WCE Aracının Yönetici Hesabına Ait Parola Özeti ile Kullanılarak Uzak Bilgisayarın Kaynaklarına Erişim Sırasında Alınabilecek Hataların İncelenmesi

Sızma testleri sırasında bir bilgisayara ait yöneticinin parola özeti elde edilebilmektedir. Bu yazıda, yönetici hesabına ait kimlik bilgisi elde edilen bir bilgisayarın kaynaklarına WCE aracı ile erişim sağlanırken, alınabilecek hataların sebepleri ve muhtemel çözüm yolları incelenecektir.

Varsayılan durumda bir bilgisayarın yönetimsel paylaşımlarına uzaktan erişim sağlayabilmek için o bilgisayara ait bir yönetici hesabının kimlik bilgileri gerekmektedir. Bu bilgisayarda yönetici olan hesabın adının Vedat, Vedat kullanıcısının parola özetinin ise AAD3B435B51404EEAAD3B435B51404EE:FA320A5CF3D53B4E74BBAC73047186F2 olduğunu varsayalım. Bu bilgilerle, hedef sistemin kayıt defterine erişim sağlamak için WCE aracı kullanılacaktır.

WCE aracının “-s” seçeneği ile, RAM üzerinde bulunan oturumun NTLM kimlik bilgileri değiştirilebilir. Normalde RAM üzerinde Saldirgan adlı hesabın parolasının açık hali ve özet hali bulunmaktadır:

wce -l
wce -w

troubleshooting-when-connecting-resources-of-remote-computer-using-password-hashes-via-wce-tool-01

WCE aracı ile RAM üzerindeki oturuma ait NTLM bilgileri Vedat hesabına ait kimlik bilgileri (Kullanıcı adı ve parola özeti) ile değiştirilebilir. WCE aracı “-s” seçeneği ile çalıştırıldıktan sonra, Saldirgan hesabına ait parolanın NTLM özet bilgilerinin, Vedat’ın parolasına ait NTLM özet bilgileri ile değiştiği görülmektedir. Bunun yanında parolanın açık halinin değişmediği de görülmektedir.

wce -s WORKGROUP:Vedat:AAD3B435B51404EEAAD3B435B51404EE:FA320A5CF3D53B4E74BBAC73047186F2
wce -l
wce -w

troubleshooting-when-connecting-resources-of-remote-computer-using-password-hashes-via-wce-tool-02

Hedef sistemin paylaşılan kaynaklarına erişim sağlayabilmek için, öncelikle bağlantının kurulması gerekmektedir.

net use \\172.16.67.202\C$ /USER:WORKGROUP\Vedat
net use

troubleshooting-when-connecting-resources-of-remote-computer-using-password-hashes-via-wce-tool-03

Erişim bilgileri (kullanıcı adı, parola özeti ve IP) doğru olmasına rağmen, yukarıdaki “net” komutun çalıştırılması sırasında bir takım hata mesajları alınabilir. Bu mesajlar ve muhtemel çözüm yolları aşağıdaki gibi listelenebilir.

  • Erişim yetkisine dair (“Access is denied“) bir hata alınıyorsa, bu hataya, hedef sistemde UAC korumasının etkin olması, seçilen hesabın (Vedat) uzaktan erişim yetkilerinin kısıtlı olması gibi durumlar sebep olabilir.
  • Parolanın açık halinin istendiğine dair bir mesaj alınıyorsa, saldırı için kullanılan Windows bilgisayar yeniden başlatılabilir.
  • Bilgisayar yeniden başlatılmasına rağmen, parolanın açık halinin istendiğine dair bir mesaj alınmaya devam ediliyorsa, “net” aracına etki alanı “/user:172.16.67.202Vedat”, “/user:WORKGROUPVedat”, “/user:PC2Vedat”,… gibi değişik formatlarda verilebilir.
  • Parolanın açık halinin elde edildiğine dair bir hata mesajı alınmaya devam ediliyorsa, hedef kullanıcı ile aynı isimde (Vedat) bir kullanıcı oluşturulabilir.

 

 

Yazarın Bilgileri

Ertuğrul BAŞARANOĞLU
Ertuğrul BAŞARANOĞLU

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Kullanabileceğiniz HTLM etiketleri ve özellikleri: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

Bu sayfada incelenen konulardan doğacak sorunlar kişinin kendi sorumluluğundadır.