Cuma , 15 Ocak 2021
Windows Kimlik Bilgileri
Windows Kimlik Bilgileri

Kimlik Bilgileri Yöneticisinde Kayıtlı Bilgilerin Elde Edilmesi

Windows yapılandırma ayarlarının güvenilir bir şekilde yapılmaması ve gerekli yamaların geçilmemesinden dolayı hak yükseltme saldırıları gerçekleştirilebilmektedir. Windows 7’de oturumuna erişilen standart kullanıcının Kimlik Bilgileri Yöneticisinde kaydettiği kimlik bilgileri ile yerel yönetici yetkisinin elde edilmesi incelenecektir.

Kimlik Bilgileri Yöneticisi

Kimlik Bilgileri Yöneticisi, bir kaynağa erişim sağlanan kullanıcıya ait kimlik bilgilerinin (parola, sertifika vs.) depolandığı ve yönetildiği uygulamadır. Kimlik Bilgileri Yöneticisi ile kaydedilebilecek kimlik bilgileri;

  • Ağ kaynaklarına erişim bilgileri
  • Windows Integrated Autentication sağlayan web sitelerine ait erişim bilgileri
  • Terminal sunucularına ait erişim bilgileri
  • Google Talk gibi üçüncü taraf uygulamalara ait erişim bilgileri

Kaydedilen kimlik bilgileri Windows tarafından veya File Explorer, Skype, Outlook, Internet Explorer, OneDrive, sanallaştırma uygulamaları gibi bazı uygulamalar tarafından kullanılabilir.

Kurumsal ortamlarda etki alanında olmayan bir bilgisayarda oturum açan yerel bir kullanıcı kurumun etki alanındaki bir kaynağına (örneğin dosya sunucusundaki dizine) erişim sağlayamaz. Ancak bu bilgisayarın Kimlik Bilgileri Yöneticisi‘ne kaydedilen etki alanındaki bir kullanıcının kimlik bilgileri ile hedef kaynağa (dizine) erişim sağlanabilir. Özellikle bir çok kuruma girip çıkan danışmanlar, bilgisayarlarında bu bilgileri kaydederek her defasında kimlik doğrulatma külfetilden kurtulmuş olurlar.

Kimlik Bilgileri Yöneticisi’ne denetim masası üzerinden erişim sağlanabilir.

Control Panel –> All Control Panel Items –> Credential Manager

Kimlik Bilgileri Yöneticisinde Kayıtlı Bilgilerin Elde Edilmesi 1 – credential manager uzerinde kayitli kimlik bilgilerinin elde edilmesi 011

Aynı yönetim arayüzüne komut satırından da erişim sağlanabilir.

control keymgr.dll

Benzer olarak “Stored User Names and Passwords” ekranı ile kayıtlı olan kimlik bilgileri de listelenebilir.

rundll32 keymgr.dll,KRShowKeyMgr

Kimlik Bilgileri Yöneticisinde Kayıtlı Bilgilerin Elde Edilmesi 2 – credential manager uzerinde kayitli kimlik bilgilerinin elde edilmesi 021

Cmdkey Aracı ile Kimlik Bilgilerinin Kaydedilmesi

Komut satırı üzerinden kimlik ilgilerini yönetmek için “cmdkey” aracı kullanılarak böylece oturum açan kullanıcının her defasında kimlik bilgisi girmeden işlem yapması sağlanabilir.

Mevcut durumda WORKGROUP olarak kurulmuş bir bilgisayarda oturum açan Mehmet adlı kullanıcının oturumunda kayıtlı kimlik bilgisi olmadığı görülmektedir.

whoami
cmdkey /list

Kimlik Bilgileri Yöneticisinde Kayıtlı Bilgilerin Elde Edilmesi 3 – credential manager uzerinde kayitli kimlik bilgilerinin elde edilmesi 031

Bu oturumda, “DCMakinesi” makinesinde oturum açabilecek “YetkiliHesap” kullanıcısına ait kimlik bilgileri cmdkey aracı ile kaydedilebilir.

cmdkey /add:DCMakinesi /user:Ornek\YetkiliHesap /pass:Yy123456
cmdkey /list
rundll32 keymgr.dll,KRShowKeyMgr

Kimlik Bilgileri Yöneticisinde Kayıtlı Bilgilerin Elde Edilmesi 4 – credential manager uzerinde kayitli kimlik bilgilerinin elde edilmesi 041

Kaydedilen hesaba ait parola bilgisinin doğrudan elde edilemediği görülmektedir.

Kayıtlı Kimlik Bilgilerinin Kullanılması: Uzak Bilgisayarda Komut Çalıştırma

Kaydedilmiş kimlik bilgileri olsa bile, parola bilgisi açık metin olarak doğrudan elde edilememektedir. Ancak kimlik bilgilerini(alternate credentials) kaydeden kullanıcının oturumuna erişilmesi durumunda, bu bilgiler oturumu açan kişiymiş gibi kullanılabilir. Örneğin, “DCMakinesi” adlı bilgisayarın C diskine “Ornek\YetkiliHesap” yetkileri ile erişim sağlanabilir.

cmdkey /list
net use
net use \\DCMakinesi\C$
cmdkey /list

Kimlik Bilgileri Yöneticisinde Kayıtlı Bilgilerin Elde Edilmesi 5 – credential manager uzerinde kayitli kimlik bilgilerinin elde edilmesi 051

Yetkiler dahilinde komut da çalıştırılabilir.

cd Desktop
net user
PsExec.exe \\DCMakinesi /s cmd.exe
whoami
hostname
net user

Kimlik Bilgileri Yöneticisinde Kayıtlı Bilgilerin Elde Edilmesi 6 – credential manager uzerinde kayitli kimlik bilgilerinin elde edilmesi 061

Kaydedilmiş kimlik bilgilerini kullanarak mevcut bilgisayarda bir başka kullanıcı gibi komut çalıştırılması da sağlanabilir.

runas /savedcred /user:ORNEK\Mehmet_Yonetici cmd.exe

Kayıtlı Kimlik Bilgileri ile RDP Bağlantısı

RDP işlemleri için de kaydedilmiş kimlik bilgileri kullanılabilir. “/add” ile etki alanı hesaplarına ait kimlik bilgileri eklenmesi için tercih edilirken, “/generic” ile genel tanımlı kimlik bilgilerinin kaydı gerçekleştirilebilir. Bu şekilde bir kullanım sayesinde RDP için kimlik bilgileri kullanılmaya gerek kalmadan belirtilen makineye erişim sağlanabilir.

whoami
cmdkey /list
mstsc /v:egitim
cmdkey /generic:Egitim /user:Workgroup\HedefHesap /pass:Hh123456
cmdkey /list
mstsc /v:egitim

Kimlik Bilgileri Yöneticisinde Kayıtlı Bilgilerin Elde Edilmesi 7 – credential manager uzerinde kayitli kimlik bilgilerinin elde edilmesi 071

RDP için kaydedilmiş bu bilgilerin kullanılması sayesinde, Mehmet oturumunu ele geçiren bir saldırgan tarafından da parola olmadan “egitim” adlı makineye “Workgroup\HedefHesap” adlı kullanıcı ile RDP gerçekleştirilebilir.

Vaultcmd ile Kimlik Bilgilerinin İncelenmesi

Data Protection API (DPAPI); Credential Manager, Internet Explorer, Chrome, Skype, EFS sertifikaları, WEP / WPA anahtarları, MSSQL sununucun master anahtarı, RDP parolalarını şifreli saklamak için kullanılır. 2 temel kapsamda koruma gerçekleştirir.

  • Kullanıcı kapsamında (simetrik anahtar, mevcut kullanıcı hesabının parolası ile şifreli olarak saklanır)
  • Sistem kapsamında (simetrik anahtar, işletim sisteminin parolası ile şifreli olarak saklanır)

Windows 7 işletim sistemlerinde Credential Manager, kaydedilmiş kimlik bilgilerini şifreli olarak saklamak için DPAPI kullanılır. Data Protection API, 3DES algoritmasını kullanarak bu bilgileri kullanıcı ve sistem bazlı şifrelenmesi ve şifresinin çözülmesi işlemlerinde kullanılır. Bu işlemler için temel olarak CryptProtectData ve CryptUnprotectData fonksiyonları kullanılabilir. Şifrelenen kimlik bilgileri, Windows Vault içerisinde saklar.

Windows işletim sisteminde kaydedilmiş kimlik bilglerini yönetmek için “cmdkey” aracının yanında, “vaultcmd” aracı da kullanılabilir.

cmdkey /list
vaultcmd /list
vaultcmd /listproperties:”Windows Vault”
vaultcmd /listcreds:”Windows Vault”

Kimlik Bilgileri Yöneticisinde Kayıtlı Bilgilerin Elde Edilmesi 8 – credential manager uzerinde kayitli kimlik bilgilerinin elde edilmesi 081

Windows Vault içerisinde saklanan bilgiler kullancıya ait  AppData  altındaki  Local  klasöründedir.

vaultcmd /list
vaultcmd /listcreds:”Windows Vault”
C:\Users\<KULLANICI_ADI>\AppData\Local\Microsoft\Vault\4BF4C442-9B8A-41A0-B380-DD4A704DDB28

Kimlik Bilgileri Yöneticisinde Kayıtlı Bilgilerin Elde Edilmesi 9 – credential manager uzerinde kayitli kimlik bilgilerinin elde edilmesi 091

Bunun yanında tüm kimlik bilgileri ise kullancıya ait AppData altındaki Roaming klasöründedir.

C:\Users\<KULLANICI_ADI>\AppData\Roaming\Microsoft\Credentials

Kimlik Bilgileri Yöneticisinde Kayıtlı Bilgilerin Elde Edilmesi 10 – credential manager uzerinde kayitli kimlik bilgilerinin elde edilmesi 101

Kimlik Bilgilerinin Dışarı Aktarılması

Stored User Names and Passwords panelinden kimlik bilgilerinin yedeği dışarıya aktarılabilir.

rundll32 keymgr.dll,KRShowKeyMgr

Kimlik Bilgileri Yöneticisinde Kayıtlı Bilgilerin Elde Edilmesi 11 – credential manager uzerinde kayitli kimlik bilgilerinin elde edilmesi 111

Kayıt işlemine devam edilir.

Kimlik Bilgileri Yöneticisinde Kayıtlı Bilgilerin Elde Edilmesi 12 – credential manager uzerinde kayitli kimlik bilgilerinin elde edilmesi 121

Dışarıya aktarım sırasında, yedeklenecek dosyayı şifrelemek için kullanılacak parola Secure Desktop üzerinden istenecektir.

Kimlik Bilgileri Yöneticisinde Kayıtlı Bilgilerin Elde Edilmesi 13 – credential manager uzerinde kayitli kimlik bilgilerinin elde edilmesi 131

Seçilen bir parola değeri girilir.

Kimlik Bilgileri Yöneticisinde Kayıtlı Bilgilerin Elde Edilmesi 14 – credential manager uzerinde kayitli kimlik bilgilerinin elde edilmesi 141

Böylece yedekleme işleri tamamlanmış olur.

Kimlik Bilgileri Yöneticisinde Kayıtlı Bilgilerin Elde Edilmesi 15 – credential manager uzerinde kayitli kimlik bilgilerinin elde edilmesi 151

Kimlik bilgilerini içeren dosya şifreli bir şekilde kaydedilmiş olur.

Kimlik Bilgileri Yöneticisinde Kayıtlı Bilgilerin Elde Edilmesi 16 – credential manager uzerinde kayitli kimlik bilgilerinin elde edilmesi 161

Dışarıya Aktarılan Kimlik Bilgilerinin Restore Edilmesi

Dışarıya aktarılan kimlik bilgleri başka bir bilgisayarda, başka bir kullanıcının oturumunda geri yüklenebilir. Stored User Names and Passwords panelinden kimlik bilgilerinin yedeği içeriye geri yüklenebilir.

rundll32 keymgr.dll,KRShowKeyMgr

Kimlik Bilgileri Yöneticisinde Kayıtlı Bilgilerin Elde Edilmesi 17 – credential manager uzerinde kayitli kimlik bilgilerinin elde edilmesi 171

Geri yükleme sırasında, geri yüklenecek dosyanın şifresini çözmek için kullanılacak parola Secure Desktop üzerinden istenecektir.

Kimlik Bilgileri Yöneticisinde Kayıtlı Bilgilerin Elde Edilmesi 18 – credential manager uzerinde kayitli kimlik bilgilerinin elde edilmesi 181

Şifre çözme sırasında kullanılan parola değeri girilir. Parola değeri bilinmiyorsa, parola değerinin tespiti için sözlük saldırıları gerçekleştirilebilir.

Kimlik Bilgileri Yöneticisinde Kayıtlı Bilgilerin Elde Edilmesi 19 – credential manager uzerinde kayitli kimlik bilgilerinin elde edilmesi 191

Parola değeri doğruysa, geri yükleme işlemi başarılı bir şekilde gerçekleşir.

Kimlik Bilgileri Yöneticisinde Kayıtlı Bilgilerin Elde Edilmesi 20 – credential manager uzerinde kayitli kimlik bilgilerinin elde edilmesi 201

Böylece, Mehmet kullanıcısının kaydettiği kimlik bilgileri Turan kullanıcısının Credential Manager konsoluna yüklenmiş olur.

Kimlik Bilgileri Yöneticisinde Kayıtlı Bilgilerin Elde Edilmesi 21 – credential manager uzerinde kayitli kimlik bilgilerinin elde edilmesi 211

Bu bilgiler, Mehmet kullanıcısının oturumundaymış gibi kullanılabilir.

whoami
cmdkey /list
net use
net use \\DCMakinesi\C$
net use

Kimlik Bilgileri Yöneticisinde Kayıtlı Bilgilerin Elde Edilmesi 22 – credential manager uzerinde kayitli kimlik bilgilerinin elde edilmesi 221

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir