Windows Credential Editor ile Hash Passing - Nass oluyor da oluyor?

Bu yazıyı okuduktan sonra uykularınız kaçabilir,çünkü Amplia Security firmasının ücretsiz Windows Credential Editor aracından bahsedeceğim. Bu araç incognito,lsadump2,gsecdump,fgdump ve benzeri diğer araçlar gibi windows işletim sistemi kullanan bilgisayarlardaki NTLM ( NT + LM ) hashlerini listeleyebiliyor, security token'ları çalabiliyor, hatta depolanmış credential'ları açık şekilde ( clear text ) gösterebiliyor. Tool çalışmak için yönetici yetkilerine ihtiyaç duyuyor. Bu son cümle hevesinizi kırmasın, "bilgisayarda yönetici isem ne diye bu tip araçlar kullanayım ki?" diye düşünmeyin.
Kurumsal olsun olmasın, hemen hemen tüm firmalarda domain yöneticisi hakkına sahip sistem yöneticileri, yardım masası çalışanları sık sık kullanıcı bilgisayarlarına uzaktan erişir, "Run As" benzeri yöntemlerle ve daha yetkili kullanıcı hesaplarıyla bir takım işlemler yapar. Çoğu zaman sorunu çözmek için bu tip kestirme ve pratik yöntemler kullanılır. Ya da bir takım prosesler veya servisler ( antivirüs uygulaması vb ) kullanıcı bilgisayarlarında ya da sunucularda yine genellikle domain çapında yüksek yetkili kullanıcı hesaplarıyla çalıştırılır. Sistem yöneticisi kardeşlerimiz kendilerinden "domain admin" yetkisinde bir hesabın parolası girilmesi istendiğinde kasıla kasıla gelirler parolayı yazacakları kutucuğun başına.

Daha fazla uzatmayayım, eğer bir bilgisayarda ( windows tabanlı bilgisayarlar özelinde konuşuyorum ) bir kullanıcı hesabına ait bilgiler bir yerlerde kullanıyorsa ya da kullanıldıysa WCE aracı size ilgili hesabın parolasını,hash'ini,tokenını ıvırını zıvırını gösterebiliyor. Parola ne kadar uzun,ne kadar karmaşık olursa olsun.
WCE bir post-exploitation aracı,yani çalıştıracağınız bilgisayarda yönetici haklarına sahip değilseniz önce söke söke almanız, bilgisayardaki zaafiyetleri kullanarak bu aracı çalıştırabilir duruma gelmeniz gerekiyor. Önemli bir özelliği ise hesaba ilişkin parola bilgilerini işletim sistemi hafızasından ediniyor olması.Bu nedenle "-e" parametresi ile araca sürekli yeni bilgileri gösterme özelliği eklenmiş ama yine de hızlı olmakta, bilgiler hafızadan uçup gitmeden edinmekte fayda var.

Resim 1

Resim 1'deki parola hash'leri "LAB" Wins isimli 2008 R2 domainine dahil 2008 Enterprise sunucuya "Domain Users" grubuna üye "pooruser" isimli bir kullanıcı hesabıyla oturum açıldıktan sonra, Administrator hesap bilgileri kullanılarak çalıştırılan bir uygulama ( notepad ) sonrasında alındı. Domain yöneticisi "Administrator" hesabına ait NTLM hashinin, domain controller ( DC ) sunucusuna PTH ( pass the hash ) yöntemi ile erişimde nasıl kullanıldığını yazının sonlarına doğru göstereceğim. Yine çok kullanıcılı firmalarda klonlama gibi yöntemler kullanıldığı için bilgisayarların,sunucuların lokal yönetici hesaplarının parolalarının da firma genelinde aynı olduğu unutulmamalı.
-w parametresi ise işletim sistemine oturum açmada kullanılan hesapların parolalarını açık bir şekilde gösterir. (Resim 2)

Resim 2

Yukarıdaki ekran görüntüsü "wsadmin" isimli Domain Yöneticisi hesapla herhangi bir windows servisi çalıştırılan bir sunucudan alındı.
"Ben yine de hash kullanayım, adrenalin olsun derseniz eğer, "-s" parametresiyle mevcut oturumun hesap bilgilerini değiştirebilir ( Resim 3-1), "-s" parametresini "-c" parametresiyle birlikte kullanarak yeni bir oturumda komut çalıştırabilir, yeni oturum bilgileriyle altyapıdaki diğer sunuculara özgürce,sınırsızca erişebilirsiniz. Resim 3'te 2 numara ile gösterilen komutla, domain admin hesabına ait parola hash'i, domain controller sunucusuna (10.10.10.4 IP adresli sunucu) erişmek için kullanılıyor. Bu yönteme de Passing The Hash deniyor ve sızma testleri sırasında kullanılan en kestirme yöntemlerden biri.

Resim 3

Kullanıcı hesap bilgilerinin bu şekilde kullanımını tamamen önlemese de, kısmen engelleyebilecek bazı fiziksel ve mantıksal önlemler var. Bir başka yazıda da uygulanabilecek yöntemlerden bahsedeceğim.


İlgili Yazılarım
Hash'ini Seven Kovboy Heykır'lara Karsi - Nass oluyor da oluyor?