Kurumsal olsun olmasın, hemen hemen tüm firmalarda domain yöneticisi hakkına sahip sistem yöneticileri, yardım masası çalışanları sık sık kullanıcı bilgisayarlarına uzaktan erişir, "Run As" benzeri yöntemlerle ve daha yetkili kullanıcı hesaplarıyla bir takım işlemler yapar. Çoğu zaman sorunu çözmek için bu tip kestirme ve pratik yöntemler kullanılır. Ya da bir takım prosesler veya servisler ( antivirüs uygulaması vb ) kullanıcı bilgisayarlarında ya da sunucularda yine genellikle domain çapında yüksek yetkili kullanıcı hesaplarıyla çalıştırılır. Sistem yöneticisi kardeşlerimiz kendilerinden "domain admin" yetkisinde bir hesabın parolası girilmesi istendiğinde kasıla kasıla gelirler parolayı yazacakları kutucuğun başına.
Daha fazla uzatmayayım, eğer bir bilgisayarda ( windows tabanlı bilgisayarlar özelinde konuşuyorum ) bir kullanıcı hesabına ait bilgiler bir yerlerde kullanıyorsa ya da kullanıldıysa WCE aracı size ilgili hesabın parolasını,hash'ini,tokenını ıvırını zıvırını gösterebiliyor. Parola ne kadar uzun,ne kadar karmaşık olursa olsun.
WCE bir post-exploitation aracı,yani çalıştıracağınız bilgisayarda yönetici haklarına sahip değilseniz önce söke söke almanız, bilgisayardaki zaafiyetleri kullanarak bu aracı çalıştırabilir duruma gelmeniz gerekiyor. Önemli bir özelliği ise hesaba ilişkin parola bilgilerini işletim sistemi hafızasından ediniyor olması.Bu nedenle "-e" parametresi ile araca sürekli yeni bilgileri gösterme özelliği eklenmiş ama yine de hızlı olmakta, bilgiler hafızadan uçup gitmeden edinmekte fayda var.
Resim 1
-w parametresi ise işletim sistemine oturum açmada kullanılan hesapların parolalarını açık bir şekilde gösterir. (Resim 2)
Resim 2
"Ben yine de hash kullanayım, adrenalin olsun derseniz eğer, "-s" parametresiyle mevcut oturumun hesap bilgilerini değiştirebilir ( Resim 3-1), "-s" parametresini "-c" parametresiyle birlikte kullanarak yeni bir oturumda komut çalıştırabilir, yeni oturum bilgileriyle altyapıdaki diğer sunuculara özgürce,sınırsızca erişebilirsiniz. Resim 3'te 2 numara ile gösterilen komutla, domain admin hesabına ait parola hash'i, domain controller sunucusuna (10.10.10.4 IP adresli sunucu) erişmek için kullanılıyor. Bu yönteme de Passing The Hash deniyor ve sızma testleri sırasında kullanılan en kestirme yöntemlerden biri.
Resim 3
Kullanıcı hesap bilgilerinin bu şekilde kullanımını tamamen önlemese de, kısmen engelleyebilecek bazı fiziksel ve mantıksal önlemler var. Bir başka yazıda da uygulanabilecek yöntemlerden bahsedeceğim.
İlgili Yazılarım
Hash'ini Seven Kovboy Heykır'lara Karsi - Nass oluyor da oluyor?
Hiç yorum yok:
Yorum Gönder