�ݺ�ߣ

S¸ifre Saldırıları
Parola - Kimlik Do˘grulama
Ke¸sif A¸saması
Windows Hacking - I
BGM 554 - Sızma Testleri ve Güvenlik Denetlemeleri-II
Bilgi Güvenli˘gi Mühendisli˘gi
Yüksek Lisans Programı
Dr. Ferhat Özgür Çatak
ozgur.catak@tubitak.gov.tr
˙Istanbul S¸ehir Üniversitesi
2016/2017 - Bahar
Dr. Ferhat Özgür Çatak ozgur.catak@tubitak.gov.tr Windows Hacking - I

Ke¸sif A¸saması
˙I¸cindekiler
1 S¸ifre Saldırıları
S¸ifre Saldırı Yöntemleri
Password Guessing
Parola Özetleri ve S¸ifreleme
SAM Veritabanı ve SYSKEY
Salting ˙I¸slemi
2 Parola - Kimlik Do˘grulama
Parola Kırma Tekni˘gi
Rainbow Tables
Özet Ekleme Saldırısı
Windows Kimlik Do˘grulama
3 Ke¸sif A¸saması
Bilgisayarın Farklı Bir Cihazla
A¸cılması
Kullanıcı Bilgileri Aynı Olan
Bilgisayarlar

Ke¸sif A¸saması S¸ifre Saldırı Y¨ontemleri
Password Guessing
Salting ˙I¸slemi
˙I¸cindekiler
Password Guessing
Salting ˙I¸slemi
Rainbow Tables
A¸cılması
Bilgisayarlar

Password Guessing
Salting ˙I¸slemi
S¸ifre saldırıları i¸cin 2 farklı kategori bulunmaktadır.
Sosyal Saldırılar (Social Attacks):
Omuz sörfü(shoulder surfing): En kolay yöntem, keskin bir
göz ve gü¸clü bir hafıza gerekli.
Çöp karı¸stırma (dumpster diving): yapı¸skan notlar üzerinde
bulunan ¸sifreleri ele ge¸cirme
Sosyal Mühendislik (social engineering): En ba¸sarılı
yöntemlerden biri, e-mail, telefon ile elde etme
Dijital Saldırılar (Digital Attacks):
keystroke loggers
password guessing
password cracking
brute force attacks
rainbow tables

Password Guessing
Salting ˙I¸slemi
Password Guessing
S¸ifre Tahmini
Öneri: password policy enforcement sa˘glayan en kolay
¸sifrelerin test edilmesi.
S¸ifre uzunluklarına bakılması
Örnek ¸sifre: !1qASw2q. Klavye üzerinde birbirine yakın duran
harfler

Password Guessing
Salting ˙I¸slemi
Parola Özetleri ve S¸ifreleme I
Parola Özetleri
Windows i¸sletim sisteminde parolalar iki farklı yöntemle saklanmaktadır.
LM Hash (LAN manager):
Parolalar en fazla 14 karakter i¸cerecek ¸sekilde ve büyük harf
olarak kayıt edilir.
14 karakter parola 7 + 7 ¸seklinde 2 farklı parolaya ayrılır.
Herbir par¸ca ayrı ¸sifrelenir ve tek bir özet olacak ¸sekilde
birle¸stirilir.
Windows Vista ve daha güncel i¸sletim sistemlerinde
kaldırılmı¸stır. Bazı sistemlerde geri-uyumluluk i¸cin aktif olarak
kullanılabilmektedir.
NT Hash:
127 karakter. Büyük, kü¸cük harf kabul eder.
Günümüzde 2. sürümü bulunmaktadır.

Password Guessing
Salting ˙I¸slemi
Parola ¨Ozetleri ve S¸ifreleme II
Parola Kayıtları
Windows i¸sletim sisteminde parolalar SAM veritabanı veya
active directory server olması durumunda AD veritabanında
saklanır.
Veritabanı kopyalandı˘gı veya ¸calındı˘gı zaman ¸ce¸sitli ara¸clar
kullanılarak ¨ozet de˘gerleri ele edilebilir.
bkhive/samdump2
John the Ripper
Cain and Abel

Password Guessing
Salting ˙I¸slemi
Cain and Abel NTLM I
Cain and Abel
En ¸cok kullanılan ara¸c
Cracker sekmesi ile parola ¨ozetleri elde edilebilir.
Importing the hashes from the local system
hashes from a text ﬁle
importing hashes from the SAM database. Ba¸ska bir
sistemden elde edilmi¸s SAM veritabanı Cain i¸cerisine eklenerek
¸sifre elde edilebilir.

Password Guessing
Salting ˙I¸slemi
Cain and Abel NTLM II

Password Guessing
Salting ˙I¸slemi
Cain and Abel NTLM III

Password Guessing
Salting ˙I¸slemi
Cain and Abel NTLM IV

Password Guessing
Salting ˙I¸slemi
Cain and Abel NTLM V

Password Guessing
Salting ˙I¸slemi
Cain and Abel NTLM VI

Password Guessing
Salting ˙I¸slemi
Windows NT 4 Service Pack 3 ile beraber SAM g¨uvenli˘gi
artırıldı.
SAM veritabanı 128-bit ¸sifreleme, decryption key ise sistem
dosyasında tutulmaya ba¸slandı.
SAM dosyası ele ge¸cirilse bile Syskey olmadan SAM a¸cılamaz.
BKHive: SAM dosyasının a¸cılabilmesi i¸cin system
dosyasından bootkey elde edilir.
Cain and Abel aynı ¸sekilde bunu yapacaktır.

Password Guessing
Salting ˙I¸slemi
Salting ˙I¸slemi I
Salting
Herhangi bir parolanın özet de˘gerini tekil hale getirmek i¸cin
kullanılan yöntem.
Aynı parolaların farklı özet (hash) de˘geri olu¸smasını sa˘glamak
i¸cin ek bir de˘gerin konulması
12-bit salt de˘geri, md5 özeti uzayını 4096 kat artırmaktadır.
precomputed hash attack veya rainbow table attack i¸cin
koruma sa˘glamaktadır.

Password Guessing
Salting ˙I¸slemi
Salting ˙I¸slemi II
hash(”hello”) =
2cf24dba5fb0a30e26e83b2ac5b9e29e1b161e5c1fa7425e73043362938b9824
hash(”hbllo”) =
58756879c05c68dfac9866712fad6a93f8146f337a69afe7dd238f3364946366
hash(”hello” + ”QxLUF1bgIAdeQX”) =
9e209040c863f84a31e719795b2577523954739fe5ed3b58a75cﬀ2127075ed1
hash(”hello” + ”bv5PehSMfV11Cd”) =
d1d3ec2e6f20fd420d50e2642992841d8338a314b8ea157c9e18477aaef226ab
hash(”hello” + ”YYLmfY6IehjZMQ”) =
a49670c3c18b9e079b9cfaf51634f563dc8ae3070db2c4a8544305df1b60f007

Password Guessing
Salting ˙I¸slemi
Salting ˙I¸slemi III
Salting
Windows i¸sletim sisteminde ve Active Directory üzerinde
salting i¸slemi yoktur.
Zayıf özet algoritmaları: MD5, SHA1
Önerilenler: SHA256, SHA512, RipeMD, WHIRLPOOL,
SHA3
Salt Ger¸cekle¸stirim Hataları
Public Salt veya Aynı Salt Kullanımı: ˙Iki farklı kullanıcının
aynı parolaya sahip olmaları durumunda, özet de˘gerleri aynı
olacaktır.
Kısa Salt: Salt de˘gerinin kısa olması durumunda saldırgan
kolay bir ¸sekilde Rainbow table olu¸sturabilir.

Ke¸sif A¸saması Parola Kırma Tekni˘gi
Rainbow Tables
˙I¸cindekiler
Password Guessing
Salting ˙I¸slemi
Rainbow Tables
A¸cılması
Bilgisayarlar

Rainbow Tables
Parola Kırma Tekni˘gi I
Ön Bilgiler
Özet (hash) i¸slemleri tek yönlüdür.
Kullanılan matematik algoritmaları geri alınamaz ¸sekilde
tasarlanmı¸stır.
Sözlük saldırısı (Dictionary attack) ile ba¸sarılı ve uzun
sürmeyecek ¸sekilde elde edilebilir.
Sözlük dosyasında yer alan parolalar ilgili özet algoritması ile
özeti alınarak ele ge¸cirilmi¸s olan özet de˘geri ile kar¸sıla¸stırılır.

Rainbow Tables
Parola Kırma Tekni˘gi II
Kaba Kuvvet Saldırısı (Brute Force Attack)
Do˘gru parola elde edilene kadar olası kombinasyonlar
Kesinlikle ba¸sarıya ula¸sacaktır, fakat olduk¸ca uzun s¨ure alabilir.
Hızlandırma y¨ontemleri
Parola politikasına uygun kaba kuvvet saldırısı yapılması.
GPU (graphic processor unit) kullanarak yapılan saldırılar.

Rainbow Tables
Parola Kırma Tekni˘gi III
Kaba Kuvvet Saldırısı Hızlandırma
quad core i7 processor kullanarak yıllar sürecektir.
https://arstechnica.com/security/2012/12/25-gpu-cluster-
cracks-every-standard-windows-password-in-6-hours/
25 AMD Radeon HD9660 graphics cards
Saniyede 350 milyar parola denemesi (NTLM).
NTLM i¸cin 958 ¸sifre denemesi 5.5 saat
95 printable chars:
https://en.wikibooks.org/wiki/C%2B%2B Programming/ASCII
Linux-based GPU cluster üzerinde ¸calı¸san Virtual OpenCL
cluster platform
Tek bilgisayar üzerinde ¸calı¸sma prensibi

Rainbow Tables
Parola Kırma Tekni˘gi IV
Hashcat: World’s fastest password cracker
Password-cracking suite optimized for GPU computing
44 farklı algoritma ger¸cekle¸stirimi
MD4, MD5, SHA1, SHA-224, SHA-256, SHA-384, SHA-512. SHA-3,
Skip32, RipeMD160, Whirlpool, DES, 3DES ...
Kaba kuvvet saldırısı yanında sözlük saldırısıda
ger¸cekle¸stirebilmekte
Saniyede 63 milyar SHA1 ve 180 milyar MD5 tahmini
yapabilmektedir.
Sonu¸c: saldırı teknikleri ve arkalarında bulunan gü¸c
artmaktadır.

Rainbow Tables
Parola Kırma Tekni˘gi V
hashcat -m 0 hashes wordlist.txt --force --potfile -disable

Rainbow Tables
Ön Hesaplama (Pre-Computing) - Rainbow Tables I
Rainbow Attack
Rainbow Table: Parola özetlerinin kırılması i¸cin kullanılan özet
fonksiyonlarının i¸slevlerini tersine ¸cevirmek i¸cin önceden
hesaplanmı¸s bir tablodur.
Ele ge¸cirlen özet (hash) de˘geri bu tabloda yer alan liste ile
kar¸sıla¸stırılarak parola elde edilmeye ¸calı¸sılır.

Rainbow Tables
HashKiller
¨Ozet de˘gerleri algoritma/sistemler

Rainbow Tables
rtgen demo I
Rainbow Saldırısı
Bir rainbow table ihtiyacı
Satın alınabilir.
˙Internet indirilebilir.
Olu¸sturulabilir.
Winrtgen
”Cain and Abel” ile beraber gelen Winrtgen
Windows ve Linux i¸sletim sistemlerinde ¸calı¸sabilmektedir.

Rainbow Tables
rtgen demo II

Rainbow Tables
rtgen demo III

Rainbow Tables
rtgen demo IV

Rainbow Tables
HashKiller Demo I

Rainbow Tables
HashKiller Demo II

Rainbow Tables
HashKiller Demo III

Rainbow Tables
HashKiller Demo IV

Rainbow Tables
Özet Ekleme Saldırısı - Hash Insertion Attack I
Hash Insertion Attack
Saldırgan, bilgisayara fiziksel eri¸sim olması durumunda bir¸cok
i¸slem yapabilmektedir.
Özet de˘gerlerinden plain-text parola elde etmek yerine yeni
parola ekler (Windows SAM veritabanı)
CD üzerinden Linux ile bilgisayar boot edilebilir.
Bootable CD’ler yardımıyla sistem yöneticileri tarafından
kullanılabilmektedir.

Rainbow Tables
¨Ozet Ekleme Saldırısı - Hash Insertion Attack II
NTPASSWD
NTPASSWD aracıyla Windows SAM veritabanına yeni veya
bo¸s parola girebilmektedirler.
”*” ile bo¸s parola girilebilmektedir.
CHKDSK i¸slemi boot esnasında iptal edilmelidir.

Rainbow Tables
Windows Kimlik Do˘grulama I
Kimlik Do˘grulama (Authentication)
LM authentication protocol:
Kullanıcı parolası b¨uy¨uk harfe ¸cevrilir.
LM parolaları max 14 karakterdir. Az olması durumunda
null-padding ile 14 karakter haline getirilir.

Rainbow Tables
Windows Kimlik Do˘grulama II
¨Ornek Senaryo (LM response)
SecREt01 => SECRET01 (hex: 0x5345435245543031)
14 byte de˘ger: 0x5345435245543031000000000000
2 tane 7-byte par¸ca: ”0x53454352455430” ve ”0x31000000000000”
DES anahtarları
1. kısım 0x53454352455430 binary de˘ger:
01010011 01000101 01000011 01010010 01000101 01010100 00110000
Non-parity-adjusted
01010010 10100010 01010000 01101010 00100100 00101010 01010000
01100000
odd-parity-adjusted
01010010 10100010 01010001 01101011 00100101 00101010 01010001
01100001
hex : 0x52a2516b252a5161

Rainbow Tables
Windows Kimlik Do˘grulama III
2. kısım 0x31000000000000 binary de˘ger
00110001 00000000 00000000 00000000 00000000 00000000 00000000
Non-parity-adjusted
00110000 10000000 00000000 00000000 00000000 00000000 00000000
00000000
odd-parity-adjusted
00110001 10000000 00000001 00000001 00000001 00000001 00000001
00000001
hex : 0x3180010101010101
Sabit string: KGS!@#$% (hex: ”0x4b47532140232425”), her iki anahtar
kullanılarak ¸sifrelenir.
1. anahtar sonucu: 0xff3750bcc2b22412
2. anahtar sonucu: 0xc2265b23734e0dac
16-byte LM hash - 0xff3750bcc2b22412c2265b23734e0dac
Padding i¸slemi ile 21-byte:
0xff3750bcc2b22412c2265b23734e0dac0000000000
3 adet 7-byte par¸ca: ”0xff3750bcc2b224”, ”0x12c2265b23734e” ve
”0x0dac0000000000”

Rainbow Tables
Windows Kimlik Do˘grulama IV
Aynı ¸sekilde DES anahtarları elde edilir: ”0xfe9bd516cd15c849”,
”0x136189cbb31acd9d” ve ”0x0dd6010101010101”
Örnek Type-2 mesajı (0x0123456789abcdef)
1. anahtar: 0xc337cd5cbd44fc97
2. anahtar: 0x82a667af6d427c6d
3. anahtar: 0xe67c20c2d3e77c56
24-byte LM response: 0xc337cd5cbd44fc9782a667af6d427c6de67c20c2d3e77c56
Yöntemin Zayıflıkları
Büyük harf olmasından dolayı ¸sifre arama uzayı azalmaktadır.
E˘ger ¸sifre 7 karakterden az ise bu durumda ikinci 7-byte blok
sadece 0’lardan olu¸sur. DES anaharı ise 0x0101010101010101.
KGS!@#$% ifadesi 0xaad3b435b51404ee

Rainbow Tables
Windows Kimlik Do˘grulama V
NTLMv1 authentication protocol
NTLMv1 kimlik do˘grulama, temel olarak challenge-response
mimarisi ¨uzerine kurulmu¸stur.
3 farklı mesaj: Type 1 (negotiation), Type 2 (challenge) ve
Type 3 (authentication)
˙Istemci ”Type 1” mesajını sunucuya g¨onderir.
Sunucu ”Type 2”, (Challenge) mesajını istemciye iletir.
˙Istemci LM Response (Type 3) olu¸sturarak cevap verir.
Sunucu tarafında aynı i¸slem ger¸cekle¸stirilerek kimlik
do˘grulama i¸slemi i¸cin parolayı kontrol eder.

Rainbow Tables
Windows Kimlik Do˘grulama VI
¨Ornek Senaryo (NTLMv1)
”SecREt01” unicode mixed-case (0x53006500630052004500740030003100)
MD4 de˘geri (0xcd06ca7c7e10c99b1d33b7485a2ed808)
21 byte null-padding (0xcd06ca7c7e10c99b1d33b7485a2ed8080000000000)
3 tane 7-byte par¸ca: ”0xcd06ca7c7e10c9”, ”0x9b1d33b7485a2e” ve
”0xd8080000000000”
DES anahtarları
1. kısım binary de˘ger:
11001101 00000110 11001010 01111100 01111110 00010000 11001001
Parity-adjusted
11001101 10000011 10110011 01001111 11000111 11110001 01000011
10010010
10011011 00011101 00110011 10110111 01001000 01011010 00101110
parity-adjusted
10011011 10001111 01001100 01110110 01110101 01000011 01101000
01011101

Rainbow Tables
Windows Kimlik Do˘grulama VII
11011000 00001000 00000000 00000000 00000000 00000000 00000000
parity-adjusted
11011001 00000100 00000001 00000001 00000001 00000001 00000001
00000001
Hex de˘gerleri: ”0xcd83b34fc7f14392”, ”0x9b8f4c767543685d” ve
0xd904010101010101
Type 2 mesajı (0x0123456789abcdef) DES ile 0x25a98c1c31e81847 (1. anahtar
kullanılarak), 0x466b29b2df4680f3 (2. anahtar kullanılarak) ve
0x9958fb8c213a9cc6 (3. anahtar kullanılarak)
24-byte NTLM response:
0x25a98c1c31e81847466b29b2df4680f39958fb8c213a9cc6

Rainbow Tables
Windows Kimlik Do˘grulama VIII
NTLMv2
Benzer v1’e ¸sekilde: challenge-response authentication
protocol
8-byte server challenge kar¸sılık 2 adet cevap gönderir.
randomly generated client challenge
Büyük harf, unicode (kullanıcı adı + domain)

Rainbow Tables
Windows Kimlik Do˘grulama IX
Kerberos Authentication 1
Windows 2000 i¸sletim sisteminden itibaren kullanılmaktadır.
(RFC 3244, RFC 4757)
Günümüz active directory domains i¸cinde yer almaktadır.
Farklı bile¸senler i¸cermektedir
Kimlik do˘grulama sunucusu (authentication server)
key distribution center
ticket-granting ticket
1
https://web.mit.edu/kerberos/

Ke¸sif A¸saması Bilgisayarın Farklı Bir Cihazla
A¸cılması
Kullanıcı Bilgileri Aynı Olan Bil-
gisayarlar
˙I¸cindekiler
Password Guessing
Salting ˙I¸slemi
Rainbow Tables
A¸cılması
Bilgisayarlar

A¸cılması
gisayarlar
Bilgisayarın Farklı Bir Cihazla A¸cılması I
Yerel S¸ifrelerin Elde Edilmesi
Ke¸sif a¸samasında yer alan ilk adım: Son kullanıcı bilgisayarının
farklı bir i¸sletim sistemi ile a¸cılması
Genellikle Linux i¸sletim sistemine sahip Live CD ile a¸cılıp
SYSTEM ve SAM dosyaları alınır.

A¸cılması
gisayarlar
Bilgisayarın Farklı Bir Cihazla A¸cılması II
SAM ve SYSTEM dosyalarını alma
SAM veritabanı: Security Accounts Manager.
Windows tarafından kullanıcılar i¸cin kullanılan dosya
˙I¸sletim sistemi ¸calı¸sırken dosya kopyalanamaz.
%WINDIR%system32configSAM
SYSTEM Dosyası: dosyayı a¸cabilmek i¸cin dosyanın özel
anahtarına sahip olan dosya
%WINDIR%system32configSYSTEM
Yerel kullanıcılar ve ¸sifre özetlerini ele ge¸cirme
SAM ve SYSTEM ele ge¸cirildikten sonra ¸ce¸sitli ara¸clar
kullanılarak kullanıcıların ¸sifre özetleri elde edilir.
bkhive
Bkhive SYSTEM keyfile
Samdump2
Samdump2 SAM keyfile

A¸cılması
gisayarlar
Bilgisayarın Farklı Bir Cihazla A¸cılması III

A¸cılması
gisayarlar
Bilgisayarın Farklı Bir Cihazla A¸cılması IV

A¸cılması
gisayarlar
Bilgisayarın Farklı Bir Cihazla A¸cılması V

A¸cılması
gisayarlar
Bilgisayarın Farklı Bir Cihazla A¸cılması VI

A¸cılması
gisayarlar
Kullanıcı Bilgileri Aynı Olan Bilgisayarlar I
Kullanıcı Adı/S¸ifre Özetleri
Ke¸sif a¸samasında elde edilen kullanıcı ad/¸sifre özeti bilgilerinin
farklı bilgisayarlar üzerinde denenmesi
metasploit auxiliary modülü olan smb login
Örnek senaryo
Hazır imajdan kurulum yapılan yerlerde yerel yönetici kullanıcı
adı/¸sifre aynı olabilmektedir.
Bir kullanıcı ile bir ¸cok bilgisayara atlayabilme.

A¸cılması
gisayarlar
Kullanıcı Bilgileri Aynı Olan Bilgisayarlar II
SMB LOGIN
Parametreler
BLANK PASSWORDS: Verilen tüm kullanıcılar i¸cin bo¸s parola
dener.
RHOSTS: Hedef bilgisayarlara ait IP bilgisi
RPORT: Hedef bilgisayardaki SMB protokolünün port
SMBDomain: Hedef bilgisayar üzerinde denenecek kullanıcı
hesaplarının üye oldu˘gu etki alanı (Workgroup – Etki alanı)
SMBUser: Hedef bilgisayar üzerinde kullanıcı adı
SMBPass: Hedef bilgisayar üzerinde parola/¸sifre özeti
USER AS PASS: Verilen tüm kullanıcılar i¸cin kullanıcı adını
parola olarak dener.
Parola politikası etkin oldu˘gu durumlarda
“BLANK PASSWORDS” ve “USER AS PASS”
parametrelerinin kaldırılması önerilir.

A¸cılması
gisayarlar
Kullanıcı Bilgileri Aynı Olan Bilgisayarlar III

�ݺ�ߣ

Windows hacking 1

Recommended

More Related Content

More from Ferhat Ozgur Catak (18)

Windows hacking 1