Cuma , 27 Kasım 2020
Mimikatz 1 – maxresdefault1 1 e1589469594358

Mimikatz

Mimikatz, windows işletim sistemlerine yapılan Pass-The-Hash ataklarında kullanılan açık kaynak kodlu bir araçtır. Temel olarak “mimilib.dll” ve “mimidrv.sys” adlı dosyalar yardımıyla işlevlerini gerçekleştirir. 

Mimilib;
SSP oturum paketlerine erişim, Windows üzerinde bulunan AppLocker yazılımını bypass etme, şifreleri filtreleme gibi görevlere sahiptir.

Mimidrv;
Windows kernel ile Mimikatz arasındaki etkileşimi sağlayan driverdır. Mimikatz’i çalıştırabilmek için admin veya sistem kullanıcısına ihtiyaç vardır. Stabil çalışabilmesi için LSASS işlemi ile etkileşebilmesi ve hata ayıklama yetkilerine sahip olması gereklidir.

Mimikatz’in indirme bağlantıları

Mimikatz Kaynak Kodları
Mimikatz Release

Windows işletim sistemlerinde login esnasında kullanıcı adı ve şifrenin kontolü System32 dizininde yer alan LSASS.exe (Local Security Authority Subsystem Service) adlı uygulama tarafından yapılır. LSASS.exe, windows sistemlerde yer alan kullanıcı işlemlerinden ve kimlik yönetiminden sorumludur.

Windows’da oturum kontrolü, giriş yapılan verilerin SAM tablosundaki veriler ile karşılaştırılmasıyla sağlanır. Karşılaştırma sonucunda veriler örtüşüyorsa kullanıcının sisteme girişi sırasında girilen oturum parolası hash’lenerek bellekte tutulur. WCE gibi yazılımlar verilerin saklandığı bellek alanındaki hash’i okuyup herhangi bir başka LSASS oturumuna enjekte ederek kontrol mekanizmasını bypass ederler.

Mimikatz 2 – NTLM kimlik doğrulama1
NTLM Kimlik Doğrulama

Mimikatz, meterpreter ile birlikte de çalışabilmektedir. Mimikatz hedef bilgisayarda fiziksel erişim ile çalıştırılır.

privilege::debug komutu ile özel haklar alınır. 

mimikatz
mimikatz

sekurlsa::logonPasswords ile kullanıcı adı, domain, parola gibi bilgileri çekilir.

Mimikatz 3 – mimkatz1
sekurlsa::logonPasswords

Microsoft Win 8.1 ile bu açığı kısmende olsa kapattığından dolayı Windows 8.1  ve 10 sürümlerinde Mimikatz parolayı bulmaya çalıştığında parola null (boş) olarak görünebilmektedir.

Mimikatz 4 – mimikatz2

Windows 8.1 ve 10’da Regedit ayarı ile devre dışı bırakılmış olan oturum açma parolası clear-text olarak görülebilmektedir.

Regedit içerisinde HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest\

Mimikatz 5 – regedit
regedir

Admin haklarıyla Windows Shell’i açılıp;
reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1

Mimikatz 6 – WDigest
regedit

Kayıt defterini UseLogonCredential” DWORD değerini 1 olarak eklendi.

Mimikatz 7 – uselogon
regedit

Şuan bellekten parolanın alınabilmesi için parolanın yeniden girilmesi gereklidir ve oturumu kapatıp açmak yeterli olacaktır.

Mimikatzı yeniden açıldığında bu sefer  null yerine kullanıcı parolasını getirmektedir.

Mimikatz 8 – mimikatz3
password

Fiziksel erişim sağlanamayan fakat meterpreter ile erişim sağlanabilen sistemlerde de clear-text olarak Mimikatz aracı ile kullanıcı şifresi elde edilebilir.

Her hangi bir açık kullanılarak meterpreter payload‘u ile erişim sağlanır.

Yerel yönetici kullanıcısından SYSTEM kullanıcısına geçip “Mimikatz” modülü konsola import edilir.
meterpreter > getsystemmeterpreter > getuidmeterpreter > load mimikatz

Mimikatz 9 – meterpreter
getuidmeterpreter

Windows oturum parolalarınn bellekten hash formatında alınıp kırılarak, clear-text formatında çıktı olarak alınabilmesi için;
mimikatz_command –f sekurlsa::logonPasswords –a “full”

Mimikatz 10 – sekurlsa
mimikatz

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir