Privilege Escalation Stored Credentials Part 3
السلام عليكم ورحمة الله وبركاته
الحمد لله على جميع نِعمه علينا ما علمنا منها وما لم نعلم حمداً والصلاة والسلام على نبينا محمد اشرف الخلق والمرسلين, اما بعد:
مقدمة:
في هذي المقالة راح اشرح لكم عن كيف نرفع صلاحيتنا عن طريق Stored Credentials الجزء الثالث اللي وده يشوف الجزء الثاني من هذا الرابط: الجزء الثاني
خلونا ناخذ فكرة عن التكنيك قبل نطبق السيناريو بعض الاحيان مدير النظام يسوي BackUp لملف SAM ومعناه Security Account Manager
هذا الملف يتضمن الباسوردات الخاصة بجميع المتسخدمين على النظام لكن الباسوردات مشفرة بمفتاح هذا المفتاح موجود في ملف SYSTEM
هذا مسار الملفين على النظام :
C:\Windows\System32\config
ف عشان نشوف الباسوردات الخاصه بجميع المستخدمين لازم مدير النظام يسوي backup لملف SAM و SYSTEM عشان نستخرج الباسوردات الموجودة في ملف SAM
وغالبا اذا المدير راح يسوي BackUp راح يكون ال BackUp على ذول المسارين :
C:\Windows\Repair
C:\Windows\System32\config\RegBack
ملاحظة مهمة :
بعضكم ممكن يقول مايحتاج يكون المدير مسوي لهم BackUp ناخذهم من نفس المسار اللي هم موجودين فيه اصلا طبعا هذا الشي ماينفع لان وقت يكون النظام شغال مايسمح لك بنسخ الملف من المسار اللي ذكرته اللي هو :
C:\Windows\System32\config
الشرح:
طيب اول شي انا داخل بمستخدم محدود الصلاحية كالعادة اللي هو user
بعد كذا راح استخدم اداة winpease وشرحنا كيف ننلقها الى النظام المخترق في الاجزاء السابقة
راح نسوي رن لي winpease ونشوف النتائج مع بعض
نلاحظ ان winpease حصل باك اب للملفين اللي هم SAM و SYSTEM
زي ماذكرنا سابقا انه نحتاج للملفين ضروري عشان نقدر نستخرج الباسوردات الخاصه بالمستخدمين على النظام
بعد كذا راح نحتاج ل اداة اسمها pwdump
الاداة ممكن تحملها من قيت اب وموجودة بالكالي على هذا المسار:
usr/share/creddump7/
الاداة راح تطلب منك الملفين اللي هم SAM و SYSTEM عشان تستخرج لنا الباسوردات الخاصة في المستخدمين اللي على النظام وراح ننفذ كل هذا عن طريق هذا الأمر:
نلاحظ ان قدرنا نستخرج الباسوردات الخاصة بالمستخدمين بس انها هاش طبعا اللي يهمنا الهاش الخاص بالادمن
الهاشات اللي شايفينها مكونه من نوعين اللي هم:
NTLM Hash و LM Hash
aad3b435b51404eeaad3b435b51404ee:a9fdfa038c4b75ebc76dc855dd74f0da
اللي بالاحمر NTLM HASH اللي بالاخضر LM طبعا اللي يهمنا هو ال NTLM ف عندك طريقتين :
الطريقة الاولى:
انه تكسر الهاش عن طريق اداة John وغيرها
الطريقة الثانية:
بعض الادوات تسجل لك دخول بالهاش بدون ماتكسره وهذا مصدر يعلمك اكثر عن التكنيك
ملاحظة مهمة: المستخدم اللي يبدا هاش ال NTLM حقه ب 31d6 معناه ان المستخدم هذا معطل او ان المستخدم هذا حسابه لا يحتوي على باسورد
طيب انا راح استخدم الطريقة الثانية انه استخدم الهاش بدون ما اكسره لكن قبل كل شي راح افحص البورتات عن طريق Nmap عشان نشوف اذا واحد من
هالبورتين smb او RDP مفتوحين راح نسجل دخول عن طريقه
نلاحظ ان بورت smb مفتوح الان راح استخدم اداة psexec وهذا رابطها في قيت اب :
هذي الاداة راح اعطيها الايبي الخاص بالجهاز اللي مخترقينه و اليوزر و الهاش الخاص بالادمن وراح ترفع ملف خبيث وتفتح لك جلسة بصلاحية الادمن كل هذا راح نسويه عن طريق هذا الامر:
وبكذا حصلنا على اعلى صلاحية على النظام
شاكر لكم.
التعليقات (0)
لايوجد لديك حساب في عالم البرمجة؟
تحب تنضم لعالم البرمجة؟ وتنشئ عالمك الخاص، تنشر المقالات، الدورات، تشارك المبرمجين وتساعد الآخرين، اشترك الآن بخطوات يسيرة !