Fiziksel Erişim Sağlanan Windows Sistemde Yerel Parola Özetlerinin Elde Edilmesi

Fiziksel Erişim Sağlanan Windows Sistemde Yerel Parola Özetlerinin Elde Edilmesi

image_pdfimage_print

Kurumlardaki bilgisayarların fiziksel güvenliği, kritik öneme sahiptir. Bu yazıda, gerekli önlemler alınmamış ve fiziksel olarak erişim sağlanmış olan bir Windows 7 bilgisayarda, 2 farklı yöntem (samdump2, bkhive ve ophcrack aracı) kullanılarak yerel kullanıcı parola özetlerinin, herhangi bir kimlik bilgisi olmadan elde edilebileceği görülecektir.

Not: İşletim sisteminde standart yetkilere sahip bir hesap ile oturum açık iken, SAM ve SYSTEM dosyaları elde edilememektedir. Çünkü, standart bir hesabın bu dosyaları erişim yetkisi yoktur. Bu yazının amacı, standart yetkilere sahipken – hatta hiç bir yetkiye sahip değilken – fiziksel olarak erişim sağlanan bilgisayarda yerel hesapların parola özetlerine sahip olmaktır.

Gerçekleştirilecek çalışma 3 adımda incelenecektir.

1) İşletim Sistemine Kali ile Erişilmesi

SAM dosyalarına erişim için, NTFS ile formatlanmamış ancak NTFS modülü olan Kali kullanılarak disk sistemine erişim sağlanacaktır. Bu amaçla Kali ISO dosyası sanal makinenin CD/DVD ROM’una konulur.

acquiring-windows-password-hashes-using-samdump2-and-bkhive-01

Bilgisayar yeniden başlatılır ve sistem harddiskten okumaya başlamadan önce, SETUP penceresinin gelmesi için gerekli tuş kombinasyonuna (F2 gibi) basılır.

acquiring-windows-password-hashes-using-samdump2-and-bkhive-02

Gelen Boot Menu penceresinde CD-ROM sürücüsü seçilir.

acquiring-windows-password-hashes-using-samdump2-and-bkhive-03

Kali işletim sistemi başlatılır.

acquiring-windows-password-hashes-using-samdump2-and-bkhive-04

Artık, harddiskteki Windows işlemine ait dosyalar değil, Kali sürümüne ait dosyalar yüklenerek sistem açılır.

acquiring-windows-password-hashes-using-samdump2-and-bkhive-05

Bilgisayar açıldığında erişim sağlanan bilgisayarın harddiski görülür.

acquiring-windows-password-hashes-using-samdump2-and-bkhive-06

Bu diskin içerisine girildiğinde (mount işlemi gerçekleştiğinde) masaüstünde de bir dosya (dizin) otomatik olarak oluşur.

acquiring-windows-password-hashes-using-samdump2-and-bkhive-07
2) Birinci Yöntem: Samdump ve Bkhive Araçları İle Parola Özetlerinin Elde Edilmesi

Mount edileren erişilen dizin içerisinde Windows işletim sistemine ait dosyalar bulunmaktadır. Elde edeceğimiz SAM/SYSTEM dosyaları Windows\System32\config dizini altındadır.

acquiring-windows-password-hashes-using-samdump2-and-bkhive-08

Bu dosyaların birer kopyası Kali bilgisayarda oturum açılan (root) hesabın masaüstüne alınır.

acquiring-windows-password-hashes-using-samdump2-and-bkhive-09

Sonrasında bkhive aracıyla SYSTEM dosyasınn içerisinden SYSKEY elde edilir.

bkhive SYSTEM SAM_Anahtari

acquiring-windows-password-hashes-using-samdump2-and-bkhive-10

Son olarak da bu dosya ve SAM dosyası samdump2 aracına verilir ve yerel hesapların parola özetleri elde edilir.

samdump2 SAM SAM_Anahtari

acquiring-windows-password-hashes-using-samdump2-and-bkhive-11

3) İkinci Yöntem: Ophcrack Aracı İle Parola Özetlerinin Elde Edilmesi

Mount edileren erişilen dizin içerisinde Windows işletim sistemine ait dosyalar bulunmaktadır. Elde edeceğimiz SAM/SYSTEM dosyaları Windows\System32\config dizini altındadır.

acquiring-windows-password-hashes-using-ophcrack-tool-08

Bu dosyaların birer kopyası Kali bilgisayarda oturum açılan (root) hesabın masaüstüne alınır.

acquiring-windows-password-hashes-using-ophcrack-tool-09

Sonrasında Kali bilgisayarın menülerinden “Applications > Kali Linux > Password Attacks > Offline Attacks > ophcrack” adımları izlenerek Ophcrack aracının arayüzü elde edilir.

acquiring-windows-password-hashes-using-ophcrack-tool-10

Aynı arayüze Kali komut satırından da erişilebilir.
acquiring-windows-password-hashes-using-ophcrack-tool-11

Ophcrack arayüzünde ilen “Load > Encrypted SAM” adımları izlenerek SAM/SYSTEM dosyaları yüklenebilir.
acquiring-windows-password-hashes-using-ophcrack-tool-12

SAM/SYSTEM dosyaları masaüstünden alınır.

acquiring-windows-password-hashes-using-ophcrack-tool-13

Böylece yerel hesapların parola özetleri elde edilmiştir.
acquiring-windows-password-hashes-using-ophcrack-tool-14

Bu bilgiler arayüzde “Save > Save To File” adımları izlenerek kaydedilir.

acquiring-windows-password-hashes-using-ophcrack-tool-15

Dosyanın kaydedilecek dizin ve dosya ismi belirtilir.

acquiring-windows-password-hashes-using-ophcrack-tool-16

Parola özetlerinin kaydedildiği dosya içeriği aşağıdaki gibidir:

acquiring-windows-password-hashes-using-ophcrack-tool-17

Leave a Reply

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Time limit is exhausted. Please reload CAPTCHA.