MSF smb_login Auxiliary Modülü ve Elde Edilen Kimlik Bilgileri ile Erişim Sağlanabilecek Windows Bilgisayarların Tespit Edilmesi

Bir çok kamu ve özel kurumlarda bilgisayarlar aynı imajdan basılır ve bu imaj üzerindeki yerel hesapların parolaları değiştirilmez. Etki alanı sızma tesleri sırasında, bu durum kötüye kullanılabilir ve bir bilgisayarda elde edilen kimlik bilgisi ile kurum ağındaki diğer bilgisayarlara erişim sağlanabilir. Etki alanı sızma testleri sırasında, bir şekilde elde edilen kimlik bilgileri (kullanıcı adı ve parola / parola özeti) kullanılarak başka bilgisayarlara sızılmaya çalışılır. Kurum içinde gerçekleştirilen sızma testleri sırasında – kurum ağındaki Windows makinelerin IP listesi, bazı hesapların kullanıcı adları ve bu hesapların parolaları (veya parola özetleri) elde edilmişse – bu bilgilerle ağdaki hangi Windows bilgisayarlara erişim sağlanabileceği belirlenebilir. Bu yazıda, IP bilgileri ve kimlik bilgileri elde edilmiş ağda erişim sağlanabilecek Windows makineler MSF smb_login auxiliary modülü ile tespit edilecektir.

Kurum ağında açık olan bilgisayarların listesi aşağıdaki gibi elde edilmiş ve /root/Desktop/iplistesi şeklinde kaydedilmiştir

#nmap 10.0.0.0/24 –n –sn | grep for | cut –d “ “ –f5 > /root/Desktop/ipList

Kullanıcılara ait erişim bilgileri ise, aşağıdaki şekilde elde edilmiş ve root/Desktop/yerelkullanıcılar dosyasına kaydedilmiştir.

smb_login auxiliary modülüne bu bilgiler verilerek yerel networkteki bilgisayarlardan hangilerine erişim sağlanabileceği tespit edilecektir.

search smb_login komutunu yazarak aratılır ve use auxiliary/scanner/smb/smb_login komutu ile module girişi yapılır.

msf auxiliary(smb_login)> show options komutu verilerek modulün içine girilir. Verilen 1 ve 2 numaralardaki komutları kullanarak yerel ağdaki tüm kullanıcılara bu saldırı senaryosu gerçekleştirilir

Modülün seçeneklerinden birisi “USERPASS_FILE” seçeneğine verilecek dosyada, kullanıcı adı ve parola (veya parola özeti) bilgisi arasında bir adet boşluk bulunmalıdır. Diğer seçenek ise, RHOSTS seçeneğidir. Bu seçeneğe IP adresi, IP adresleri veya IP bilgilerinin tutulduğu dosya verilir. Bu komuttan sonra “file:” ön eki ile dosyanın dizini belirtilir. Modül çalıştırıldığında, her bir kimlik bilgisi ve her bir IP değeri için kimlik doğrulaması yapılır. Verilecek olan komutlar aşağıdaki gibidir.

set USERPASS_FILE /root/Desktop/yerelKullanıcılar

set RHOST file:/root/Desktop/ipList

run

Ekran alıntısında verilen rakamlara dikkat edildiğinde 10.0.0.54, 10.0.0.73 ve 10.0.0.76 ip ye sahip istemcilerin administrator hesabının kimlik bilgilerine erişilebildiği görülmektedir.

İstemci sayısının çok fazla olduğu ağlarda, MSF smb_login auxiliary modülünün bu şekilde çalıştırılması durumunda çok fazla sonuç çıkar. Bu nedenle, bazı IP adresleri gözden kaçabilir. Bu durumdan kaçınmak için “VERBOSE” seçeneğinin “false” olarak ayarlanması tavsiye edilir. Aynı taramanın sonucu aşağıdaki gibidir:

Cain & Abel Aracı Kullanılarak SAM ve SYSTEM Dosyalarından Yerel Kullanıcıların Parola Özetlerinin Elde Edilmesi

Windows işletim sistemlerinde kullanıcı hesaplarının bilgileri SAM ve SYSTEM dosyaları üzerinden tutulur.  Bu yüzden SAM ve SYSTEM dosyalarının güvenliği önemlidir. Bu makale de ise Windows bir bilgisayara ait olan ve ele geçirilen SAM ve SYSTEM dosyaları içerisinde kayıtlı olan yerel hesapların parola özetleri Cain&Abel içersindeki araçlar ile elde edilecektir.

Yerel bir bilgisayara ait SAM ve SYSTEM dosyaları Cain&Abel uygulamasının yüklü olduğu kendi fiziksel bilgisyarımızdaki C:\ dizininde bulunmaktadır. Fiziksel bilgisayarımızda yüklü olan Cain&Abel uygulaması açılarak aşağıdaki numaraları sırasıyla takip ederek “Cracker sekmesi à Sol paneldeki Cracker bağlantısı à Sağ paneldeki boş alana tıklanarak à ‘+’ ikonu” aktif hale getirilir ve son olarak bu ikon tıklanılır.

Açılan pencerede belirtilen sayıları takip ederek ilk önce “Import Hashes from a SAM database” seçeneği ile dışarıdan SAM dosyası uygulamaya aktarılır. SAM veritabanının aktarılması için dosyanın kayıtlı olduğu klasör den SAM dosyası seçilir.

Yukarıdaki işlemin aynısı SYSKEY değerinin elde edilmesi için diğer SYSTEM dosyası içinde uygulanır.

SYSTEM dosyası seçildikten sonra, elde edilen SYSKEY değeri kopyalanır.

SYSTEM dosyası seçildikten sonra, elde edilen SYSKEY değeri kopyalanır.

Sağ paneldeki boş alana SAM ve SYSTEM dosyalarının alındığı  yerel deki bilgisayara ait hesapların parola özetleri listelenir.

Bu verilerin kaydedilmesi için sağ panelde boş bir alanda sağ tıklanarak “Export” işlemi gerçekleştirilir.

Kaydedilecek dosyanın adı ve dizini belirtilir.

Dosya açıldığında kimlik bilgilerinin kaydedilmiş olduğu görülmektedir.

Ophcrack Aracı Kullanılarak Windows SAM ve SYSTEM Dosyaları Üzerinden Yerel Kullanıcıların Parola Özetlerinin Elde Edilmesi

Windows işletim sistemlerinde kullanıcı hesaplarının bilgileri SAM ve SYSTEM dosyaları üzerinden tutulur.  Bu yüzden SAM ve SYSTEM dosyalarının güvenliği önemlidir. Bu makale de ise Windows bir bilgisayara ait olan ve ele geçirilen SAM ve SYSTEM dosyaları içerisinde kayıtlı olan yerel hesapların parola özetleri Kali linux üzerinde kayıtlı gelen, “ophcrack” aracı ile elde edilecektir.

Herhangi bir windows işletim sisteminde ele geçirilen SAM ve SYSTEM dosyaları Ophcrack aracının yüklü olduğu Kali makinesinin bir dizinine (/root/Desktop) kaydedilir.

Sonrasında Kali bilgisayarın komut satırı açılarak “#ophcrack” komutu yazılır ve Ophcrack aracının arayüzü elde edilir.

Not: Yukarıdaki aynı arayüze Kali linux işletim sistemi menüsü üzerinden “Applications à Kali Linux à Password Attacks à Offline Attacks à ophcrack” adımları takip edilerek te elde edilir.

Ophcrack arayüzünde iken “Load à Encrypted SAM” adımları izlenerek SAM/SYSTEM dosyaları yüklenebilir.

SAM/SYSTEM dosyaları masaüstünden alınır.

Windos makinadan alınan yerel hesapların parola özetleri elde edilmiştir.

Bu bilgiler ophcrack arayüzünde “Save à Save To File” adımları izlenerek kaydedilir.

Parola özetlerinin kaydedildiği dosya içeriği aşağıdaki gibidir

Uzaktaki Sistemlere Casus yazılım bulaştırarak Kablosuz Ağ Parolalarını Öğrenmek

Hedefimiz de olan uzak bir bilgisayarda meterpreter ajanı vasıtasıyla shell açarak hedef bilgisayarın komut satırını ele geçirip kablosuz ağ parolaları nasıl öğrenilir, konusu işlenecektir. 

Kali Linux üzerinde metasploit veritabanını kullanan grafiksel bir test / saldırı araçlarından biri ve ayrıca sistemlere sızabilmeye yarayan görsel etkileşimli bir program olan armigate aracı kullanılarak shell' e düşülecektir. 

Armitage programı, kodlara yabancı olanlar için ve pentest çalışmalarına yeni başlayanlar için tavsiye edilmektedir. Linux dünyasındaki birçok açık kaynak kod yazılımı gibi Armitage programı da açık kaynak bir yazılımdır. Pentest alanında açık kaynak yazılımların üzerinde yapılan değişiklikler sonucu ücretli hale getirilen birçok yazılım gibi Armitage programının da ücretli hali, Cobalt Strike, bulunmaktadır.

Kali linux işletim sisteminde komut satırını açtıktan sonra aşağıdaki komutlar yazılır

#service postgresql start

#service metasploit start

#armigate

En son yazılan komuttan sonra karşımıza sırasıyla iki onay ekranı gelecektir. Ekranda gösterildiği gibi butonları onaylanarak ilerlenir.

Bu adımlardan sonra karşımıza armigate programının görsel arayüzü gelir. Search kısmına meterpreter yazılırak windows kısmı bulunur.

Aşağıdaki numaralandırılmış olan adımları takip ederek oluşturulan zararlı_dosya kali  linux işletim sistemine kayıt edilir. 

Hedef bilgisayarı ele geçirmek için oluşturulan zararlı_dosya hazır hale gelmiş ve  kali işletim sistemimizin Desktop' una kayıt edilmiştir. Bu zararlı_dosya sosyal mühendislik yolu ile hedef sisteme, bulaştırıldığını varsayarak devam ediyoruz. Burada bir not düşmek istiyorum. Eğer hedef sistemde her hangi bir antivirüs kurulu ise genel itibari ile bu zararlı dosya yakalanır. Aşağıdaki görüntüde olduğu gibi. Böyle bir durumda başka alternatif yollar denenmelidir. Bu alternatif kısımlar farklı bir makale konusu olduğu için burada değinilmeyecektir.

Sosyal mühendislik yolu ile bulaştırılan zararlı_dosya ekranda olduğu gibi bilgisayara kayıt edilmiş ve bu exe dosyası çalıştırılmıştır.

Hedef sistemin ip bilgileri aşağıdaki gibidir. Bu zararlı dosya çalıştırıldığı andan itibaren armigate programında bilgisayarın ele geçirildiğini görebiliyoruz.

Ele geçirilen bu bilgisayarda sırasıyla ekranda görülen adımlar izlenir.

Yukarıdaki yapılan işlemlerin amacı hedef bilgisayara yerleştirilen meterpreter ajanı ile Command Shell' e düşmektir.

Command Shell satırına düştükten sonra işler artık çok kolay bir duruma geliyor. Ekranda ifade edilen komutları sırasıyla girerek kablosuz ağ parolalarını alabilirsiniz.