Windows'ta Açık Oturumlarda Parola Elde Etmek - mimikatz

     Windows sistemlerde açılışta karşımıza parola ekranı gelir bilirsiniz eğer şifre korumalı ise hesabımız. Böyle bir durumda girdiğimiz şifrenin doğruluğunu anlamak ve girişi (authentication) yapabilmek için Windows işletim sistemlerinde LSASS.exe (Local Security Authority Subsystem Service) process'ini kullanır. Bu processi kullanarak yapılan doğrulama işleminin ayrıntılarını öğrenmek için BİLGEM'de yazılmış yazı dizisini okuyabilirsiniz.

     Buradaki ana mantık LSASS.exe processine DLL injection yapılarak şifrelerin plaintext (şifresiz-açık bir şekilde) olarak alınmasını sağlamaktır. Bu işlem için mimikatz aracını kullanarak örnek göstereceğim. WCE (Windows Credentials Editor) bu iş için kullanabilecek alternatif toollar arasındadır.

     Açık makinenin bellekteki LSASS.exe processi kullanılarak bu işlem yapılacak fakat bu process'in dump'ını alarak başka bir makinede de aynı işlemleri yapabilirsiniz.

     Mimikatz komut satırında çalışır. İsterseniz komut satırını (cmd)'yi açıp mimikatz'ın olduğu dizine gider ve mimikatz.exe'yi çalıştırırsınız. İsterseniz doğrudan mimikatz klasöründeki exe'yi açabilirsiniz. Yalnız bu işlemleri yapabilmek için komut satırını veya mimikatz.exe'yi Yönetici Olarak Çalıştırmalısınız aksi takdirde debug sırasında hata verecektir.