Windows hacking 1

Sifre SaldırılarıParola - Kimlik Dogrulama

Kesif Asaması

Windows Hacking - IBGM 554 - Sızma Testleri ve Guvenlik Denetlemeleri-II

Bilgi Guvenligi MuhendisligiYuksek Lisans Programı

Dr. Ferhat Ozgur [email protected]

Istanbul Sehir Universitesi2016/2017 - Bahar

Dr. Ferhat Ozgur Catak [email protected] Windows Hacking - I


Kesif Asaması

Icindekiler

1 Sifre SaldırılarıSifre Saldırı YontemleriPassword GuessingParola Ozetleri ve SifrelemeSAM Veritabanı ve SYSKEYSalting Islemi

2 Parola - Kimlik DogrulamaParola Kırma Teknigi

Rainbow TablesOzet Ekleme SaldırısıWindows Kimlik Dogrulama

3 Kesif AsamasıBilgisayarın Farklı Bir CihazlaAcılmasıKullanıcı Bilgileri Aynı OlanBilgisayarlar



Kesif Asaması Sifre Saldırı YontemleriPassword Guessing

Parola Ozetleri ve SifrelemeSAM Veritabanı ve SYSKEYSalting Islemi

Icindekiler









Sifre Saldırı Yontemleri

Sifre Saldırı Yontemleri

I Sifre saldırıları icin 2 farklı kategori bulunmaktadır.I Sosyal Saldırılar (Social Attacks):

I Omuz sorfu(shoulder surfing): En kolay yontem, keskin birgoz ve guclu bir hafıza gerekli.

I Cop karıstırma (dumpster diving): yapıskan notlar uzerindebulunan sifreleri ele gecirme

I Sosyal Muhendislik (social engineering): En basarılıyontemlerden biri, e-mail, telefon ile elde etme

I Dijital Saldırılar (Digital Attacks):I keystroke loggersI password guessingI password cracking

I brute force attacks

I rainbow tables





Password Guessing

Sifre Tahmini

I Oneri: password policy enforcement saglayan en kolaysifrelerin test edilmesi.

I Sifre uzunluklarına bakılması

I Ornek sifre: !1qASw2q. Klavye uzerinde birbirine yakın duranharfler





Parola Ozetleri ve Sifreleme I

Parola OzetleriI Windows isletim sisteminde parolalar iki farklı yontemle saklanmaktadır.

I LM Hash (LAN manager):

I Parolalar en fazla 14 karakter icerecek sekilde ve buyuk harfolarak kayıt edilir.

I 14 karakter parola 7 + 7 seklinde 2 farklı parolaya ayrılır.Herbir parca ayrı sifrelenir ve tek bir ozet olacak sekildebirlestirilir.

I Windows Vista ve daha guncel isletim sistemlerindekaldırılmıstır. Bazı sistemlerde geri-uyumluluk icin aktif olarakkullanılabilmektedir.

I NT Hash:

I 127 karakter. Buyuk, kucuk harf kabul eder.I Gunumuzde 2. surumu bulunmaktadır.





Parola Ozetleri ve Sifreleme II

Parola Kayıtları

I Windows isletim sisteminde parolalar SAM veritabanı veyaactive directory server olması durumunda AD veritabanındasaklanır.

I Veritabanı kopyalandıgı veya calındıgı zaman cesitli araclarkullanılarak ozet degerleri ele edilebilir.

I bkhive/samdump2I John the RipperI Cain and Abel





Cain and Abel NTLM I

Cain and Abel

I En cok kullanılan aracI Cracker sekmesi ile parola ozetleri elde edilebilir.

I Importing the hashes from the local systemI hashes from a text fileI importing hashes from the SAM database. Baska bir

sistemden elde edilmis SAM veritabanı Cain icerisine eklenereksifre elde edilebilir.





Cain and Abel NTLM II





Cain and Abel NTLM III





Cain and Abel NTLM IV





Cain and Abel NTLM V





Cain and Abel NTLM VI





SAM Veritabanı ve SYSKEY

SAM Veritabanı ve SYSKEY

I Windows NT 4 Service Pack 3 ile beraber SAM guvenligiartırıldı.

I SAM veritabanı 128-bit sifreleme, decryption key ise sistemdosyasında tutulmaya baslandı.

I SAM dosyası ele gecirilse bile Syskey olmadan SAM acılamaz.

I BKHive: SAM dosyasının acılabilmesi icin systemdosyasından bootkey elde edilir.

I Cain and Abel aynı sekilde bunu yapacaktır.





Salting Islemi I

Salting

I Herhangi bir parolanın ozet degerini tekil hale getirmek icinkullanılan yontem.

I Aynı parolaların farklı ozet (hash) degeri olusmasını saglamakicin ek bir degerin konulması

I 12-bit salt degeri, md5 ozeti uzayını 4096 kat artırmaktadır.

I precomputed hash attack veya rainbow table attack icinkoruma saglamaktadır.





Salting Islemi II

hash(”hello”) =2cf24dba5fb0a30e26e83b2ac5b9e29e1b161e5c1fa7425e73043362938b9824hash(”hbllo”) =58756879c05c68dfac9866712fad6a93f8146f337a69afe7dd238f3364946366

hash(”hello” + ”QxLUF1bgIAdeQX”) =9e209040c863f84a31e719795b2577523954739fe5ed3b58a75cff2127075ed1hash(”hello” + ”bv5PehSMfV11Cd”) =d1d3ec2e6f20fd420d50e2642992841d8338a314b8ea157c9e18477aaef226abhash(”hello” + ”YYLmfY6IehjZMQ”) =a49670c3c18b9e079b9cfaf51634f563dc8ae3070db2c4a8544305df1b60f007





Salting Islemi III

Salting

I Windows isletim sisteminde ve Active Directory uzerindesalting islemi yoktur.

I Zayıf ozet algoritmaları: MD5, SHA1

I Onerilenler : SHA256, SHA512, RipeMD, WHIRLPOOL,SHA3

Salt Gerceklestirim Hataları

I Public Salt veya Aynı Salt Kullanımı: Iki farklı kullanıcınınaynı parolaya sahip olmaları durumunda, ozet degerleri aynıolacaktır.

I Kısa Salt: Salt degerinin kısa olması durumunda saldırgankolay bir sekilde Rainbow table olusturabilir.



Kesif Asaması Parola Kırma TeknigiRainbow Tables

Ozet Ekleme SaldırısıWindows Kimlik Dogrulama

Icindekiler









Parola Kırma Teknigi I

On Bilgiler

I Ozet (hash) islemleri tek yonludur.

I Kullanılan matematik algoritmaları geri alınamaz sekildetasarlanmıstır.

I Sozluk saldırısı (Dictionary attack) ile basarılı ve uzunsurmeyecek sekilde elde edilebilir.

I Sozluk dosyasında yer alan parolalar ilgili ozet algoritması ileozeti alınarak ele gecirilmis olan ozet degeri ile karsılastırılır.





Parola Kırma Teknigi II

Kaba Kuvvet Saldırısı (Brute Force Attack)

I Dogru parola elde edilene kadar olası kombinasyonlar

I Kesinlikle basarıya ulasacaktır, fakat oldukca uzun sure alabilir.I Hızlandırma yontemleri

I Parola politikasına uygun kaba kuvvet saldırısı yapılması.I GPU (graphic processor unit) kullanarak yapılan saldırılar.





Parola Kırma Teknigi III

Kaba Kuvvet Saldırısı Hızlandırma

I quad core i7 processor kullanarak yıllar surecektir.

I https://arstechnica.com/security/2012/12/25-gpu-cluster-cracks-every-standard-windows-password-in-6-hours/

I 25 AMD Radeon HD9660 graphics cards

I Saniyede 350 milyar parola denemesi (NTLM).I NTLM icin 958 sifre denemesi 5.5 saat

I 95 printable chars:https://en.wikibooks.org/wiki/C%2B%2B Programming/ASCII

I Linux-based GPU cluster uzerinde calısan Virtual OpenCLcluster platform

I Tek bilgisayar uzerinde calısma prensibi





Parola Kırma Teknigi IV

Hashcat: World’s fastest password cracker

I Password-cracking suite optimized for GPU computingI 44 farklı algoritma gerceklestirimi

I MD4, MD5, SHA1, SHA-224, SHA-256, SHA-384, SHA-512. SHA-3,Skip32, RipeMD160, Whirlpool, DES, 3DES ...

I Kaba kuvvet saldırısı yanında sozluk saldırısıdagerceklestirebilmekte

I Saniyede 63 milyar SHA1 ve 180 milyar MD5 tahminiyapabilmektedir.

I Sonuc: saldırı teknikleri ve arkalarında bulunan gucartmaktadır.





Parola Kırma Teknigi V

hashcat -m 0 hashes wordlist.txt --force --potfile -disable





On Hesaplama (Pre-Computing) - Rainbow Tables I

Rainbow Attack

I Rainbow Table: Parola ozetlerinin kırılması icin kullanılan ozetfonksiyonlarının islevlerini tersine cevirmek icin oncedenhesaplanmıs bir tablodur.

I Ele gecirlen ozet (hash) degeri bu tabloda yer alan liste ilekarsılastırılarak parola elde edilmeye calısılır.





HashKiller

I Ozet degerleri I algoritma/sistemler





rtgen demo I

Rainbow Saldırısı

I Bir rainbow table ihtiyacı

I Satın alınabilir.

I Internet indirilebilir.

I Olusturulabilir.

Winrtgen

I ”Cain and Abel” ile beraber gelen Winrtgen

I Windows ve Linux isletim sistemlerinde calısabilmektedir.





rtgen demo II





rtgen demo III





rtgen demo IV





HashKiller Demo I





HashKiller Demo II





HashKiller Demo III





HashKiller Demo IV





Ozet Ekleme Saldırısı - Hash Insertion Attack I

Hash Insertion Attack

I Saldırgan, bilgisayara fiziksel erisim olması durumunda bircokislem yapabilmektedir.

I Ozet degerlerinden plain-text parola elde etmek yerine yeniparola ekler (Windows SAM veritabanı)

I CD uzerinden Linux ile bilgisayar boot edilebilir.

I Bootable CD’ler yardımıyla sistem yoneticileri tarafındankullanılabilmektedir.





Ozet Ekleme Saldırısı - Hash Insertion Attack II

NTPASSWD

I NTPASSWD aracıyla Windows SAM veritabanına yeni veyabos parola girebilmektedirler.

I ”*” ile bos parola girilebilmektedir.

I CHKDSK islemi boot esnasında iptal edilmelidir.





Windows Kimlik Dogrulama I

Kimlik Dogrulama (Authentication)

I LM authentication protocol:I Kullanıcı parolası buyuk harfe cevrilir.I LM parolaları max 14 karakterdir. Az olması durumunda

null-padding ile 14 karakter haline getirilir.





Windows Kimlik Dogrulama II

Ornek Senaryo (LM response)I SecREt01 => SECRET01 (hex: 0x5345435245543031)

I 14 byte deger: 0x5345435245543031000000000000

I 2 tane 7-byte parca: ”0x53454352455430” ve ”0x31000000000000”

I DES anahtarları

I 1. kısım 0x53454352455430 binary deger:01010011 01000101 01000011 01010010 01000101 01010100 00110000Non-parity-adjusted01010010 10100010 01010000 01101010 00100100 00101010 0101000001100000odd-parity-adjusted01010010 10100010 01010001 01101011 00100101 00101010 0101000101100001hex : 0x52a2516b252a5161





Windows Kimlik Dogrulama III

I 2. kısım 0x31000000000000 binary deger00110001 00000000 00000000 00000000 00000000 00000000 00000000Non-parity-adjusted00110000 10000000 00000000 00000000 00000000 00000000 0000000000000000odd-parity-adjusted00110001 10000000 00000001 00000001 00000001 00000001 0000000100000001hex : 0x3180010101010101

I Sabit string: KGS!@#$% (hex: ”0x4b47532140232425”), her iki anahtar

kullanılarak sifrelenir.

I 1. anahtar sonucu: 0xff3750bcc2b22412I 2. anahtar sonucu: 0xc2265b23734e0dacI 16-byte LM hash - 0xff3750bcc2b22412c2265b23734e0dacI Padding islemi ile 21-byte:

0xff3750bcc2b22412c2265b23734e0dac0000000000

I 3 adet 7-byte parca: ”0xff3750bcc2b224”, ”0x12c2265b23734e” ve”0x0dac0000000000”





Windows Kimlik Dogrulama IV

I Aynı sekilde DES anahtarları elde edilir: ”0xfe9bd516cd15c849”,”0x136189cbb31acd9d” ve ”0x0dd6010101010101”

I Ornek Type-2 mesajı (0x0123456789abcdef)

I 1. anahtar: 0xc337cd5cbd44fc97I 2. anahtar: 0x82a667af6d427c6dI 3. anahtar: 0xe67c20c2d3e77c56

I 24-byte LM response: 0xc337cd5cbd44fc9782a667af6d427c6de67c20c2d3e77c56

Yontemin Zayıflıkları

I Buyuk harf olmasından dolayı sifre arama uzayı azalmaktadır.

I Eger sifre 7 karakterden az ise bu durumda ikinci 7-byte bloksadece 0’lardan olusur. DES anaharı ise 0x0101010101010101.KGS!@#$% ifadesi 0xaad3b435b51404ee





Windows Kimlik Dogrulama V

NTLMv1 authentication protocol

I NTLMv1 kimlik dogrulama, temel olarak challenge-responsemimarisi uzerine kurulmustur.

I 3 farklı mesaj: Type 1 (negotiation), Type 2 (challenge) veType 3 (authentication)

I Istemci ”Type 1” mesajını sunucuya gonderir.

I Sunucu ”Type 2”, (Challenge) mesajını istemciye iletir.

I Istemci LM Response (Type 3) olusturarak cevap verir.

I Sunucu tarafında aynı islem gerceklestirilerek kimlikdogrulama islemi icin parolayı kontrol eder.





Windows Kimlik Dogrulama VI

Ornek Senaryo (NTLMv1)I ”SecREt01” unicode mixed-case (0x53006500630052004500740030003100)

I MD4 degeri (0xcd06ca7c7e10c99b1d33b7485a2ed808)

I 21 byte null-padding (0xcd06ca7c7e10c99b1d33b7485a2ed8080000000000)

I 3 tane 7-byte parca: ”0xcd06ca7c7e10c9”, ”0x9b1d33b7485a2e” ve”0xd8080000000000”

I DES anahtarları

I 1. kısım binary deger:11001101 00000110 11001010 01111100 01111110 00010000 11001001Parity-adjusted11001101 10000011 10110011 01001111 11000111 11110001 0100001110010010

I 2. kısım binary deger:10011011 00011101 00110011 10110111 01001000 01011010 00101110parity-adjusted10011011 10001111 01001100 01110110 01110101 01000011 0110100001011101





Windows Kimlik Dogrulama VII

I 3. kısım binary deger:11011000 00001000 00000000 00000000 00000000 00000000 00000000parity-adjusted11011001 00000100 00000001 00000001 00000001 00000001 0000000100000001

I Hex degerleri: ”0xcd83b34fc7f14392”, ”0x9b8f4c767543685d” ve0xd904010101010101

I Type 2 mesajı (0x0123456789abcdef) DES ile 0x25a98c1c31e81847 (1. anahtarkullanılarak), 0x466b29b2df4680f3 (2. anahtar kullanılarak) ve0x9958fb8c213a9cc6 (3. anahtar kullanılarak)

I 24-byte NTLM response:0x25a98c1c31e81847466b29b2df4680f39958fb8c213a9cc6





Windows Kimlik Dogrulama VIII

NTLMv2

I Benzer v1’e sekilde: challenge-response authenticationprotocol

I 8-byte server challenge karsılık 2 adet cevap gonderir.I randomly generated client challengeI Buyuk harf, unicode (kullanıcı adı + domain)





Windows Kimlik Dogrulama IX

Kerberos Authentication 1

I Windows 2000 isletim sisteminden itibaren kullanılmaktadır.(RFC 3244, RFC 4757)

I Gunumuz active directory domains icinde yer almaktadır.I Farklı bilesenler icermektedir

I Kimlik dogrulama sunucusu (authentication server)I key distribution centerI ticket-granting ticket

1https://web.mit.edu/kerberos/Dr. Ferhat Ozgur Catak [email protected] Windows Hacking - I


Kesif Asaması Bilgisayarın Farklı Bir CihazlaAcılması

Kullanıcı Bilgileri Aynı Olan Bil-gisayarlar

Icindekiler









Bilgisayarın Farklı Bir Cihazla Acılması I

Yerel Sifrelerin Elde Edilmesi

I Kesif asamasında yer alan ilk adım: Son kullanıcı bilgisayarınınfarklı bir isletim sistemi ile acılması

I Genellikle Linux isletim sistemine sahip Live CD ile acılıpSYSTEM ve SAM dosyaları alınır.





Bilgisayarın Farklı Bir Cihazla Acılması II

SAM ve SYSTEM dosyalarını alma

I SAM veritabanı: Security Accounts Manager.I Windows tarafından kullanıcılar icin kullanılan dosyaI Isletim sistemi calısırken dosya kopyalanamaz.I %WINDIR%\system32\config\SAM

I SYSTEM Dosyası: dosyayı acabilmek icin dosyanın ozelanahtarına sahip olan dosya

I %WINDIR%\system32\config\SYSTEM

Yerel kullanıcılar ve sifre ozetlerini ele gecirme

I SAM ve SYSTEM ele gecirildikten sonra cesitli araclarkullanılarak kullanıcıların sifre ozetleri elde edilir.

I bkhiveI Bkhive SYSTEM keyfile

I Samdump2I Samdump2 SAM keyfile





Bilgisayarın Farklı Bir Cihazla Acılması III





Bilgisayarın Farklı Bir Cihazla Acılması IV





Bilgisayarın Farklı Bir Cihazla Acılması V





Bilgisayarın Farklı Bir Cihazla Acılması VI





Kullanıcı Bilgileri Aynı Olan Bilgisayarlar I

Kullanıcı Adı/Sifre Ozetleri

I Kesif asamasında elde edilen kullanıcı ad/sifre ozeti bilgilerininfarklı bilgisayarlar uzerinde denenmesi

I metasploit auxiliary modulu olan smb login

I Ornek senaryoI Hazır imajdan kurulum yapılan yerlerde yerel yonetici kullanıcı

adı/sifre aynı olabilmektedir.I Bir kullanıcı ile bir cok bilgisayara atlayabilme.





Kullanıcı Bilgileri Aynı Olan Bilgisayarlar II

SMB LOGIN

I ParametrelerI BLANK PASSWORDS: Verilen tum kullanıcılar icin bos parola

dener.I RHOSTS: Hedef bilgisayarlara ait IP bilgisiI RPORT: Hedef bilgisayardaki SMB protokolunun portI SMBDomain: Hedef bilgisayar uzerinde denenecek kullanıcı

hesaplarının uye oldugu etki alanı (Workgroup – Etki alanı)I SMBUser: Hedef bilgisayar uzerinde kullanıcı adıI SMBPass: Hedef bilgisayar uzerinde parola/sifre ozetiI USER AS PASS: Verilen tum kullanıcılar icin kullanıcı adını

parola olarak dener.I Parola politikası etkin oldugu durumlarda

“BLANK PASSWORDS” ve “USER AS PASS”parametrelerinin kaldırılması onerilir.





Kullanıcı Bilgileri Aynı Olan Bilgisayarlar III


Windows hacking 1

Software

Transcript of Windows hacking 1