Her Şey Zaten Gözlerinin Önünde

Her şey gözümüzün önünde, tüm zafiyet yüzeyleri sessizce uyuyor. Yeter ki bakmasını bilelim.

Yapmakta olduğumuz test ortamında, ekibimizin en deneyimli üyesi, trafik zehirleme ve SMB Relay tekniklerini birleştirerek bazı kullanıcıların hash verilerini ele geçiriyor. Bunlardan bir tanesinin yerel yönetici olduğunu anlıyor. Bunu seçtiğimiz makinede test ettiğimizde uzaktan komut çalıştırabildiğimizi görüyor.

Çok heyecanlı bir noktaya geliyoruz. Ben bu yeteneği o makinede yeni bir kullanıcı yaratma ve onu o makinede yerel yönetici grubuna almada kullanıyorum. Ardından makinede Uzak Masaüstü ile oturum açabiliyorum.

Makinede oturum açınca ilk işim EDR çözümünü devre bırakmak oluyor. Kafamda denemek istediğim senaryom hazır. Bu maksatla Powershell tabanlı script paketimi indiriyorum. Bu makine üzerindeki prosesleri dökümlüyorum. Proseslerden bir tanesinin bir domain üyesi gerçek bir kişiye ait olduğunu görüyorum. Bu kişinin domain’de yetkili bir kullanıcı olma olasılığı oldukça yüksek gibi geliyor.

O proses üzerinde başkasının biletini taklit etme (token impersonation) saldırısı düzenliyorum. Yani kullanıcının prosesteki tokenını çalarak onunla yeni bir komut penceresi açıyorum.

Whoami komutu dediğimde artık o kişiyim.

Bu noktada domain üzerinde bir kullanıcı yaratıyorum ve ona domain admin yetkisi veriyorum. Komutların başarıyla çalıştığı tepkisini alıyorum.

Şimdi en heyecanlı noktaya geliyor. DC’ye Uzak Masaüstü ile bağlanıyorum ve biraz önce tanımladığım kullanıcı ile oturum açıyorum. Bingo, içerideyim. “Aktif Dizin Kullanıcı ve Bilgisayarları” aracını açıp ekran görüntüsünü alıyorum.