Meterpreter steal_token Komutu ile Başka Bir Hesabın Kimliğine Bürünme

Etki alanı sızma testleri sırasında Meterpreter ile bağlantı kurulabilmiş olan bir bilgisayarda mevcut tüm jetonlar (token) listelenerek, kritik bir hesaba (“Domain Admins” grubu üyeleri gibi) ait token bulunmaya çalışılır. Eğer kritik bir hesap bulunur ise, Meterpreter steal_token komutu ile bu hesabın kimliğine bürünülebilir. Bu yazıda, Meterpreter steal_token komutu kullanılarak Windows işletim sisteminde proses çalıştıran bir hesabın kimliğine bürünülecektir.

Bir Windows 7 bilgisayarda Kerem adlı hesabın masaüstündeki Deneme.txt adlı bir dosyaya erişimler sadece bu hesaba izinli olsun. Yani, bu dosya erişm için gerekli NTFS izni ve bu dosyanın sahipliği sadece Kerem hesabında olacak şekilde ayarlanmış olsun:

obtaining-privileges-of-windows-users-via-meterpreter-steal-token-command-01

Deneme.txt dosyasına erişim izni sadece Kerem hesabında olduğu için, bu hesabın kimliğine bürünmek gerekmektedir. Bu yazıda da Meterpreter steal_token komutu ile Deneme.txt dosyasına erişilebildiği görülecektir.

Windows 7 işletim sistemi SYSTEM hakları ile ele geçirilmiş olsun. İlk durumda prosese ait ID değerinin 2128 olduğu görülmektedir.

getuid
getpid

obtaining-privileges-of-windows-users-via-meterpreter-steal-token-command-02

SYSTEM hakları ile MSF hashdump post modülünün çalıştırılabildiği ve yerel hesaplara ait parola özetlerinin elde edilebildiği görülmektedir:

run hashdump

obtaining-privileges-of-windows-users-via-meterpreter-steal-token-command-03

Ancak SYSTEM hesabının Deneme.txt dosyasını okuma izni olmadığı görülmektedir.

shell
whoami
cd C:\Users\Kerem\Desktop
type Deneme.txt

obtaining-privileges-of-windows-users-via-meterpreter-steal-token-command-04

Meterpreter kabuğunda iken, “ps” komutu ile mevcut bilgisayarda Kerem adlı bir yerel hesabın prosesleri olduğu görülebilir. Bu durumda iken “steal_token” komutu ile Kerem hesabına ait bir token verisinin bulunduğu proses içerisinden bu token verisi çalınabilir. Kerem hesabının token verisi ele geçirildiğinde yeni bir proses oluşturulmadığı, başka bir prosese sıçranmadığı ve proses ID değerinin değişmediği görülmektedir. Sadece yetki devrinin gerçekleştiği, kapsam (context) olarak Kerem hesabının kimliğine bürünüldüğü görülmektedir.

ps -U PC1
steal_token 1664
getuid
getpid

obtaining-privileges-of-windows-users-via-meterpreter-steal-token-command-05

Yeni kimlikte (Kerem) parola özetlerinin elde edilemediği görülmektedir. Çünkü, artık SYSTEM olarak değil, Kerem adlı yerel yönetici hesabı olarak “hashdump” post modülü çalıştırılmaktadır.

run hashdump

obtaining-privileges-of-windows-users-via-meterpreter-steal-token-command-06

Bunun yanında, yeni kimlikte (Kerem) Deneme.txt dosyasının okunabildiği görülmektedir.

shell
whoami
cd C:\Users\Kerem\Desktop
type Deneme.txt

obtaining-privileges-of-windows-users-via-meterpreter-steal-token-command-07

Eğer eski kimliğe (SYSTEM) geri dönülmek isteniyorsa, Meterpreter “rev2self” komutunun çalıştırılması yeterlidir. Böylece, Kerem hesabının jetonu bırakılarak, SYSTEM hesabına ait eski token geri alınır.

rev2self
getuid
getpid

obtaining-privileges-of-windows-users-via-meterpreter-steal-token-command-08

 

Kaynak:

https://pentestlab.wordpress.com/2012/08/07/token-stealing-and-incognito/

 

 

Yazarın Bilgileri

Ertuğrul BAŞARANOĞLU
Ertuğrul BAŞARANOĞLU

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Kullanabileceğiniz HTLM etiketleri ve özellikleri: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

Bu sayfada incelenen konulardan doğacak sorunlar kişinin kendi sorumluluğundadır.