Bir Windows 7 bilgisayarda Kerem adlı hesabın masaüstündeki Deneme.txt adlı bir dosyaya erişimler sadece bu hesaba izinli olsun. Yani, bu dosya erişm için gerekli NTFS izni ve bu dosyanın sahipliği sadece Kerem hesabında olacak şekilde ayarlanmış olsun:
Deneme.txt dosyasına erişim izni sadece Kerem hesabında olduğu için, bu hesabın kimliğine bürünmek gerekmektedir. Bu yazıda da Meterpreter steal_token komutu ile Deneme.txt dosyasına erişilebildiği görülecektir.
Windows 7 işletim sistemi SYSTEM hakları ile ele geçirilmiş olsun. İlk durumda prosese ait ID değerinin 2128 olduğu görülmektedir.
getuid
getpid
SYSTEM hakları ile MSF hashdump post modülünün çalıştırılabildiği ve yerel hesaplara ait parola özetlerinin elde edilebildiği görülmektedir:
run hashdump
Ancak SYSTEM hesabının Deneme.txt dosyasını okuma izni olmadığı görülmektedir.
shell
whoami
cd C:\Users\Kerem\Desktop
type Deneme.txt
Meterpreter kabuğunda iken, “ps” komutu ile mevcut bilgisayarda Kerem adlı bir yerel hesabın prosesleri olduğu görülebilir. Bu durumda iken “steal_token” komutu ile Kerem hesabına ait bir token verisinin bulunduğu proses içerisinden bu token verisi çalınabilir. Kerem hesabının token verisi ele geçirildiğinde yeni bir proses oluşturulmadığı, başka bir prosese sıçranmadığı ve proses ID değerinin değişmediği görülmektedir. Sadece yetki devrinin gerçekleştiği, kapsam (context) olarak Kerem hesabının kimliğine bürünüldüğü görülmektedir.
ps -U PC1
steal_token 1664
getuid
getpid
Yeni kimlikte (Kerem) parola özetlerinin elde edilemediği görülmektedir. Çünkü, artık SYSTEM olarak değil, Kerem adlı yerel yönetici hesabı olarak “hashdump” post modülü çalıştırılmaktadır.
run hashdump
Bunun yanında, yeni kimlikte (Kerem) Deneme.txt dosyasının okunabildiği görülmektedir.
shell
whoami
cd C:\Users\Kerem\Desktop
type Deneme.txt
Eğer eski kimliğe (SYSTEM) geri dönülmek isteniyorsa, Meterpreter “rev2self” komutunun çalıştırılması yeterlidir. Böylece, Kerem hesabının jetonu bırakılarak, SYSTEM hesabına ait eski token geri alınır.
rev2self
getuid
getpid
Kaynak:
https://pentestlab.wordpress.com/2012/08/07/token-stealing-and-incognito/