İpucu: PsExec Yerine WCE ile Bilgisayara Sızma
Bazı durumlarda sadece elimizde kullanıcı özetleri (özellikle yerel hesaplar için) bulunabilmekte bu özetler kırılamamakta ve parolann açık hali elde edilememektedir.örneğin yerel yönetici parola özetini bir bilgisayardan alıp diğer bilgisayarlarda da ortak kullanıldığı tespit edilebilmekte (smb_login, smb_enumusers_domain vs ile) ancak diğer bilgisayarlara erişim sağlanamamaktadır. Örneğin psexec (Sysinternals, msfconsole, metasploit vs) çalışamamakta; "net use", RDP (mstsc) ise parolanın açık halini istemektedir. Bu gibi durumlarda WCE aracı "-s" parametresi ile kullanılabilir.
Senaryo:
Saldırgan tarafından ele geçirilen bir bilgisayarın gömülü yerel kullanıcı bilgileri aşağıdaki gibidir:
Kurban kullanıcısına ait olan bir bilgisayarın gömülü yerel kullanıcı bilgileri aşağıdaki gibidir:
Saldırgan "net use" komutu ile kurban makinesine ortak kullanılan yerel yönetici kullanıcısının parola özeti ile bağlanamıyor:
Saldırgan Sysinternals psexec aracı ile kurban makinesine ortak kullanılan yerel yönetici kullanıcısının parola özeti ile bağlanamıyor:
Not: Saldırgan Sysinternals psexec aracı ile kurban makinesine ortak kullanılan yerel yönetici kullanıcısının parolası (Deneme.123?) ile bağlanabiliyor:
Bu gibi durumlarda WCE aracı kullanılabilir. Normalde saldırganın parola ve parola özet bilgisi aşağıdaki gibidir:
Bu bilgiler "wce -s" komutu ile değiştirilirse, kurbanın makinesine bağlantı kurulumu parolanın açık haline gerek kalmadan "net use" ile sağlanabilir.
Bu aşamadan sonra, hedef sisteme MS psexec aracı ile komut satırı bağlantısı da kurulabilir. Veya Services / Registry Editor konsollarıyla da erişilebilir.
Not: Bazı durumlarda bu işlem çalışmayabilmektedir. Çalışıp çalışmadığının kontrolü için parola özetinin ilk hali ve RAM bilgisi değiştirildikten sonraki hali "wce" komutunun çalıştırılmasıyla kontrol edilebilir.
Not: Bir kaç deneme yapılmasına rağmen "net" aracı ile bağlantı başarılı bir şekilde gerçekleşemeyip, parolanın açık hali isteniyorsa saldırgana ait Windows bilgisayar yeniden başlatılabilir.
Not: NTLM değişimi gerçekleşmesine ve bilgisayarın yeniden başlatılmasına rağmen, parolanın açık hali istenmeye devam ediyorsa, "net" aracına etki alanı değişik formatlarda verilebilir. Örneğin; "/user:192.168.100.110\Administrator", "/user:WORKGROUP\Administrator", "/user:PC_Kurban\Administrator",... gibi.
Not: Eğer RAM üzerindeki değer değişmemişsse (hala "Saldırgan" kullanıcısının parolası gözüküyorsa), kurban bilgisayarına sızmak için kullanılan kullanıcı adı (Administrator) ile aynı isimdeki bir kullanıcı adı ile saldırgan bilgisayarında oturum açmak gerekebilir. Yani, yukarıdaki ekran görüntüsü saldırgana ait sanal bilgisayarda Saldırgan kullanıcı adı ile gerçekleştirilmişti. Elde edilen kurban bilgisayarındaki kullanıcı adı Administrator olduğu için, saldırgan bilgisayarında da Administrator adındaki kullanıcı ile oturum açmak gerekebilir.
