12 Kasım 2014 Çarşamba

Dump Edilmiş Process İmajından Windows Şifresi Bulmak

    Bir önceki yazıda açık bir Windows makineden mimikatz ile kullanıcı şifrelerinin açık bir şekilde elde edilmesinden bahsetmiştim.
Bu yazıda ise dump'ı alınmış LSASS.exe processi kullanılarak aynı yöntemle şifreler plaintext olarak alınacaktır. Uzak masaüstüyle bir şekilde sisteme eriştiniz diyelim fakat mimikatz'ı upload edemiyorsunuz ve yönetici olarak çalıştıramıyorsunuz, bu gibi bir durumda olası alternatiflerden biridir bu yapacağımız işlem. Ek bir tool kullanmadan doğrudan Windows Görev Yöneticisi (şu meşhur Ctrl+Alt+Del) ile spesifik olarak dump alabiliyoruz. Ekran görüntüsü tüm olayı özetliyor.



Döküm dosyası oluştur dediğimizde şipşak hemen dump'ı Windows'un temp klasörü altında oluşturacaktır. Bunu da oluşturduktan sonra bize söylüyor nasıl bulcam diye endişelenmeyin hemen.

oluşturulan dump'ı alıp lokalimizde bulunan mimikatz klasörü içinde uygun mimaride bulunan mimikatz.exe'nin yanına kopyalıyoruz. Kopyalamak mecburiyet değil tabii ki ama sonradan path vermekle uğraşmak istemiyorsan yap bunu! bence . 

Yönetici olarak çalıştıralım mimikatz.exe'yi ya da komut satırından mimikatz'ın bulunduğu klasöre gelelim. Vermemiz gereken basit 2 komut. ilki;
sekurlsa::minidump lsass.DMP
burada lsass.DMP dediği bizim uzak masaüstünden almış olduğumuz lsass.exe process'inin dump'ı.

mimikatz'ın üzerinde çalışacağı process'in hangisi olduğunu söyledikten sonra şifreleri verir misin demek kaldı. Bu da önceki yazıdan hatırlayacağınız üzere
sekurlsa::logonPasswords full


Bir önceki yazıda belirttim fakat tekrarlamakta fayda var. Plaintext yani açık olarak görülen, kırmızı kutucuklar içine aldığım şifrenin sonundaki ünlem işareti (!) şifrenin kendisinde vardır mimikatz herhangi bir keratalık yapıp eklememiştir şifreyi belirtmek adına.
Sonuç; Labz kullanıcısının şifresi: P4SSW0RD! olarak bulunmuştur.

Hiç yorum yok:

Yorum Gönder