Windows sistemler üzerinde NTLM hash değeri ele geçirilirse , bu hash değeri kullanılarak hedef sistem üzerinde oturum açılabilir.Peki bu nasıl olur ? Bunun için öncelikle Windows kimlik doğrulamasına bakalım.

Pass the Hash

Windows sistemlerde oturum C:\Windows\System32 de bulunan lsass.exe deki hash değerlerinin karşılaştırması ile sağlanır.Sisteme giriş yapmış kullanıcılar memoryde saklanır ve kimlik doğrulama sırasında kullanılır.Hash algoritması şu şekildedir;

algoritma sonunda 32 bitden oluşan lm hash elde edilir ve memory de tutulur.Pass the hash ,memory de tutulan bu hash değerini kullanarak oturum açmaya verilen isimdir.

Pass the Hash Nasıl Yapılır ?

Bu konuda bize yardımcı olan en önemli araç mimikatzdır.Mimikatz kali de kurulu olarak gelir ancak windows sistemlerde de çalışır.Biz windows sitemde kullanarak örnek yapacağız.

1-)Dump Dosyasından Hash Elde Etme

Dump dosyası parolaların hashli olarak bulunduğu binary bir dosyadır.Bu dosyayı açıp inceleyemeyiz ancak mimikatz gibi araçlarla inceleyebiliriz.

Öncelikle mimikatzı burdan indirerek windows sisteminize kurun.Mimikatz hacking ve pentest işlerinde kullanıldığı için windows defenderiniz onu virüs olarak algılayacaktır ,o yüzden indirirken defender kapamayı unutmayın 🙂

Dump dosyasını x64 klasörünün içene atın ve aynı dizinde bulunan mimikatz uygulamasını yönetici olarak çalıştırın.(\mimikatz\mimikatz_trunk\x64)

Dump dosyasını mimikatz exe ile aynı dosyaya atma

1-) “privilege::debug” komutu ile programı debug moda alıyoruz.

2-) “sekurlsa::minidump bck.DMP” komutu ile programa bir dump dosyası vereceğimizi ve o dump dosyası içerisinden salt şifreleri çıkarmasını istiyoruz.

3-) Daha sonra “sekurlsa::logonpasswords” komutu ile dump içerisinde bulunan salt şifreler çözülebilir

Ntlm hash elde etme

Administrator kullanıcısı için ntlm hash değerini elde ettikten sonra ,psexec ile pass the hash işlemine geçiyoruz.

2-) Pass the Hash Uygulama

Msfconsole dan psexec modülünü search komutu ile aradık ve çıkan 5 modülden üçüncü modülü use komutu ile kullandık.Options diyerek gereken parametreleri gördük ve;

gereken parametreleri set ettik .En son da exploit komutu ile exploiti çalıştırdık ve NT AUTHORITY\SYSTEM hakları ile erişin sağladık.

Pass the Hash Ataklarından Korunma Yolları

Herhangi bir ataktan korunmak için en önemli faktörün insan olduğu unutulmamalıdır. Personellere farkındalık eğitimleri aldırılmalıdır. Mümkünse alınan eğitimde gerçekleşmiş olaylar ele alınmalıdır. Gözlemlerime dayanarak söyleyebilirim ki birçok kurum formalite olarak bu eğitimleri aldırmaktadır.

Gelelim Teknik olarak nasıl önlem alabileceğimize;

1.Yapı içerisindeki tüm aktiviteler detaylı olarak izlenmelidir. İlgili araçlara örnek vermek gerekirse;

  • Microsoft ATA
  • Javelin Network örnek olarak verilebilir.

2. Domain Admin, Enterprise Admin gibi yüksek haklara sahip kullanıcılar için,

Account is sensitive and cannot be delegated olarak işaretlenmelidir.

Daha detaylı korunma yolları için kaynak: pth korunma yollarına tıklayabilirsiniz.İyi çalışmalar..

2 Responses

  1. Merhaba

    Rsimdeki algoritma nthash değil lm hash gibi gözüküyor. Kontrol eder misiniz

    Ayrıca belirtilen ayarlar pth saldırılarını onlemez. İlki tespit için kullanılabilir.

    Korunma için uac Hardening; administrative share kaldirilmasi; epp/av/hips kullanımı.. olabilir

    Elinize saglik

    • Yorumunuz için teşekkürler,gerekli düzeltmeler yapılmıştır.En son kısım ise Pass the Hash saldırılarında önlem almak için kullanılıyor.Direk olarak önlemek adına değil.Detaylı bilgiler için kaynakta verilen linkten faydalanabilirsiniz.
      İyi okumalar

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir