11 Kasım 2014 Salı

Windows'ta Açık Oturumlarda Parola Elde Etmek - mimikatz

     Windows sistemlerde açılışta karşımıza parola ekranı gelir bilirsiniz eğer şifre korumalı ise hesabımız. Böyle bir durumda girdiğimiz şifrenin doğruluğunu anlamak ve girişi (authentication) yapabilmek için Windows işletim sistemlerinde LSASS.exe (Local Security Authority Subsystem Service) process'ini kullanır. Bu processi kullanarak yapılan doğrulama işleminin ayrıntılarını öğrenmek için BİLGEM'de yazılmış yazı dizisini okuyabilirsiniz.

     Buradaki ana mantık LSASS.exe processine DLL injection yapılarak şifrelerin plaintext (şifresiz-açık bir şekilde) olarak alınmasını sağlamaktır. Bu işlem için mimikatz aracını kullanarak örnek göstereceğim. WCE (Windows Credentials Editor) bu iş için kullanabilecek alternatif toollar arasındadır.

     Açık makinenin bellekteki LSASS.exe processi kullanılarak bu işlem yapılacak fakat bu process'in dump'ını alarak başka bir makinede de aynı işlemleri yapabilirsiniz.

     Mimikatz komut satırında çalışır. İsterseniz komut satırını (cmd)'yi açıp mimikatz'ın olduğu dizine gider ve mimikatz.exe'yi çalıştırırsınız. İsterseniz doğrudan mimikatz klasöründeki exe'yi açabilirsiniz. Yalnız bu işlemleri yapabilmek için komut satırını veya mimikatz.exe'yi Yönetici Olarak Çalıştırmalısınız aksi takdirde debug sırasında hata verecektir.


    Ben işlemleri Yönetici olarak çalıştırdığım komut satırı üstünden gerçekleştiriyorum ki bunun mimikatz.exe'yi direk sağ tıklayıp->Yönetici olarak çalıştır demekten bir farkı yoktur. Sadece olaya biraz, 2 komutluk hava katıyor ^^.

mimikatz'ın işletim sürümü mimarisine uygun klasöre gidiliyor (32-64 bit)

mimikatz.exe'yi çalıştırıp ilk önce LSASS.exe'yi debug etmesi için için yetkiyi veriyoruz.
privilege::debug

OK. Şimdi yapmamız gereken şifreleri verir misin bebeğim demek, tabi mimikatz'ın anlayacağı bir şekilde.
sekurlsa::logonPasswords full


Burada kırmızı kutu içine aldığım Labz kullanıcısının şifresidir. P4SSWORD! . Ünlem işareti şifrenin kendisinde vardır mimikatz ekledi sanmayın amaan diyim. Sistemde sadece Labz kullanıcısı olduğu için onun şifrelerini göstermiştir.
Share this Post
Gönderen zaman:
Etiketler: , ,

2 yorum:

  1. Ural tekin1 Aralık 2016 10:03

    Merhabalar cmd üzerinden lsass dump alinabilirmi

    YanıtlaSil
  2. Yunus YILDIRIM1 Aralık 2016 22:53

    Windows'un Sysinternals araçlarından ProcDump kullanılabilir; https://technet.microsoft.com/en-us/sysinternals/dd996900.aspx

    YanıtlaSil

Kaydol: Kayıt Yorumları (Atom)