Pentest çalışmasında, ele geçirilen bir sistemde linux sistemleri yönetmek için kullanılan winscp uygulamasına rastlandı. Bu uygulamada bir çok linux sistemin parolası kayıtlı fakat parolalar doğrudan görüntülenemiyor.
Kayıtlı parolaların yıldızlı halini gösteren bir çok uygulama winscp için işe yaramıyor.Sistemin RAM imajını alıp analiz yaptığınızda da bulamıyorsanız bilinen yöntemler işe yaramamış demektir.
Bu blog girdisinde, winscp uygulamasında kayıtlı ssh parolasının farklı bir yöntem ile elde edilmesi anlatılmıştır.
Winscp uygulaması ve kayıtlı ssh parolasına ait örnek ekran görüntüsü
Winscp kayıtlı ssh bilgilerini, encrypt olarak winscp.ini dosyasında tutmaktadır.
Elde edilen winscp.ini dosyasından parolaların şifreleri değerlerini çözmeniz , zaman alan bir ayrı bir uğraştır.
Parolanın Elde Edilmesi
Winscp uygulaması aynı zamanda FTP bağlantısı kurabilmektedir, winscp’de kayıtlı ssh bağlantısını düzenleyip bağlantı adresini ftp olarak (herhangi bir ftp adresi olabilir) değiştirip wireshark veya benzeri bir sniffer ile trafik izlenebilir. FTP clear-text yani içeriği okunabilir olduğu için, parola kolaylıkla elde edilebilir.
- Host adresi, herhangi bir ftp adresi ile değiştirilir.
- Port numarası FTP portu olarak değiştirilir.
- SFTP bağlantısı FTP olarak değiştirilir. Bu seçenekden sonra bağlantının encryption olmadan devam ettiğini görebilirsiniz.
- Login dediğinizde, wireshark ile parolayı görebilirsiniz.
Wireshark ile FTP bağlantılarını filtrelediğinizde, PASS olarak görülen değer ssh parolasıdır.
Yazar: Ozan UÇAR
ozan.ucar@bga.com.tr