WCE Aracı İle RAM Üzerinden Parolanın Açık Halinin Elde Edilmesi

0
63
views
Etki alanı sızma testleri sırasında Windows işletim sistemine yetkili erişim sağlandıktan sonra, gerçekleştirilen adımlardan birisi bellek üzerinden parolaların açık halinin elde edilmesidir. Bu amaçla WCE veya Mimikatz gibi araçlar kullanılabilmektedir. Bu yazıda, WCE aracı ile parolanın LM/NTLM özeti ve parolanın açık hali elde edilecektir.

WCE ve Mimikatz araçları temel olarak RAM üzerinde bulunan kimlik doğrulama paketlerindeki (authentication packages) kimlik bilgilerini (şifreli parola ve parola özetlerini, kullanıcı adı gibi) okur, parolayı (ve MSV1_0.dll için parola özetini) şifreleyen şifreleme anahtarını elde eder. Sonrasında ise, şifreli kimlik bilgilerini çözer (deşifre eder). Bu yazıda, ele geçirilmiş olan Windows 7 64 bit bir bilgisayar için parolanın özeti ve parolanın açık hali elde edilecektir.

WCE aracının son sürümü http://www.ampliasecurity.com/research/wcefaq.html#curversion adresinden elde edilebilir. 64 bitlik Windows 7 işletim sisteminde, RAM üzerinde kayıtlı parola özetlerini elde etmek için, WCE aracı parametresiz olarak veya “-l” parametresi kullanılabilir.

wce -l

obtaining-clear-text-password-from-ram-using-wce-tool-01

Parolanın açık haline elde edebilmek için “-w” parametresi kullanılır:

wce -w

obtaining-clear-text-password-from-ram-using-wce-tool-02

 

 

CEVAP VER

Yorumunuzu giriniz
İsminizi giriniz