WCE Aracı İle RAM Üzerinden Parolanın Açık Halinin Elde Edilmesi

Yazarı:
Ertuğrul BAŞARANOĞLU
-
0
379
views
Etki alanı sızma testleri sırasında Windows işletim sistemine yetkili erişim sağlandıktan sonra, gerçekleştirilen adımlardan birisi bellek üzerinden parolaların açık halinin elde edilmesidir. Bu amaçla WCE veya Mimikatz gibi araçlar kullanılabilmektedir. Bu yazıda, WCE aracı ile parolanın LM/NTLM özeti ve parolanın açık hali elde edilecektir.

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

WCE ve Mimikatz araçları temel olarak RAM üzerinde bulunan kimlik doğrulama paketlerindeki (authentication packages) kimlik bilgilerini (şifreli parola ve parola özetlerini, kullanıcı adı gibi) okur, parolayı (ve MSV1_0.dll için parola özetini) şifreleyen şifreleme anahtarını elde eder. Sonrasında ise, şifreli kimlik bilgilerini çözer (deşifre eder). Bu yazıda, ele geçirilmiş olan Windows 7 64 bit bir bilgisayar için parolanın özeti ve parolanın açık hali elde edilecektir.

WCE aracının son sürümü http://www.ampliasecurity.com/research/wcefaq.html#curversion adresinden elde edilebilir. 64 bitlik Windows 7 işletim sisteminde, RAM üzerinde kayıtlı parola özetlerini elde etmek için, WCE aracı parametresiz olarak veya “-l” parametresi kullanılabilir.

wce -l

obtaining-clear-text-password-from-ram-using-wce-tool-01

Parolanın açık haline elde edebilmek için “-w” parametresi kullanılır:

wce -w

obtaining-clear-text-password-from-ram-using-wce-tool-02

 

 

İlişkili Yazılar:
Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

Benzer YazılarYAZARIN DİĞER İÇERİKLERİ

CEVAP VER

Yorumunuzu giriniz
İsminizi giriniz

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.