Post Exploitation: Yönetimsel Paylaşımların Açılması
Etki alanı saldırılarında Domain Admin olduktan sonra diğer sistemlere (veritabanı, ağ cihazları, sanallaştırma sistemler vs) giriş sağlamak için bu sistemlerin yöneticilerinin bilgisayarları tespit edilir. Örneğin, bir bilgisayarda önemli bir kullanıcının (EaKullanicisi1, Oracle DB yoneticisi, Network Yoneticisi vs) oturum açtığı ve bu bilgisayarın ilgili kişinin istemci bilgisayar olduğu tespit edilir.
Not: Bilgisayarı tespit etmek için KACAK adlı betik hedefe yönelik sonuç alma konusunda oldukça yararlıdır. Bunların haricinde birbirinden daha farklı yöntemler de vardır. Ancak belli kullanıcının oturum açtığı istemci bilgisayarını tespit etme konusu kapsam dışındadır.
Aranılan bilgisayar tespit edildikten sonra bu bilgisayara bağlantı kurulmaya çalışdığında RDP ile bağlanılamamakta ve yönetimsel paylaşımına girilememektedir. Çünkü bu bilgisayar kullanıcısı tarafından sıkılaştırılmış olabilmektedir.
Çünkü bu bilgisayarın yönetimsel paylaşım ve uzak masaüstü bağlantı ayarları aşağıdaki gibidir:
net share
reg query HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters /v AutoShareWks
reg query HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters /v AutoShareServer
reg query "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections
Mevcut port tarama sonucu şu şekildedir:
Not: Paylaşım portu (445) açıkken, masaüstü erişim portu (3389) kapalıdır. Ancak 445. port açık olmasına (servis çalışmasına) rağmen daha önceki resimde de görüldüğü gibi ynetimsel paylaşımlar (C$ ve Admin$) kapalıdır.
Ancak bu metod etki alanı sızma testlerinde etki alanı yönetici haklarına sahip olunduktan sonra saldırgan rolündeki kişi tarafından atlatılabilir. Bu bilgisayara erişmek için yönetimsel paylaşımı veya RDP bağlantısı açılması gerekmektedir. Bu işlem Remote Registry Editor (regedit.exe) ile kolaylıkla gerçekleştirilebilir. Eğer birden fazla bilgisayar (veya kullanıcı) söz konusu ise bu işlem zorlaşabilmektedir. Bunun gibi bir durumda ise betikler veya DC üzerindeki Grup İlkeleri kullanılabilir.
1) Remote Registry Editor (regedit.exe) veya Betik ile
smb_enumusers_domain modülünde kullanılan veya hedef istemci bilgisayarda yetkili olan bir hesap ile aşağıdaki komutlar çalıştırılarak ilgili kayıt değerleri değiştirilebilir:
reg add \\192.168.8.143\HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters /v AutoShareWks /t REG_DWORD /d 1 /f
reg add \\192.168.8.143\HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters /v AutoShareServer /t REG_DWORD /d 1 /f
reg add "\\192.168.8.143\HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f
Not: Bu işlemin geçerli olması için istemcideki "Remote Registry" adlı servisi çalışıyor olmalıdır.
Not: Eğer birden fazla bilgisayar için işlem yapmak gerekiyorsa bir betikle her IP değeri için bu işlem gerçekleştirilmelidir.
Bunun yanında görsel olarak da editor üzerinden bu işlem gerçekleştirilebilir. Herhangi bir Windows makinede Registry Editor üzerinde "File > Connect Network Registry" adımları ile istenilen bilgisayara bağlanılabilir.
Daha sonra da istenilen değişiklik gerçekleştirilir.
Not: Yönetimsel paylaşımların etkinliği için gerçekleştirilen değişikliklerin gerçekleşmesi için bilgisayar yeniden başlamalıdır. Yeniden başlama işlemi için yine uzaktan bir komut ile (shutdown /m \\PC1 /f /r /t 0) bilgisayar yeniden başlatılmaya zorlanmalıdır.
Not: Yeniden başlatmaya gerek kalmadan lanmanworkstation ve lanmanserver servisleri durdurulup tekrar başlatılırsa (net stop <ServisAdi> ve net start <ServisAdi>) da ilgili değişiklikler yansıyabilir. Ancak bu durum her zaman geçerli olmayabiliyor. Bu sebeple bilgisayarn yeniden başlatılması daha garanti bir yöntemdir.
Son durumda (kayıt değerleri değiştirildikten ve bilgisayar yeniden başladıktan sonra) istemci üzerinde aşağıdaki komutlar kullanıldığında uygulanan değişikliklerin yansıdığı görülmüştür:
net share
reg query HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters /v AutoShareWks
reg query HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters /v AutoShareServer
reg query "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections
Böylece yetkili herhangi bir Windows makineden, yönetimsel paylaşımların açıldığı ve uzak masaüstü bağlantısının etkinleştiriği görülmektedir.
2) Grup İlkeleri ile
Kayıt Defteri (veya regedit) ile kayıt değerlerinin değiştirilmesi için Remote Registry adlı servisin başlatılmış olması gerekir. Eğer başlatılmamışsa Grup İlkeleri ile daha önceden gerçekleştirilen aynı işlemler gerçekleştirilebilir.
Bu amaçla ilgili bilgisayarın [(PC1) veya kullanıcının (eakullanicisi1)] bulunduğu OU (sirket.local/Bilgisayarlar/Ankara/Bilgi Islem/Sistem ve Guvenlik/PC1) altındaki grup ilke nesnesi (GPO) kullanılacaktır. Grup ilkesinin ilk hali şu şekildedir:
Grup ilkesi için kayıt değeri aşağıdaki şekilde güncellenir:
- Bu amaçla Registry Wizard kullanılabilir. Ayrıntılı bilgi için bakınız: http://technet.microsoft.com/en-us/library/cc771001.aspx
- Diğer bir yöntem de şu şekildedir: http://technet.microsoft.com/en-us/library/cc753092.aspx
- Ayrıca betiklerle de bu işlem gerçekleştirilebilir: http://technet.microsoft.com/en-us/library/cc779329(v=ws.10).aspx
Son durumdaki grup ilkesi aşağıdaki gibi olacaktır.
Grup ilke nesnesi güncellendikten sonra ilgili değişiklikler gerçekleşmiştir (Bilgisayarın kendi kendine politikayı alması beklenmemesi için "gpupdate /force" komutu kullanılmıştır)
UYARI: Grup ilkelerinin kullanılması durumunda, ilkenin uygulanacağı nesneler (kulalnıcı hesabı, bilgisayar hesabı vs) iyi belirlenmelidir. Aksi halde istenilmeyen durumlar oluşabilir. Örneğin, bir kişiye veya gruba uygulanmak istenen üstteki politika aynı zamanda o kullanıcıların oturum açtığı her bilgisayarda etkin olabilir. Bu durumda bu kullanıcıların oturum açtığı her bilgisayarda RDC ve yönetimsel paylaşımlar açılabilir.
Hiç yorum yok:
Yorum Gönder