Word Belgesi İle Windows Kimlik Bilgileri Çalma

Word Belgesi İle Windows Kimlik Bilgileri Çalma

Herkese merhaba. Bu yazımda “WordSteal” toolu ile bir Word belgesi oluşturup, uzak bilgisayarın kimlik bilgilerini NTLM hash bilgilerini elde ederek kırmaya çalışacağım.

Microsoft Word, uzak konumlardan gelen resimleri ekleme yeteneğine sahiptir. Bu çok bilinmeyen ve belgelenmemiş bir özelliktir. Fakat kötü amaçlı yazılımcılar tarafından istatistikler için http aracılığıyla görüntüleri dahil etmek üzere kullanılmıştır. Bu araç, Pentest sırasında da oldukça kullanışlıdır. Çünkü herhangi bir uyarıyı tetiklemeden kimlik bilgilerinizi çalmanıza izin verir. Ne yazık ki güvenlik uygulamalarının çoğu bunu algılayamamaktadır.

Uygulamaya geçmeden önce NTLM’den de söz edelim.

NTLM Nedir?

Windows ağında NT LAN Manager olarak bilinen NTLM, kullanıcılara kimlik doğrulama, bütünlük ve gizlilik sağlamayı amaçlayan bir Microsoft güvenlik protokolleri paketidir. Kimlik doğrulamak için Microsoft sistemlerinde NTLM ve Kerberos kullanılır.

NTLM de sistem, “kimsin sen?” sorusunu sorar ve doğrudan kullanıcı adı ve şifre bilgisini alır. Kerberosta da neredeyse durum aynıdır fakat sürekli merkezi olarak kontrol edilen aktif ve güncel şifre bilgileri nedeni ile daha güvenli bir iletişim sunar. NTLM de bu noktada bir zafiyet içermektedir.

NTLM de durum tam olarak yukarıdaki görsel gibidir. Kullanıcı adı ve şifre bilgileri istenirken Kerberosta ticketlar devreye girer.

Yukarıdaki örnekte de Kerberosla olan iletişimin başlangıcı resmedilmiştir.

Uygulama

Uygulamamıza başlamadan önce WordSteal aracı ile oluşturacağımız “.rtf” uzantılı word dosyasını, kurbanımız bizden farklı ağda olmasına rağmen çalıştırabilmekteyiz. Word dosyası açıldıktan sonra NTLM hashleri ekranımıza düşecektir. Daha sonra bu hashleri “john” aracı ile kırmaya çalışacağız.

NTLM hashlerini bize verecek aracımızı öncelikle github üzerinden Kali Linux makinemize “https://github.com.0x09AL/WordSteal” linki üzerinden indirebiliriz. Aracı indirdikten sonra gerekli izinleri verip python dosyasını çalıştırabiliriz.

Yukarıdaki komutu kullanarak test.rtf dosyasını uzak bilgisayar göndermek için kullanacağımız word dosyasını oluşturacaktır. Burada uzantıyı “jpeg” olarak kullanmamızın nedeni jpg içerisine aslında Rich Text Format (rtf) uzantılı bir dosya oluşturmaktayız. Word amblemini bu uzantıdan alıp bir rtf uzantılı dosyaya dönüşmektedir.

Root dizini üzerinden “WordSteal” dosyası içerisine baktığımız zaman kurbana göndereceğimiz word görünümlü dosyanın oluştuğunu görmekteyiz. Bu saldırıda kurban kendi bilgisayarım olduğu için bu dizini SimpleHTTPServer ı kullanarak ağda yayınlayıp hedef dosyayı kurban bilgisayara indireceğim.

Dosya içeriğini ağda yayınlamak için “python -m SimpleHTTPServer -yayınlamak istediğim port” komutunu yazıp başlatıyorum.

Kurban bilgisayarda tarayıcıya LinuxCihazIP:Port bilgisini yazıp dosya içerisine ulaşabildim. RTF uzantılı dosyaya tıklayıp hedef bilgisayara dosyayı indirdim. Dosyaya tıkladığım zaman hiçbir şekilde Windows Defender tarafından bir uyarı almadığımı belirtmek isterim. Dosya normal bir Word dosyası gibi açılmaktadır.

NTLM Hashlerini Elde Etme

Dosyayı kurban bilgisayarda açtığım anda NTLM hashlerinin saldırıyı gerçekleştirdiğim Linux cihazımda yakalandığını görebiliriz. Bu araç, yakaladığı bu NTLM paketlerini “password” isimli dosyaya aynı zamanda yazmaktadır.

Görüldüğü gibi ilgili dosyada “passwords” adıyla başlayan bir dosya oluştuğunu ve bu dosya içerisine yakaladığı user, domain ve NTLM hashlerini yazmaktadır. Sıra geldi bu hashleri yine bir tool aracı ile kırmaya.

Hash dosyasını john aracına göstererek parola elde etme çalışmalarına başlayabiliriz. Görüldüğü gibi “password” dosyasının içerisinde 19 farklı hash dosyası tespit edildi. Burada tamamen şifre elde etmeyi hedefe aktif bir saldırı gerçekleştirerek sağlamadığımız için kurban tarafından algılanmamız oldukça güçleşmektedir. Burada şifreyi elde etmek kurbanın şifresinin zorluğuna göre ve kullanılan wordliste göre değişmektedir. Gösterilmek istenen ise NTLM hashlerinin bir araç ile elde edilebileceğidir.

Sonuç

Bu yazımda, WordSteal aracı ile kurbandan zafiyeti bulunan NTLM hashlerini elde edip lokal brute-force ile Windows kullanıcı bilgilerini elde etmeye çalıştım. Umarım yararlı olmuştur. Bir sonraki yazımda görüşmek üzere.

Kaynakça

https://www.hackingarticles.in/stealing-windows-credentials-remote-pc-ms-office-document/

https://github.com/0x09AL/WordSteal

https://docs.microsoft.com/tr-tr/dotnet/framework/network-programming/ntlm-and-kerberos-authentication

Related Posts

Leave a Reply