa, “sekurlsa::logonPasswords all” komutu kullanılır.

obtaining-clear-text-password-from-ram-using-mimikatz-tool-02

Tek bir satırda mimikatz aracını çalıştırmak için, her bir komut tırnak işaretleri arasında parametre olarak verilebilir.

mimikatz.exe “privilege::debug” “sekurlsa::logonPasswords full” “exit”

obtaining-clear-text-password-from-ram-using-mimikatz-tool-03

İlk 2 parametre çalıştıktan sonra, “exit” parametresi ile Mimikatz kabuğundan otomatik olarak çıkıldığı görülmektedir:

obtaining-clear-text-password-from-ram-using-mimikatz-tool-04

 

 

 

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

CEVAP VER

Yorumunuzu giriniz
İsminizi giriniz

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.