Parola Saldırıları

Windows

pwdump ve fgdump araçları Win2k ve sonrası işletim sistemlerinde bellekte tutulan parola hashlerinin dump etmek için kullanılmaktadır. Bu araçlar ayrıca LM/NTLM parola hashlerini kırıp clear-text formatını sunabilecek özelliklere de sahiptir. Bu araçlar lsass.exe processine DLL injekte ederek parola hashlerini çıkarmaktadır. fgdump aracı, pwdump aracına göre daha gelişmiş özelliklere ve bazı tekniklere sahiptir. pwdump aracının güvenlik uygulamarına yakalanma riski yüksek iken fgdump antivirüs uygulamarını devre dışı bırakmaya çalışarak lsasss processinden dump almaya çalışır.

SAM Path;

%SystemRoot%/system32/config/SAM

Lan Manager (LM Hash) : Eski windows sürümlerinde kullanılan parolaların hasli halinin tutulduğu format. Eskiye dönük uyumluluk problemlerini çözmek için sonrasında desteklendi ancak Windows Vista'dan sonra bu destek kaldırıldı. LM hash zayıf hash(MD4) algoritması kullandığından dolayı parolaların clear-text haline ulaşmak kolaylıkla mümkündür. SAM database os çalışırken kopyalanamaz. Ancak lsass.exe processi dump edilerek bu bilgiler elde edilebilir. Win2003 ve öncesi LM ve NTLM hashi destekler. Vista ve sonrasında LM desteği kalktı. Sadece NTLM kullanıldı

NT Lan Manager (NT Hash a.k.a NTLM Hash) : Microsoft Windows'un daha modern işletim sistemlerinde kullandığı gizlilik, bütünlük ve yetkilendirmeyi sağlayan bir kimlik doğrulama mekanizmasıdır. NT kimlik doğrulamasındaki zayıflık/eksikliklerden dolayı geliştirilmiştir. Bellek üzerinden elde edilen parolaların Hash formatı kullanılarak başka makinelerde oturum açmak mümkündür. Bu yansıtma(reflection) saldırı Pass The Hash (PTH) olarak geçer. Windows Vistadan sonra NT Hash kullanılmaya başlandı.

PTH saldırılarından korunmak için windows NT 4.0 ile beraber gelen syskey aracı kullanılabilir. Bu araç 128 bitlik bir anahtar ile SAM veritabanında bulunan kimlik bilgilerini şifrelemektedir.

Wordlist directory;

/usr/share/wordlists

crunch

# crunch 6 6 ABCDEF1234567890 -o list.txt


# crunch 8 8 -t ,@@^^%%% (for exp. Afs!?432)

, : Upper Case @ : lower case ^ : special character % : Number

med

pwdump

fgdump

fgdump.exe aracı indirilip yönetici haklarında çalıştırıldığında kullanıcılara ait parola hashlerini bellekten çıkarır.

windows credential editor (wce)

https://www.ampliasecurity.com/research.html adresinden indirilip doğrudan çalıştırıldığında bellekte bulunan kullanıcı parola özetlerini(LM/NTLM) dump eder.

# wce32.exe -w

Port Forwarding

Bir porta gelen trafiğin başka bir IP/porta yönledirme işlemidir.

Eğer bir kurumsal ağda bulunan bir makineye sadece 80 ve 443 portu üzerinden(firewall tarafından böyle bir kural girilmiştir.) internete erişim izni verilmiştir. Bu durumda proxy olarak kullanılacak makinede aşağıdaki komutlar yazılarak rinetd servisi yeniden başlatılır. Aşağıdaki komut ile proxy makinesi kendisine 80 portu üzerinden gelen trafiği Y.Y.Y.Y ip adresine sahip makinenin 3389(RDP) portuna yönlendirecektir. (X : proxy makine, Y : hedef, Z : kurum makinesi)

Z.Z.Z.Z:45312 ----> X.X.X.X:80 -----> Y.Y.Y.Y:3389

# nano /etc/rinetd.conf
# ProxyIp ProtxyPort RedirectIP RedirectPort (For exp. X.X.X.X 80 Y.Y.Y.Y 3389)
# /etc/init.d/rinetd restart

SSH Local Port Forwardin (Encrypted SSh Tunnel)

Burası Eksik yazılacak.

Cewl

cewl -d 1 -m 8 IP -w output.txt

Last updated