mimkitaz nedir

47
271

©TurkHackTeam.Org

 

PROGRAMDAN EKRAN ALINTILARI

 

  1. Mimkitaz Nedir

imikatz düz metin şifrelerini LSASS üzerinden çeken bir dump aracıdır .
Oturum açmak için yazdığımız kullanıcı adı ve parola gibi bilgiler,
belleğe (RAM) yüklenen ve kimlik doğrulama işleminde görev alan bazı
kütüphane dosyalarında şifreli olarak saklanmakta ve bu bilgiler kimlik
doğrulama işlemleri sırasında işlenmektedir. Bunun yanında Mimikatz /
WCE gibi bazı araçlar RAM üzerinde tutulan şifreli parolayı ve şifreleme
anahtarını elde ederek, şifreli parolayı deşifre etmekte, böylece parolanın
açık olarak elde edilmesini sağlamaktadır.

 

 

windows işletim sisteminde şifreli bilgisayarlarda açılan şifre girmemizi istenen bölümden geçebilmek için bizden şifre ister
bunun doğrulamasını windows

üzerinde varolan lsass.exe uygulaması ile doğrular eğer sistemde kayıtlı olan password girilirse sisteme erişirsiniz windwos açılır eğer yanlış ise sisteme giriş yapamazsınız

 

LSASS(Local Security authority subsystem service) olarak bilinen bu uygulama windows sistemlerdeki güvenlik politikasından (kullanıcı oluşturma/değiştirme,kimlik doğrulama gibi) sorumludur.

Peki bu sistem nasıl çalışır ona değineceğim bizden şifre girmemiz istendiğinde giriş şifremizi enterledikten sonra windows sistemi arka planda işemin doğruluğunu teğet ediyor? Peki bu nasıl gerçekleşiyor
İşlemi Gerçekleştirirken windows kullanıcısından aldığı şifreli verileri SAM ve LDAP dosyası dediğimiz veriler ile karşılaştırır.

Bu karşılaşma işlemi sırasında girilen şifre sistem veritabanında kayıtlı olan ile eşleşiyorsa (doğru)
olarak geçişe izin verir

 

 

llanıcıyı sisteme dahil ederken aynı anda kullanıcıya ait parola bilgisini
(NTLM hash ve şifrelenmiş parola) memory de saklar.

Mimikatz ile Windows Sistemlerde Parolaları Açık Olarak Okurken ise NTLM hash ve şifrelenmiş parolayı yani memory deki şifreye ulaşacağız..

tabiki bu memory (hafıza)daki şifreye ulaşmak bizim için yeterli olmayacaktır.

hash: burdaki hash bilidğimiz şu md5 ile şifrelenen parolalardan değil bu konuyu ilk araştırıken bende öyle sanmmıştım ama öyle değilmiş
burdaki hash geriye döndürülebilir şifre manasında. kısacası normal bildiğimiz hashden tamamen farklı bir şey

eğer memory deki hash ı başarılı bir şekilde ele aldıktan sonra LSASS oturumuna enjekte etmemeiz durumunda sisteme girebiliriz bir nevi bypass

pass ve hash yazılımlarının çalışma mantığı bu olmalıdır birkaç pass ve hash yazılımını internetten bulabilirsiniz.

şifrelenmiş windows parolasını kolaylık ile cleartext e dönüştürebiliriz

Nedir cleartext .

xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

Windows üzerinde bu şekilde bir güvenlik yapısının tasarlanma sebebi ise SSO (Single sign-on) servislerinin kerberos ve NTLM gibi klasik kimlik doğrulama yöntemlerini desteklememesidir. Bunun aşılması için windows tarafında önce tspkg ve daha sonra güncellenip wdigest ismi verilen SSP(Security Support Provider) geliştirildi.

 

Bu geliştirilen SSP’ler ile parola bilgisinin şifreli olarak hafızada tutulması yoluna gidilmiş ve hemen hemen tüm windowslarda bu özellik ön tanımlı gelmektedir.

 

Mimikatz ismi verilen uygulama da windowsdaki bu durumu kötüye kullanarak sistemde olan kullanıcılara ait kullanıcı parolalarının hafızadaki şifreli halini elde edip şifreyi kırıp temiz olarak verir. Mimikatz x86 ve x64 mimariye sahip windows sistemlerde(XP,2003,2008,win 7, vista,2008 R2,
Windows 8,Server 8) çalışabilmektedir.

 

Ele geçirilmiş bir windows sistem üzerinde aşağıdaki mimikatz komutlarıyla sistem üzerindeki kullanıcların şifrelerini sistem hafızasından (memory) alınabiliriz
.

Not: Komut satırı sistem haklarında çalıştırılmış olmalı. Aksi halde yetkiniz yok hatası verecektir.
eğer bu işlemi komut satırında sistem haklarında çalıştırmaz isen yetkiniz yok hatası verecektir.

Bu Kadar Teori Yeter Biraz da icraate geçelim şimdi nasıl yapacağiz adım adım en ince detayına kadar sizler için araştırdım.
Türkçe kaynak yok denecek kadar az olduğundan İngilizce Hacking blog ve Bazı forumlardan Gücüm yettiğince çevirip kendi dilimden
anlaşılabilir bir hale getirdim umarım sizler için faydalı olur mimkatz ı dilerseniz metasploit üzerinden de çalıştırabilirsiniz.

Aracı incelerken fransızca olduğu dikkatimi çekti biraz da fransızca olarak arama yaptım internet üzerinden fakat fransızcam olmadığından ötürü ilerleyemedim.

Göz önünde bulundurulması gereken birkaç şey:
Aracın 32 bit ve 64 bit sürümleri var – doğru sürümü seçtiğinizden emin olun (systeminfo sizin arkadaşınızdır)
Yönetici olarak çalıştırmanız gerekiyor (hata ayıklama özellerine ihtiyaç var)
Lsass.exe içine enjekte ve net metin (özellikle uzak bir damping için özellikle bilmek önemli) karmalarını dökmek için sekurlsa.dll adlı bir DLL gerekiyor

Mimikatz tarzı birçok dump aracı vardır fakat şunu asla unutmayın ki

Kullanım Durumları

Bu aracın diğer araçlardan ayıran en önemli özelliği,
düz metin şifrelerini sadece şifre karması yerine
sistemden çekme yeteneğidir. Amacınız Windows ortamında kalmak

WDigest ne halt?

WDigest, Windows XP’de, kullanıcıların HTTP Özet kimlik doğrulaması ve Basit Kimlik
Doğrulama Güvenlik Katmanı (SASL) değişimlerine karşı kimliklerini doğrulamak için
kullanılan bir DLL dosyasıdır. Bunların her ikisi de, kullanıcının doğru
metin anahtarını türetmek için kullanıcının
düz metin şifresini gerektirir; dolayısıyla neden düz metin olarak saklanır.

Mimkatz Sadece şifre çalma veri çalma gibi işlemlerde değil adli bilişim

mimkatz ın Temelde yaptığı iş

lssas prosesine enjekte edildikten sonra başta Windows şifrelerini açık text formatında göstermek

mimkatz ın son sürümü http://blog.gentilkiwi.com/mimikatz

Adli bilişim sürecinde adli vakalarda siber suçların da kullanıyor olduğu bu yöntem sizi ve verilerinizi açığa çıkarmaya
yetecektir diyelim ki bilgisayar tamamen ölü yanmış vs vs bildiğiniz gibi
yanan harddiskten pclerden her ne kadar zarar da görmüş olsa birçok bilgi geri getirilebiliyor
bu işlem şu şekilde ele alınmakta

Eğer adli bilişim incelemesi gerçekleştireceğimiz bilgisayar
canlı değilse, yani bilgisayarın hafızasının imajını alamadıysak
bu durumda elimizdeki disk imajı içinde hiberfil.sys dosyasının var
olup olmadığına bakabiliriz. Eğer disk imajı içinde bilgisayarın boot
bölümünde hiberfil.sys dosyasını bulabilirsek bu dosyayı Microsoft’un
crash dump formatına dönüştürerek mimikatz’ı offline modda bu dosya
üzerinde kullanabiliriz. Mimikatz içinde kullanmak üzere elimizdeki
hafıza imajını Microsoft’un crash dump formatına dönüştürmek için
MoonSols firmasının geliştirdiği Hibr2Dmp.exe uygulamasını kullanabilirsiniz.
Aşağıdaki ekran görüntüsünde bu uygulamanın nasıl kullanıldığını ve örnek
bir dönüştürme işlemine ilişkin çıktıyı bulabilmemiz mümkündür.

Eğer elinizde raw formatında
bir hafıza imajı varsa da bu
durumda yine MoonSols’un araçlarından
Bin2Dmp.exe uygulamasını aşağıda gösterildiği
şekilde çalıştırıp
Microsoft crash dump formatındaki çıktıyı elde edebilirsiniz.

 

 

Buradan Ise Bu atağa karşı alınabilecek güvenlik önlemleri anlatılmış alıntı olmaması adına kopyala yapıştır yapmak yerine sayfanın bağlantısını paylaştım

Mimikatz ve WCE Gibi RAM Üzerinden Parolanın Açık Halini Ele Geçirebilen Araçlara Karşı Alınabilecek Önlemler

penetrasyon işlemlerindenden sonra kullanılan mimikatz ın birkaç seneryosunu sizler için aktaracağım…

Şimdi Bu kadar tehlikeli bir toola karşı ne gibi önlem alabiliriz
onları konuşalım öncelikle her sistemde ufak ta olsa bir açık vardır
ve yüzde yüz güvenlik kesinlikle yoktur.Üstte paylaşmiş olduğum bağlantıdan da. Önlememe takdiklerine ulaşabilirsiniz.

 

 

Komutlar :  x64 dosyasını masaüstüne attıktan sonra sırasıyla :

 

  1. 1.cd Desktop


  2. 2.dir


  3. 3.cd x64 (32bit ise 32 bit)


  4. 4.mimikatz.exe


  5. 5.privilege::debug


  6. 6.sekurlsa::LogonPasswords full

İNDİRME LİNKİ:https://github.com/gentilkiwi/mimikatz/releases

47 YORUMLAR

  1. Crow (CR0W) Hex (H3X) Grace (6R4C3) Trust (7RU57) Behemoth (B3H3M07H) Vision (V1510N) Chronicle (CHR0N1CL3) Matriarch (M47R14RCH) Avatar (4V474R) Cloud (CL0UD)

    bu kadar detaylı olmuş ama kimse bir hesap için bu kadar uğraşmaz

CEVAP VER

Please enter your comment!
Please enter your name here