Bir önceki yazıda açık bir Windows makineden mimikatz ile kullanıcı şifrelerinin açık bir şekilde elde edilmesinden bahsetmiştim.
Bu yazıda ise dump'ı alınmış LSASS.exe processi kullanılarak aynı yöntemle şifreler plaintext olarak alınacaktır. Uzak masaüstüyle bir şekilde sisteme eriştiniz diyelim fakat mimikatz'ı upload edemiyorsunuz ve yönetici olarak çalıştıramıyorsunuz, bu gibi bir durumda olası alternatiflerden biridir bu yapacağımız işlem. Ek bir tool kullanmadan doğrudan Windows Görev Yöneticisi (şu meşhur Ctrl+Alt+Del) ile spesifik olarak dump alabiliyoruz. Ekran görüntüsü tüm olayı özetliyor.
mimikatz etiketine sahip kayıtlar gösteriliyor. Tüm kayıtları göster
mimikatz etiketine sahip kayıtlar gösteriliyor. Tüm kayıtları göster
12 Kasım 2014 Çarşamba
11 Kasım 2014 Salı
Windows'ta Açık Oturumlarda Parola Elde Etmek - mimikatz
Windows sistemlerde açılışta karşımıza parola ekranı gelir bilirsiniz eğer şifre korumalı ise hesabımız. Böyle bir durumda girdiğimiz şifrenin doğruluğunu anlamak ve girişi (authentication) yapabilmek için Windows işletim sistemlerinde LSASS.exe (Local Security Authority Subsystem Service) process'ini kullanır. Bu processi kullanarak yapılan doğrulama işleminin ayrıntılarını öğrenmek için BİLGEM'de yazılmış yazı dizisini okuyabilirsiniz.
Buradaki ana mantık LSASS.exe processine DLL injection yapılarak şifrelerin plaintext (şifresiz-açık bir şekilde) olarak alınmasını sağlamaktır. Bu işlem için mimikatz aracını kullanarak örnek göstereceğim. WCE (Windows Credentials Editor) bu iş için kullanabilecek alternatif toollar arasındadır.
Açık makinenin bellekteki LSASS.exe processi kullanılarak bu işlem yapılacak fakat bu process'in dump'ını alarak başka bir makinede de aynı işlemleri yapabilirsiniz.
Mimikatz komut satırında çalışır. İsterseniz komut satırını (cmd)'yi açıp mimikatz'ın olduğu dizine gider ve mimikatz.exe'yi çalıştırırsınız. İsterseniz doğrudan mimikatz klasöründeki exe'yi açabilirsiniz. Yalnız bu işlemleri yapabilmek için komut satırını veya mimikatz.exe'yi Yönetici Olarak Çalıştırmalısınız aksi takdirde debug sırasında hata verecektir.
Buradaki ana mantık LSASS.exe processine DLL injection yapılarak şifrelerin plaintext (şifresiz-açık bir şekilde) olarak alınmasını sağlamaktır. Bu işlem için mimikatz aracını kullanarak örnek göstereceğim. WCE (Windows Credentials Editor) bu iş için kullanabilecek alternatif toollar arasındadır.
Mimikatz komut satırında çalışır. İsterseniz komut satırını (cmd)'yi açıp mimikatz'ın olduğu dizine gider ve mimikatz.exe'yi çalıştırırsınız. İsterseniz doğrudan mimikatz klasöründeki exe'yi açabilirsiniz. Yalnız bu işlemleri yapabilmek için komut satırını veya mimikatz.exe'yi Yönetici Olarak Çalıştırmalısınız aksi takdirde debug sırasında hata verecektir.
Kaydol:
Kayıtlar (Atom)