İpucu: Hedef Makineden Sistem ve Domain Hakkında Bilgi Edinme

Hedef Makineden Sistem ve Domain Hakkında Bilgi Edinme

Amaç

• Etki alanı ve son kullanıcıları bilgisayarları sızma testlerindeki hedef; domain admin kullanıcısının şifresini/biletini elde etmek ve/veya domain controller makinesine yetkili kullanıcı ile erişebilmektir. Bu hedefe ulaşmak için domain hakkında bilgi sahibi olunacaktır.
• "Domain Admins" kullanıcı grubunda bulunan domain yöneticilerine ait hesap adları bulunacaktır.
• "Domain Controllers" makine grubunda bulunan makineler tespit edilecektir.
• Paylaşımları belirlenecektir. Bu bilgi ileriki adımlarda, hedef makinelere aktarım yapıp, o makinelerde program çalıştırmak için kullanılacaktır.

Yöntem
Sızılan bir makineden olabildiğince fazla bilgi edinilmeye çalışılır. Bu bilgiler makineye özel olabildiği gibi, makine domainde ise domain hakkında da olabilir. Bu bilgilerden bazıları aşağıdaki gibidir:

• Makinede oturum açan kullanıcının aktiflik süresi:

idletime

Makinede oturum açan kullanıcının aktiflik süresinin bulunması

• Hedef makinede çalışan prosesler:

ps

Çalışan proseslerin listelenmesi - 1

• İkinci seçenek:

tasklist

Çalışan proseslerin listelenmesi - 2

• Hedef makinedeki yerel kullanıcılar:

net user

Yerel kullanıcılarının listelenmesi

• Hedef makinedeki yerel yöneticiler:

net localgroup administrators

Yerel yönetici grubu üyelerinin listelenmesi

• Hedef makinedeki paylaşımlar:

net share

Makinedeki paylaşımların listelenmesi

• Hedef makinenin bağlı olduğu domaindeki kullanıcılar:

net user /domain

Domain kullanıcılarının listelenmesi

• Hedef makinenin bağlı olduğu domaindeki gruplar:

net groups /domain

Domain gruplarının listelenmesi

• Domain Admins grubunun üyeleri:

net group “Domain Admins” /domain

Domain yöneticilerinin listelenmesi

• Hedef makinenin bağlı olduğu domainde bulunan makineler:

net group “Domain Computers” /domain

Domaindeki makinelerinin listelenmesi

• Domain Controller makineleri::

net group “Domain Controllers” /domain

Domaindeki Controller makinelerinin listelenmesi

• Hedef makinenin bağlı olduğu ağdaki paylaştırılmış kaynaklar:

net view

Ağdaki paylaştırılmış kaynakların listelenmesi

"net" komutu ile yukarıda belirtilen bilgilerin haricinde daha bir çok bilgi edinilebilir. Bu komut yerine DC üzerinde hesap, grup sorgulaması yapan ve arayüze sahip "Active Directory Explorer" uygulaması da kullanılabilir. Bu araç aşağıdaki adresten indirilebilir:

http://technet.microsoft.com/en-us/sysinternals/bb963907.aspx

Not: Domainden elde edilebilecek bilgilerle ilgili aşağıdaki sayfa incelenebilir:

http://ertugrulbasaranoglu.blogspot.com.tr/2012/10/domainden-elde-edilebilecek-baz-onemli.html

Önlem

• Domain makinelerinde "net" komutunun kullanılması engellenmelidir.
• Domain yöneticileri gibi yetkili kullanıcıların bulundukları grupların adları, dikkat çekmeyecek şekilde değiştirilmelidir.
• Açılan paylaşımlardaki izinler sadece erişmesi gerekenlerin ulaşabilmesine olanak verecek şekilde ayarlanmalıdır. Yönetimsel paylaşımlar eğer kullanımları gerekmiyor ise domain politikaları ile kaldırılmalıdır.