15 Aralık 2014 Pazartesi

Windows Sızma Testi Eğitim Ortamının Hazırlanması & Windows Sızma Testi Senaryolarının Uygulanması

Windows Sızma Testi Eğitim Ortamının Hazırlanması - Windows Sızma Testi Senaryolarının Uygulanması

Önceki bir yazıda etki alanı sızma testinin temel adımları incelenmişti. Bir başka yazıda da bir senaryo üzerinde etki alanı sızma testi gerçekleştirilmişti. Bu yazıda ise etki alanı sızma testinin nasıl gerçekleştirildiği birbirinden farklı yöntemlerle incelenecektir. Bu amaçla, 4 bilgisayardan oluşan bir eğitim ve senaryo ortamı oluşturulacak, daha sonra da senaryolara ait adımlar sırasıyla gerçekleştirilecektir.

Not: Belirtilen adımlardan bir kısmı aynı işlemi farklı yöntemlerle gerçekleştirmektedir. Bu yazının amaçlarından biri de, farklı yöntemlerin incelenmesidir.

Ortamın Hazırlanması

XP SP0, W7, WS 2008 R2 makineler ve saldırı amacıyla da güncel bir Kali kullanılacaktır.
  • Bütün makineler aynı ağ ortamında birbirine erişebilir halde olmalıdır. 
  • XP ve W7'de ortak bir kullanıcı oluşturulup bu kullanıcı yerel yönetici yapılacaktır. Bu kullanıcının adı Ahmet, parolası ise Aa123456 olarak belirlenebilir.
  • W7 üzerindeki Administrator hesabının parolası Test123 olarak ayarlanır. Bu hesap devre dışı bırakılabilir.
  • W7 üzerinde Cain&Abel, Winscp, Filezilla, Tortoisesvn uygulamaları yüklü olmalıdır. Winscp, Filezilla ve Tortoisesvn üzerinde kayıtlı erişim bilgileri (kullanıcı adı ve parola) bulunmalıdır.
  • WS üzerinde Avast gibi (Services.msc konsoluyla devre dışı bırakılabilecek) bir antivirüs yüklenir.
  • W7 ve WS'da UAC devre dışı bırakılır.
  • W7 ve WS'da RDP kapalı olarak bırakılır.
  • WS'da bir etki alanı (ornek.local) kurulur.
  • WS'da 3 adet etki alanı hesabı oluşturulacaktir. Bu hesapların bilgileri şu şekilde belirlenebilir: Jale/Jj123456, Halit/Hh123456, Zeynep: Zz123456. Ayrıca Administrator parolası Test123 olarak ayarlanır. Zeynep hesabı Domain Admins grubuna eklenir.
  • WS'da bir grup ilkesiyle Halit kullanıcısının parolası ayarlanır. Bu işlem için bakınız
  • WS'da Zeynep hesabının oturumu açık bırakılır.
  • WS'da güvenlik duvarı devre dışı bırakılır.
  • W7 etki alanına dahil edilir. 
  • W7'de güvenlik duvarı devre dışı bırakılır.
  • Jale hesabı W7 bilgisayarda yerel yönetici olarak ayarlanır.
  • W7 üzerinde Jale hesabının oturumu açık bırakılır.
  • Kali üzerinde Veil kurulur.
  • Kali üzerinde Everyone için bir SAMBA paylaşımı açılır. Bu işlem için bakınız.
  • Kali üzerindeki paylaşıma Mimikatz, WCE, putty, MS procdump, MS psexec araçları eklenir. Ayrıca bu paylaşıma oluşturulacak olan zararlı yazılımlar konulacaktır. Meterpreter bağlantısı elde edilen bilgisayara "upload" komutuyla veya Windows bilgisayarından SMB paylaşımına gidilerek bu dosyalar Windows bilgisayarlara alınacaktır.

XP SP0 Senaryoları

İstismar Adımları - Exploitation

  • Fiziksel olarak erişim sağlandığı varsayılan bilgisayardan SAM ve SYSTEM dosyaları elde edilebilir. İlgili yazı için bakınız
  • Ağ üzerindeki bilgisayarlarda bulunan zafiyetler tespit edilebilir. İlgili yazı için bakınız
  • Zafiyet tespit edilen bilgisayar, bir C kodu ile istismar edilip Windows komut satırı elde edilebilir. İlgili yazı için bakınız
  • XP SP0 üzerindeki zafiyet, MSF ms08_067_netapi modülü ile istismar edilip Meterpreter komut satırı elde edilebilir. İlgili yazı için bakınız.

İstismar adımları sonucunda elde edilenler şu şekildedir:
  • Kali bilgisayarından, XP bilgisayarına Windows komut satırı
  • Kali bilgisayarından, XP bilgisayarına Meterpreter komut satırı
  • SAM ve SYSTEM dosyaları

İstismar Sonrası Adımlar - Post Exploitation

Bu başlıkta, XP bilgisayarı elde edildikten sonra gerçekleştirilebilecek olan adımlar incelenecektir.
  • Meterpreter bağlantısı ele geçirilmiş olan Windows bilgisayarda yerel hesapların parola özetleri elde edilebilir. İlgili yazı için bakınız
  • XP bilgisayarında elde edilen SAM ve SYSTEM dosyaları Kali üzerindeki Ophcrack aracına verilip, yerel hesapların parola özetleri elde edilebilir. İlgili adım için bakınız

İstismar sonrası adımlar sonucunda elde edilenler şu şekildedir:
  • Ahmet hesabının parola özeti

W7 Senaryoları

XP bilgisayarından elde edilen bilgiler kullanılarak, etki alanındaki W7 bilgisayarındaki adımlar gerçekleştirilecektir.

İstismar Adımları - Exploitation

  • Fiziksel olarak erişim bulunulan bir bilgisayarda Windows komut satırı SYSTEM haklarıyla elde edilebilir. İlgili yazı için bakınız
  • XP üzerinden elde edilen Ahmet hesabının parola özeti ile aynı erişim bilgilerini kullanan diğer bilgisayarlar MSF smb_login modülü ile tespit edilebilir. İlgili yazı için bakınız
  • MSF smb_login modülü ile erişim sağlanabilecek bilgisayarlarda, MSF psexec modülü ile Meterpreter komut satırı elde edilebilir. İlgili yazı için bakınız
  • Putty aracı MsfPayload ve MsfEncode ile kullanılarak, zararlı bir yazılım oluşturulabilir. İlgili yazı için bakınız. Oluşan zararlı yazılım Kali üzerindeki paylaşıma konulup, Ahmet hesabının parola özeti kullanılarak pth-winexe aracı ile Meterpreter komut satırı elde edilebilir. İlgili yazı için bakınız

İstismar adımları sonucunda elde edilenler şu şekildedir:
  • Kali bilgisayarından, W7 bilgisayarına Windows komut satırı
  • Kali bilgisayarından, W7 bilgisayarına Meterpreter komut satırı

İstismar Sonrası Adımlar - Post Exploitation

Bu başlıkta, W7 bilgisayarı ele geçirildikten sonra gerçekleştirilebilecek olan adımlar incelenecektir.
  • Meterpreter bağlantısı ele geçirilmiş olan W7 bilgisayarında kayıtlı Winscp parolası açık olarak elde edilebilir. İlgili yazı için bakınız (6. adım).
  • Meterpreter bağlantısı ele geçirilmiş olan W7 bilgisayarında kayıtlı Filezilla parolası açık olarak elde edilebilir. İlgili yazı için bakınız
  • Meterpreter bağlantısı ele geçirilmiş olan W7 bilgisayarında kayıtlı Tortoisesvn parolası açık olarak elde edilebilir. İlgili yazı için bakınız.
  • Windows komut satırı elde edilmiş W7 bilgisayarında uzak masaüstü bağlantısı açılabilir. Bu amaçla, kullanılabilecek komut şu şekildedir: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f
  • Windows komut satırı elde edilmiş W7 bilgisayarında işletim sistemi ve etki alanı hakkında bilgi edinilebilir. İlgili yazı içib bakınız.
  • Meterpreter bağlantısı ele geçirilmiş olan W7 bilgisayarında getgui betiğiyle uzak masaüstü bağlantısı açılabilir. İlgili yazı için bakınız
  • Meterpreter bağlantısı ele geçirilmiş olan W7 bilgisayarında MSF hashdump betiği, MSF hashdump post modülü ve meterpreter migrate komutu ile yerel yönetici parola özetleri elde edilebilir. İlgili yazı için bakınız
  • Windows komut satırı elde edilmiş W7 bilgisayarında SAM ve SYSTEM dosyaları elde edilebilir. İlgili yazı için bakınız
  • XP veya W7 bilgisayarında elde edilen SAM ve SYSTEM dosyaları, W7 bilgisayarı üzerindeki Cain&Abel aracına verilip, yerel hesapların parola özetleri elde edilebilir. İlgili yazı için bakınız. Cain&Abel aracının "Import Hashes from local system" seçeneği ile yerel hesapların parola özetleri direk olarak da elde edilebilir.
  • Meterpreter oturumu ele geçirilmiş olan W7 bilgisayarında MSF gpp post modülü kullanılarak Halit hesabının parolası açık olarak elde edilebilir. İlgili yazı için bakınız
  • Meterpreter bağlantısı ele geçirilmiş olan W7 bilgisayarında Mimikatz eklentisiyle RAM üzerindeki Jale hesabının kimlik bilgileri açık olarak elde edilebilir. İlgili yazı için bakınız
  • Windows komut satırı elde edilmiş W7 bilgisayarında (W7 bilgisayarın disk sistemindeki veya Kali paylaşımındaki) WCE veya Mimikatz araçları ile RAM üzerindeki Jale hesabının kimlik bilgileri açık olarak elde edilebilir. İlgili yazı için bakınız
  • Meterpreter bağlantısı ele geçirilmiş olan W7 bilgisayarında Meterpreter Persistence aracı kullanılarak erişimin sürekliliği sağlanabilir. İlgili yazı için bakınız
  • Meterpreter bağlantısı ele geçirilmiş olan W7 bilgisayarında Meterpreter keyscan komutları kullanılarak W7 bilgisayarında klavye hareketleri tespit edilebilir. İlgili yazı için bakınız
  • Meterpreter bağlantısı ele geçirilmiş olan W7 bilgisayarında Meterpreter incognito eklentisi kullanılarak Jale hesabının jetonu elde edilebilir. İlgili yazı için bakınız
  • W7 üzerinden elde edilen Administrator hesabının parola özeti ile aynı erişim bilgilerini kullanan bilgisayarlarda oturum açan hesaplar MSF smb_enumusers_domain modülü ile elde edilebilir. İlgili yazı için bakınız
  • W7 üzerinden elde edilen Administrator hesabının parola özeti ile aynı erişim bilgilerini kullanan bilgisayarlarda oturum açan belli hesaplar ("Domain Admins" grubu hesapları gibi) KACAK aracı ile elde edilebilir. İlgili yazı için bakınız
  • W7 üzerinden elde edilen Jale hesabının parolası ve SID bilgisi ile MS14-068 zafiyeti istismar edilip, Domain Admin yetkisine sahip olunabilir. İlgili yazı için bakınız


İstismar sonrası adımlar sonucunda elde edilenler şu şekildedir:
  • Winscp üzerinde kayıtlı hesabın kimlik bilgileri
  • Filezilla üzerinde kayıtlı hesabın kimlik bilgileri
  • Tortoisesvn üzerinde kayıtlı hesabın kimlik bilgileri
  • W7 bilgisayara uzak masaüstü bağlantısı
  • Administrator hesabının parola özeti
  • SAM ve SYSTEM dosyaları
  • Halit hesabının parolasının açık hali
  • Jale hesabının parolasının açık hali
  • W7 bilgisayarına sürekli bağlantı
  • W7 bilgisayarındaki klavye hareketleri
  • Jale hesabının yetkileri
  • WS üzerinde oturum açan hesabın adı (Zeynep)
  • Domain Admin yetkileri

WS Senaryoları

W7 bilgisayarından elde edilen bilgiler kullanılarak, etki alanındaki WS bilgisayarındaki adımlar gerçekleştirilecektir.

İstismar Adımları - Exploitation

  • W7 bilgisayarında RDP ile erişim sağlanmış iken; Administrator hesabının parola özeti kullanılarak WCE, MS Net ve MS PsExec araçları ile RAM üzerindeki bilgiler değiştirilip, Windows komut satırı elde edilebilir. İlgili yazı için bakınız
  • Veil aracı kullanılarak, zararlı bir yazılım oluşturulabilir. İlgili yazı için bakınız. Oluşan zararlı yazılım Kali üzerinde paylaşıma konulup, Administrator hesabının parola özeti kullanılarak MSF psexec_command modülü ile Meterpreter komut satırı elde edilebilir. İlgili yazı için bakınız

İstismar adımları sonucunda elde edilenler şu şekildedir:
  • W7 bilgisayarından, WS bilgisayarına Windows komut satırı
  • Kali bilgisayarından, WS bilgisayarına Meterpreter komut satırı

İstismar Sonrası Adımlar - Post Exploitation

Bu başlıkta, WS bilgisayarı ele geçirildikten sonra gerçekleştirilebilecek olan adımlar incelenecektir.
  • WCE ve MS Net araçları ile RAM üzerindeki bilgileri değiştirilen W7 bilgisayarında iken, WS Registry Editor konsoluna bağlanılarak uzak masaüstü bağlantısı açılabilir. İlgili yazı için bakınız (4. adım). 
  • WCE ve MS Net araçları ile RAM üzerindeki bilgileri değiştirilen W7 bilgisayarından, WS Services konsoluna bağlanılarak arzu edilen servis (antivirüs servisi) devre dışı bırakılabilir. İlgili yazı için bakınız (5. adım). 
  • Windows komut satırı elde edilmiş WS bilgisayarında (WS/W7 bilgisayarın disk sistemindeki veya Kali paylaşımındaki) Procdump ve Mimikatz araçları ile RAM üzerindeki Zeynep hesabının kimlik bilgileri açık olarak elde edilebilir. İlgili yazı için bakınız
  • Meterpreter oturumu ele geçirilmiş olan WS bilgisayarında MSF smart_hashdump post modülü kullanılarak yerel hesapların parola özetleri elde edilebilir. İlgili yazı için bakınız
  • WS üzerinden elde edilen Krbtgt hesabının parola özeti (ve etki alanı SID değeri) ile Golden Ticket oluşturulabilir. İlgili yazı için bakınız
  • Windows komut satırı veya masa üstü bağlantısı ele geçirilmiş olan WS bilgisayarında Volume Shadow dosyaları kullanılarak yerel hesapların parola özetleri elde edilebilir. İlgili yazı için bakınız.

İstismar sonrası adımlar sonucunda elde edilenler şu şekildedir:
  • WS bilgisayara uzak masaüstü bağlantısı
  • WS bilgisayarındaki antivirüsün devre dışı bırakılması
  • Zeynep hesabının parolasının açık hali
  • KRBTGT hesabının parola özeti
  • Etki alanına ait Golden Ticket
  • NTDS.dit ve SYSTEM dosyaları

Ek Adımlar

  • Ruby ile hazırlanmış, ancak MSF üzerinde bulunmayan istismar kodu kullanılarak istismar işlemi gerçekleştirilebilir. İlgili yazı için bakınız
  • Evilgrade ve Ettercap aracı ile Windows güncellemesi istismar edilebilir. İlgili yazı için bakınız
  • Etki alanı denetleyicisi (DC) üzerinde iken, yönetimsel paylaşımı veya uzak masaüstü bağlantısı kapalı olan etki alanındaki bir bilgisayarın yönetimsel paylaşımı veya uzak masaüstü bağlantısı açılabilir. İlgili yazı için bakınız

Bu yazıda belirtilenlerin haricindeki adımlar da sırası geldiğince eklenmeye çalışılacaktır.

Bu yazıda, etki alanına yapılabilecek saldırılar - eğitim ve bilgilendirme amacıyla - ele alınmıştır. Bu saldırılara yönelik alınması gereken temel önlemler için bağlantıdaki yazı incelenebilir.


Gönderen zaman:
Etiketler: , , ,

Hiç yorum yok:

Yorum Gönder

Kaydol: Kayıt Yorumları (Atom)