NTDS File Decrypt

Ntds dosyası, windows/ntds klasörü altında sunucu hizmeti veren Domain Controllers sistemlerde sunucuya bağlı tüm kullanıcıların şifreleri tutmaktadır. Bu dosya sistem çalışırken kopyalanamaz ve dosya ile ilgili okuma-yazma işlemleri yapılamaz. Bu nedenle sistemin volume shadow kopyasını yaratıp bu dosyaları dışarı çıkartacağız;

C dizini için volume shadow kopyası oluşturuyoruz

Sonrasında ntds.dit dosyamızı copy komutu ile sistemimize kopyalıyoruz

windows\system32\config\SYSTEM dosyasını komut satırı üzerinden dışarıya çıkartıyoruz. Çünkü bu dosya bizim sonra ntds.dit dosyasını decrpyt etmek için kullanacağız.

veya oluşturulan volume shadow üzerindende SYSTEM dosyasına erişebiliriz

NTDS.dit ve SYSTEM dosyamızı dışarı aldıktan sonra impacket yazılımın secretsdump.py modülü (https://github.com/SecureAuthCorp/impacket/tree/master/examples) ile dosyaya ait kullanıcı ve şifreleri görüntüleyebileceğiz.

Bu işlem için python secretsdump.py -ntds /root/Desktop/ntds/ntds.dit -system /root/Desktop/ntds/system LOCAL komutunu kullanıyoruz.

Yukarı resimde görüldüğü gibi Domain Controllers  sistemlerinde client ve admin kullanıcılara ait şifreleri lm ve ntlm olarak görüntülendi. Bu şifreleri de kırmak için hashcat aracına hashlerimizi bir txt dosyası içerisinde verip rockyou.txt wordlistimiz ile sözlük saldırısı yapacağız.

hashcat -m 1000 hash.txt /usr/share/wordlists/rockyou.txt  komutu ile hashleri kırmaya çalışıyoruz. -m parametresi ile hash tipini belirtiyoruz ntlm ve lm için 1000 parametresi, ntlmV2 5600 parametresini kullanabilirsiniz. Ayrıca wordlistimizin içerisinde hash e ait plaintext bulunursa kırma işlemi başarılı şekilde gerçekleşecektir. Hashcat ekran kartı gücünüde kullanarak hızlı bir şekilde cracker işlemini gerçekleştirecektir.

Bu bilgileri ele geçirdik ama ne yapacağız demeyin smbexec araçları ile karşı tarafta oturum açabilir. Oturum sonrasında RDP oluşturup hedef cihaza uzak masaüstü bağlantısı sağlayabilirsiniz.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir