Pass-the-hash yapmak veya yetki yükseltmek için Windows sistemin Backtrack(veya türevleri) ile boot edilmesi sızma testlerinde önemli bir çalışmadır. Aynı zamanda unutulan Windows parolalarını sıfırlamak içinde alternatif bir yol olabilir. Bu yazıda pass-the-hash için Windows sistemden hash bilgisini alma, kullanıcıyı yetki verme ve kullanıcı parolasını sıfırlama konuları incelenmiştir.
Kullanılan işletim sistemi Backtrack 5 R3 32 bit, hedef sistem ise Windows 7 Starter’dır.
Hazırlık
Bootable Taşınabilir Diskler
Başlangıç olarak Backtrack’i (veya Kali’yi) bir USB veya CD/DVD’ye yazmak için Linux ortamda UNetbootin uygulaması kullanılabilir. Bu araç çift tıklama ile çalıştırılabilir. Çalıştırıldığında şekildeki gibi bir arayüz çıkar ve kolayca herhangi bir işletim sistemi taşınabilir ortamda boot edilebilir şekilde yazılır. Windows ortamda da Unetbootin veya herhangi bir disk yazma aracı kullanılabilir.
BIOS Ayarları
Bilgisayarı Backtrack ile boot etmek için ilk olarak BIOS ayarlarına giriş yapılmalı ve boot sırası önce USB (veya CD/DVD’ye yazıldıysa CD/DVD) olacak şekilde ayarlanmalı ve kaydedilmelidir. BIOS ayarlarına giriş yapmak için markaya göre değişiklik göstermesine rağmen genelde F2,F10 veya F12 kullanılabilir.
Önbilgi
Windows işletim sisteminin kullanıcı hesapları yönetimine kısaca bakmak gerekirse, kullanıcılara ait parola bilgisi hashli bir biçimde SAM adında bir dosyada tutulur. Bu dosya işletim sistemi çalışır vaziyette iken erişilemez bir dosyadır. Ancak işletim sisteminin kurulu olduğu hard disk bölümü Backtrack ile mount edilebilir ve SAM dosyasına bu şekilde erişilebilir. Microsoft offline parola kırma işlemini zorlaştırmak için SYSKEY denilen bir fonksiyon ile SAM dosyasında hashli halde saklanan parolaları ekstradan şifreler.
Pass-the-hash
Sistem Backtrack ile boot edilmek üzere kapatılmıştır. BIOS ayarlarına erişilmiş ve boot sıralaması bilgisayar USB ile boot olacak şekilde ayarlanmıştır ve Backtrack ile boot edilmiştir. Açılışta UNetbootin menusü çıkmaktadır. Enter denilerek (Default) devam edilebilir. Ardından Backtrack işletim sistemi çalışmaya başlayacaktır. root/toor kullanıcı bilgileriyle giriş yapılır ve startx komutuyla grafiksel arayüze ulaşılabilir. Burada bir terminal ekranı açılır. Türkçe karakterler ile sorun yaşamamak için önce
#setxkbmap tr
komutu çalıştırılır.Ardından
#fdisk -l
komutu ile hard disk bölümleri listelenir. Listeden Windows hangi bölümde kurulu ise onun mount edilmesi gerekir. Bu deneme yanılma ile bulunabilir. Bu çalışmada Windows /dev/sda5 üzerinde tespit edilmiştir ve /root altına mount edilmiştir.
#mount /dev/sda5 /root/
#cd /root/Windows/System32/config
Artık /root klasörü altına gelerek Windows dosyalarına erişilebilir (bazı sistemlerde System32 veya bunun gibi klasörlerde büyük-küçük harf farklılıkları olabilir). SAM dosyasını açmak için önce SYSKEY’e erişilir ve bu bir text dosyasına(bootkey.txt) yazılır. Bunun için bkhive aracı kullanılır.
Ardından samdump2 aracı ile bootkey.txt içindeki SYSKEY kullanılarak SAM dosyası açılır.
#samdump2 SAM bootkey.txt > samdump.txt
Şekildeki gibi sistemdeki kullanıcılara ait hashlere ulaşılır.
Bu şekilde alınan kullanıcı adı ve hash bilgisi ile pass-the-hash yapılabilir.
Parola sıfırlamak ve Yetki yükseltmek
Test amacıyla önce Windows işletim sisteminde yönetici yetkisi olmayan, parola korumalı BGA isimli standart bir kullanıcı oluşturulmuştur.
Parola sıfırlamak veya kullanıcıyı Administrators grubuna eklemek için chntpw aracı kullanılır.
chntpw aracına ulaşmak için şekildeki yol izlenebilir.(Bu çalışmada sistem /tmp klasörü altına mount edilmiştir. İstenilen yere mount edilebilir.)
Araç çalıştırılır, SAM dosyasının bulunduğu yol gösterilir ve “-l” ile kullanıcılar listelenir.
#./chntpw -l /tmp/Windows/System32/config/SAM
#./chntpw -u “BGA” /tmp/Windows/System32/config/SAM
ile kullanıcı için seçenekler listelenir.
Parola sıfırlamak için 1, yetki yükseltmek için 3 çalıştırılır.
1 seçildiğinde şekildeki gibi bir sonuç çıkar.
3 seçildiğinde şekildeki gibi bir sonuç çıkar.
Ardından Backtrack kapatılıp, bilgisayar Windows sistemle başladığında BGA hesabına parolasız olarak giriş yapılabilir.
Windows komut satırında
>net user BGA
yazarak veya Denetim Masası/Kullanıcı Hesapları altından BGA hesabının artık yönetici yetkisine sahip olduğu görülebilir.
Katkılarından ötürü Fırat Celal ERDİK’e teşekkür ederim.
Ender AKBAŞ <ender.akbas@bga.com.tr>