Stealing Windows Credentials
Kimlik Bilgileri Mimikatz
Invoke-Mimikatz
Invoke-Mimikatz, a PowerShell script, is a powerful tool that allows you to extract credentials from a Windows system's memory. It can be used to retrieve passwords, hashes, and other sensitive information stored in memory.
To use Invoke-Mimikatz, you need to have administrative privileges on the target system. Once executed, the script will load the Mimikatz library into memory and perform various operations to extract credentials.
Invoke-Mimikatz can be used to perform the following actions:
Pass-the-Hash: This technique allows you to authenticate to a remote system using the NTLM hash of a user's password, instead of the actual password. This can be useful for lateral movement within a network.
Pass-the-Ticket: This technique allows you to authenticate to a remote system using a Kerberos ticket, instead of a password. This can be useful if you have obtained a valid ticket from another user or service.
Golden Ticket: This technique allows you to create a forged Kerberos ticket that grants you full domain administrator privileges. With a golden ticket, you can impersonate any user or service within the domain.
Silver Ticket: This technique allows you to create a forged Kerberos ticket for a specific service. With a silver ticket, you can impersonate a specific service account and access its associated resources.
Skeleton Key: This technique allows you to inject a malicious DLL into the LSASS process, which enables you to bypass authentication and authenticate as any user without knowing their password.
Dumper: This technique allows you to dump credentials from memory, including passwords, hashes, and Kerberos tickets.
Pass-the-Cache: This technique allows you to authenticate to a remote system using cached credentials, instead of a password. This can be useful if you have physical access to a system or have obtained a copy of the SAM database.
DCSync: This technique allows you to impersonate a domain controller and request password hashes for all domain users. This can be useful for obtaining the NTLM hashes of all domain users without being detected.
Invoke-Mimikatz is a powerful tool that can be used for both legitimate purposes, such as penetration testing, and malicious activities, such as stealing credentials. It is important to use this tool responsibly and with proper authorization.
Burada bazı olası kimlik bilgileri korumaları hakkında bilgi edinin. Bu korumalar, Mimikatz'ın bazı kimlik bilgilerini çıkarmasını engelleyebilir.
Meterpreter ile Kimlik Bilgileri
Kurbanın içindeki şifreleri ve karma değerlerini aramak için oluşturduğum Kimlik Bilgileri Eklentisini kullanın.
AV'yi Atlatma
Procdump + Mimikatz
SysInternals'ten Procdump, meşru bir Microsoft aracı olduğu için Defender tarafından tespit edilmez. Bu aracı kullanarak lsass işlemini dump edebilir, damp'ı indirebilir ve damp'tan yerel olarak kimlik bilgilerini çıkarabilirsiniz.
Bu işlem SprayKatz ile otomatik olarak gerçekleştirilir: ./spraykatz.py -u H4x0r -p L0c4L4dm1n -t 192.168.1.0/24
Not: Bazı AV'ler, lsass.exe'yi dump etmek için procdump.exe kullanımını zararlı olarak algılayabilir. Bu, "procdump.exe" ve "lsass.exe" dizesini algıladıkları içindir. Bu nedenle, procdump'a lsass.exe'nin adı yerine PID'sini argüman olarak geçmek daha gizli bir yöntemdir.
comsvcs.dll ile lsass'in dump edilmesi
C:\Windows\System32
dizininde bulunan comsvcs.dll adlı bir DLL, bir çökme durumunda işlem belleğini dump etmekten sorumludur. Bu DLL, rundll32.exe
kullanılarak çağrılan MiniDumpW
adlı bir işlev içerir.
İlk iki argümanın kullanılması önemsizdir, ancak üçüncü argüman üç bileşene ayrılır. Dump edilecek işlem ID'si ilk bileşeni oluşturur, dump dosyasının konumu ikinciyi temsil eder ve üçüncü bileşen sadece full kelimesidir. Başka seçenekler yoktur.
Bu üç bileşenin ayrıştırılmasıyla, DLL dump dosyasını oluşturur ve belirtilen işlemin belleğini bu dosyaya aktarır.
comsvcs.dll'nin kullanımı, lsass işlemini dump etmek için procdump'ı yüklemek ve çalıştırmak gereksinimini ortadan kaldırır. Bu yöntem ayrıntılı olarak https://en.hackndo.com/remote-lsass-dump-passwords/ adresinde açıklanmıştır.
Aşağıdaki komut yürütme için kullanılır:
Bu işlemi lssasy** ile otomatikleştirebilirsiniz.**
Task Yöneticisi ile lsass'in Dump Edilmesi
Görev Çubuğuna sağ tıklayın ve Task Yöneticisi'ni seçin.
Daha fazla ayrıntıyı göster'i tıklayın.
İşlemler sekmesinde "Local Security Authority Process" işlemini arayın.
"Local Security Authority Process" işlemine sağ tıklayın ve "Dump dosyası oluştur" seçeneğini tıklayın.
procdump ile lsass'in Dump Edilmesi
Procdump, sysinternals paketinin bir parçası olan Microsoft tarafından imzalanmış bir ikili dosyadır.
PPLBlade ile lsass'in Dump Edilmesi
PPLBlade, bellek dökümünü obfuskasyon yaparak ve diske kaydetmeden uzak çalışma istasyonlarına aktarabilen Korunan Süreç Dökücü Aracıdır.
Ana işlevler:
PPL korumasını atlatma
Bellek döküm dosyalarını Defender imza tabanlı tespit mekanizmalarından kaçınmak için obfuskasyon yapma
Bellek dökümünün RAW ve SMB yükleme yöntemleriyle diske kaydetmeden yükleme yapma (dosyasız döküm)
CrackMapExec
SAM hashları çalma
LSA sırlarını çalma
Bu teknik, Windows işletim sistemlerindeki LSA (Local Security Authority) sırlarını çalmak için kullanılır. LSA sırları, kullanıcı kimlik bilgileri, oturum açma parolaları ve diğer hassas bilgileri içeren önemli verileri depolar.
Bu teknik, lsadump
aracı kullanılarak gerçekleştirilir. Bu araç, LSA sırlarını çalmak için çeşitli yöntemler kullanır. Bu yöntemler arasında lsass
bellek bölgesini okuma, Security Account Manager (SAM)
veritabanını çözme ve Registry
anahtarlarını analiz etme bulunur.
Bu teknik, bir saldırganın hedef sisteme erişimi olduğunda kullanılabilir. Saldırgan, LSA sırlarını çalarak kullanıcı kimlik bilgilerine erişebilir ve bu bilgileri kötüye kullanabilir.
Bu teknik, bir sistemdeki güvenlik açıklarını tespit etmek ve düzeltmek için kullanılabilir. Sistem yöneticileri, LSA sırlarını korumak için gerekli önlemleri almalı ve güvenlik açıklarını kapatmalıdır.
Hedef DC'den NTDS.dit'i dökün
Mimikatz: This powerful post-exploitation tool can be used to extract credentials from memory. To dump the NTDS.dit file using Mimikatz, follow these steps:
PowerShell: You can also use PowerShell to dump the NTDS.dit file. Here's an example script:
Remember that dumping the NTDS.dit file requires administrative privileges on the target DC. Additionally, be cautious when handling sensitive data and ensure that you have the necessary permissions to perform these actions.
cme smb 192.168.1.100 -u UserNAme -p 'PASSWORDHERE' --ntds #~ cme smb 192.168.1.100 -u UserNAme -p 'PASSWORDHERE' --ntds vss
Her bir NTDS.dit hesabı için pwdLastSet özniteliğini gösterin
NTDS.dit hesapları için pwdLastSet özniteliğini göstermek için aşağıdaki adımları izleyin:
Bir komut istemcisini açın.
ntdsutil
komutunu çalıştırın.activate instance ntds
komutunu çalıştırın.ifm
komutunu çalıştırın.create full C:\path\to\output
komutunu çalıştırın. (Çıktıyı istediğiniz bir yola değiştirin)quit
komutunu çalıştırın.quit
komutunu tekrar çalıştırın.
Bu adımları takip ettikten sonra, NTDS.dit hesaplarının pwdLastSet özniteliğini içeren bir çıktı dosyası oluşturulacaktır.
SAM ve SYSTEM Çalmak
Bu dosyaların konumu C:\windows\system32\config\SAM ve C:\windows\system32\config\SYSTEM olmalıdır. Ancak bunları korundukları için sıradan bir şekilde kopyalayamazsınız.
Kayıttan
Bu dosyaları çalmak için en kolay yol, kayıttan bir kopya almak:
Kali makinenize bu dosyaları indirin ve hash'leri çıkarın kullanarak:
Volume Shadow Copy
Bu hizmeti kullanarak korumalı dosyaların bir kopyasını alabilirsiniz. Yönetici olmanız gerekmektedir.
vssadmin Kullanımı
vssadmin ikili dosyası yalnızca Windows Server sürümlerinde mevcuttur.
Ancak aynısını Powershell ile yapabilirsiniz. Bu, SAM dosyasını nasıl kopyalayacağınızın bir örneğidir (kullanılan sabit disk "C:" ve C:\users\Public'e kaydedilir), ancak bu korumalı herhangi bir dosyayı kopyalamak için kullanabilirsiniz:
Kod kitaptan: https://0xword.com/es/libros/99-hacking-windows-ataques-a-sistemas-y-redes-microsoft.html
Invoke-NinjaCopy
Son olarak, PS betiği Invoke-NinjaCopy kullanarak SAM, SYSTEM ve ntds.dit'in bir kopyasını oluşturabilirsiniz.
Active Directory Kimlik Bilgileri - NTDS.dit
NTDS.dit dosyası, kullanıcı nesneleri, gruplar ve üyelikleri hakkında önemli verileri içeren Active Directory'nin kalbi olarak bilinir. Alan kullanıcılarının şifre karmaları burada depolanır. Bu dosya, bir Genişletilebilir Depolama Motoru (ESE) veritabanıdır ve %SystemRoom%/NTDS/ntds.dit konumunda bulunur.
Bu veritabanında üç temel tablo bulunur:
Veri Tablosu: Bu tablo, kullanıcılar ve gruplar gibi nesneler hakkında ayrıntıları depolamakla görevlidir.
Bağlantı Tablosu: Grup üyelikleri gibi ilişkileri takip eder.
SD Tablosu: Depolanan nesnelerin güvenliğini ve erişim kontrolünü sağlayan her nesne için güvenlik tanımlayıcıları burada bulunur.
Daha fazla bilgi için: http://blogs.chrisse.se/2012/02/11/how-the-active-directory-data-store-really-works-inside-ntds-dit-part-1/
Windows, Ntdsa.dll kullanarak bu dosya ile etkileşimde bulunur ve lsass.exe tarafından kullanılır. Ardından, NTDS.dit dosyasının bir bölümü, lsass
belleği içinde bulunabilir (performans artışı için bir önbellek kullanıldığı için muhtemelen en son erişilen verileri bulabilirsiniz).
NTDS.dit içindeki karmaşaların şifrelenmesi
Karma 3 kez şifrelenir:
BOOTKEY ve RC4 kullanarak Şifre Şifreleme Anahtarı (PEK) şifresini çözme.
PEK ve RC4 kullanarak karmayı şifre çözme.
DES kullanarak karmayı şifre çözme.
PEK, her etki alanı denetleyicisinde aynı değere sahiptir, ancak NTDS.dit dosyasında etki alanı denetleyicisinin SYSTEM dosyasının BOOTKEY'i kullanılarak şifrelenir. Bu nedenle, NTDS.dit dosyasından kimlik bilgilerini almak için NTDS.dit ve SYSTEM dosyalarına ihtiyacınız vardır (C:\Windows\System32\config\SYSTEM).
Ntdsutil kullanarak NTDS.dit Kopyalama
Windows Server 2008'den bu yana kullanılabilir.
Volume shadow copy hilesini kullanarak ntds.dit dosyasını kopyalamak da mümkündür. Unutmayın ki SYSTEM dosyasının bir kopyasına da ihtiyacınız olacak (yine, kayıttan dökün veya volume shadow copy hilesini kullanın).
NTDS.dit'ten hash çıkarma
NTDS.dit ve SYSTEM dosyalarını edinledikten sonra, secretsdump.py gibi araçları kullanarak hash'leri çıkarabilirsiniz:
Ayrıca, geçerli bir etki alanı yönetici kullanarak onları otomatik olarak çıkarabilirsiniz:
Büyük NTDS.dit dosyaları için, gosecretsdump kullanarak çıkarmak önerilir.
Son olarak, metasploit modülü olan post/windows/gather/credentials/domain_hashdump veya mimikatz lsadump::lsa /inject
kullanabilirsiniz.
NTDS.dit'ten domain nesnelerini bir SQLite veritabanına çıkarma
NTDS nesneleri, ntdsdotsqlite ile bir SQLite veritabanına çıkarılabilir. Sadece sırlar çıkarılmaz, aynı zamanda ham NTDS.dit dosyası zaten alındığında daha fazla bilgi çıkarma için tüm nesneler ve özellikleri de çıkarılır.
SYSTEM
hive isteğe bağlıdır ancak şifreleri (NT ve LM karmaşaları, açık metin şifreleri gibi ek bilgiler, kerberos veya güven anahtarları, NT ve LM şifre geçmişleri) çözümlemek için kullanılır. Diğer bilgilerle birlikte, aşağıdaki veriler çıkarılır: kullanıcı ve makine hesapları ile karmaşaları, UAC bayrakları, son oturum açma ve şifre değiştirme zaman damgaları, hesap açıklamaları, isimler, UPN, SPN, gruplar ve özyinelemeli üyelikler, örgütsel birimler ağacı ve üyelikleri, güvenilen etki alanları ve güven türü, yönlendirme ve öznitelikler...
Lazagne
İndirmek için buradan ikili dosyayı indirebilirsiniz. Bu ikili dosyayı çeşitli yazılımlardan kimlik bilgilerini çıkarmak için kullanabilirsiniz.
SAM ve LSASS'tan kimlik bilgilerini çıkarmak için diğer araçlar
Windows credentials Editor (WCE)
Bu araç, bellekten kimlik bilgilerini çıkarmak için kullanılabilir. İndirme bağlantısı: http://www.ampliasecurity.com/research/windows-credentials-editor/
fgdump
SAM dosyasından kimlik bilgilerini çıkarın.
PwDump
SAM dosyasından kimlik bilgilerini çıkarın
PwDump7
İndirin: http://www.tarasco.org/security/pwdump_7 ve sadece çalıştırın ve şifreler çıkarılacaktır.
Savunmalar
Bazı kimlik bilgisi korumaları hakkında bilgi edinin buradan.
Last updated