![](https://www.siberportal.org/wp-content/uploads/2020/12/pentist.jpg")
WCE ve Mimikatz araçları temel olarak RAM üzerinde bulunan kimlik doğrulama paketlerindeki (authentication packages) kimlik bilgilerini (şifreli parola ve parola özetlerini, kullanıcı adı gibi) okur, parolayı (ve MSV1_0.dll için parola özetini) şifreleyen şifreleme anahtarını elde eder. Sonrasında ise, şifreli kimlik bilgilerini çözer (deşifre eder). Bu yazıda, DCMakinesi adlı 64 bit mimarideki Windows Server 2008 R2 bilgisayarda yerel yönetici hakları ile masaüstü erişimi sağlanabildiği varsayılacaktır. Masaüstü erişimi sağlandıktan sonra LSASS prosesinin dump dosyası ele geçirilirse, oturumu açık olan veya bir şekilde kimlik doğrulaması gerçekleştiren hesaplara (bu yazı için Administrator, Jale ve Zeynep) ait kimlik bilgileri elde edilebilir. Bu amaçla, öncelikle görev yöneticisi üzerinde LSASS.exe prosesi seçilerek prosesin dump hali alınır.
Eğer bilgisayar uzun süre açık kalmışsa, RAM kapasitesi yüksekse veya başka sebeplerden ötürü bu işlem biraz zaman alabilir.
Dump alma işlemi bittikten sonra, dump dosyasının, işlemi gerçekleştiren hesaba (Jale) ait Temp dizinine otomatik olarak kaydedildiğine dair bir mesaj ile karşılaşılır.
Prosese ait dump dosyasının ilgili dizine lsass.dmp adı ile kaydolduğu görülmektedir.
Dump dosyası, aynı mimariye sahip (64 bit mimarideki Windows 7 veya Windows Server 2008 R2) bir bilgisayara taşınıp Mimikatz aracına parametre olarak verilirse, LSASS prosesinde kayıtlı olan kimlik bilgileri elde edilebilmektedir.
mimikatz.exe “sekurlsa::minidump lsass.dmp” “sekurlsa::wdigest” exit
Komut çıktısının devamında kimlik bilgilerinin olduğu görülmektedir.
