MSF smb_enumusers_domain Auxiliary Modülü ve Elde Edilen Kimlik Bilgileri ile Erişim Sağlanabilecek Windows Bilgisayarlarda Jetonu Bulunan Hesapların Tespit Edilmesi

Sızma testleri sırasında, bir şekilde elde edilen kimlik bilgileri (kullanıcı adı ve parola / parola özeti) kullanılarak erişim sağlanabilecek bilgisayarlarda oturumu açık olan veya bir şekilde prosesi olan hesapların listesi elde edilebilir. Kurum içinde gerçekleştirilen sızma testleri sırasında – kurum ağındaki Windows makinelerin (TCP/445. portu açık olan) IP listesi, elde edilen bir hesabın kullanıcı adı ve bu hesabın parolaları (açık veya parola özetleri) elde edilmişse – bu bilgilerle ağdaki hangi Windows bilgisayarlarda hangi kullanıcıların jetonu (token) olduğu MSF smb_enumusers_domain auxiliary modülü ile tespit edilecektir.

Kurum ağında 445. portu açık olan bilgisayarların listesi aşağıdaki gibi elde edilmiş ve /root/Desktop/ipListesi dosyasına kaydedilmiş olsun:

obtaining-user-list-that-are-currently-logged-on-by-using-obtained-authentication-informations-via-msf-smb-enumusers-domain-auxiliary-module-01

MSF smb_enumusers_domain auxiliary modülünün genel seçenekleri aşağıdaki gibi listelenebilir.

search smb_enumusers_domain
use auxiliary/scanner/smb/smb_enumusers_domain
show options

obtaining-user-list-that-are-currently-logged-on-by-using-obtained-authentication-informations-via-msf-smb-enumusers-domain-auxiliary-module-02

MSF smb_enumusers_domain auxiliary modülü parola veya parola özeti alabilmektedir. Ayrıca kullanıcı hesabının etki alanı üyesi olup olmamasına göre de SMBDomain seçeneği ayarlanmalıdır. Modülün seçenekleri ayarlanırken kullanıcılacak olan ortamın genel özellikleri aşağıdaki gibi listelenebilir:

  • 192.168.100.60 ve 192.168.100.200 IP adresli bilgisayarlarda yerel yönetici hakkına sahip olan yerel kullanıcı hesabının adı: Murat
  • Murat hesabının parolasının açık hali: Mm123456
  • Murat kullanıcısının parolasının (Mm123456) özeti: aad3b435b51404eeaad3b435b51404ee:ad67167f47464f21678cfdcef8ae8e8c
  • Bilgisayarların dahil olduğu etki alanı adı: ornek.local
  • 192.168.100.60 ve 192.168.100.200 IP adresli bilgisayarlarda yerel yönetici hakkına sahip olan etki alanı kullanıcı hesabının adı: Kemal
  • Kemal hesabının parolasının açık hali: Kk123456
  • Kemal kullanıcısının parolasının (Kk123456) özeti: aad3b435b51404eeaad3b435b51404ee:b9e4dc43915252e09325ccb24f039838

MSF smb_enumusers_domain auxiliary modülü; yerel kullanıcı hesabı ve etki alanı kullanıcı hesabı ile kullanımı incelenecektir. Ayrıca, hesaplara ait parolanın açık hali ve parolanın özet hali için de modülün sonuçları listelenecektir.

 

1) Yerel Kullanıcı Hesabına Ait Parolanın Kullanılması

Murat hesabının parolasının açık hali ile MSF smb_enumusers_domain auxiliary modülü aşağıdaki gibi ayarlanabilir:

set RHOSTS file:/root/Desktop/ipListesi
set SMBUser Murat
set SMBPass Mm123456
show options

obtaining-user-list-that-are-currently-logged-on-by-using-obtained-authentication-informations-via-msf-smb-enumusers-domain-auxiliary-module-03

Modül çalıştırıldıktan sonra, 192.168.100.60 IP adresli PC2 adlı bilgisayarda Zeynep adlı etki alanı kullanıcısının ve Vedat adlı yerel kullanıcısının prosesi olduğu görülmektedir. Ayrıca, 192.168.100.200 IP adresli DCMakinesi adlı bilgisayarda Halit, Zeynep ve Ramazan adlı etki alanı kullanıcılarının prosesi olduğu görülmektedir.

obtaining-user-list-that-are-currently-logged-on-by-using-obtained-authentication-informations-via-msf-smb-enumusers-domain-auxiliary-module-04

 

2) Yerel Kullanıcı Hesabına Ait Parola Özetinin Kullanılması

Murat hesabının parolasının özet hali ile MSF smb_enumusers_domain auxiliary modülü aşağıdaki gibi ayarlanabilir:

set RHOSTS file:/root/Desktop/ipListesi
set SMBUser Murat
set SMBPass aad3b435b51404eeaad3b435b51404ee:ad67167f47464f21678cfdcef8ae8e8c
show options

obtaining-user-list-that-are-currently-logged-on-by-using-obtained-authentication-informations-via-msf-smb-enumusers-domain-auxiliary-module-05

Modül çalıştırıldıktan sonra, 192.168.100.60 IP adresli PC2 adlı bilgisayarda Zeynep adlı etki alanı kullanıcısının ve Vedat adlı yerel kullanıcısının prosesi olduğu görülmektedir. Ayrıca, 192.168.100.200 IP adresli DCMakinesi adlı bilgisayarda Halit, Zeynep ve Ramazan adlı etki alanı kullanıcılarının prosesi olduğu görülmektedir.

obtaining-user-list-that-are-currently-logged-on-by-using-obtained-authentication-informations-via-msf-smb-enumusers-domain-auxiliary-module-06

 

3) Etki Alanı Kullanıcı Hesabına Ait Parolanın Kullanılması

Kemal hesabının parolasının açık hali ile MSF smb_enumusers_domain auxiliary modülü aşağıdaki gibi ayarlanabilir:

set RHOSTS file:/root/Desktop/ipListesi
set SMBUser Kemal
set SMBPass Kk123456
show options

obtaining-user-list-that-are-currently-logged-on-by-using-obtained-authentication-informations-via-msf-smb-enumusers-domain-auxiliary-module-07

Modül çalıştırıldıktan sonra, 192.168.100.60 IP adresli PC2 adlı bilgisayarda Zeynep adlı etki alanı kullanıcısının ve Vedat adlı yerel kullanıcısının prosesi olduğu görülmektedir. Ayrıca, 192.168.100.200 IP adresli DCMakinesi adlı bilgisayarda Halit, Zeynep ve Ramazan adlı etki alanı kullanıcılarının prosesi olduğu görülmektedir.

obtaining-user-list-that-are-currently-logged-on-by-using-obtained-authentication-informations-via-msf-smb-enumusers-domain-auxiliary-module-08

 

4) Etki Alanı Kullanıcı Hesabına Ait Parola Özetinin Kullanılması

Kemal hesabının parolasının özet hali ile MSF smb_enumusers_domain auxiliary modülü aşağıdaki gibi ayarlanabilir:

set RHOSTS file:/root/Desktop/ipListesi
set SMBUser Kemal
set SMBPass aad3b435b51404eeaad3b435b51404ee:b9e4dc43915252e09325ccb24f039838
show options

obtaining-user-list-that-are-currently-logged-on-by-using-obtained-authentication-informations-via-msf-smb-enumusers-domain-auxiliary-module-09

Modül çalıştırıldıktan sonra, 192.168.100.60 IP adresli PC2 adlı bilgisayarda Zeynep adlı etki alanı kullanıcısının ve Vedat adlı yerel kullanıcısının prosesi olduğu görülmektedir. Ayrıca, 192.168.100.200 IP adresli DCMakinesi adlı bilgisayarda Halit, Zeynep ve Ramazan adlı etki alanı kullanıcılarının prosesi olduğu görülmektedir.

obtaining-user-list-that-are-currently-logged-on-by-using-obtained-authentication-informations-via-msf-smb-enumusers-domain-auxiliary-module-10

 

 

Yazarın Bilgileri

Ertuğrul BAŞARANOĞLU
Ertuğrul BAŞARANOĞLU

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Kullanabileceğiniz HTLM etiketleri ve özellikleri: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

Bu sayfada incelenen konulardan doğacak sorunlar kişinin kendi sorumluluğundadır.