Giriş Yap
Kayıt Ol
Üye Listesi
Aktif Konular
Arama Yap
() INF
- Windows Sunucu Analizi - TryHackMe
Herkese selamın aleyküm, arkadaşlar bugünkü konumuzda ele geçirilmiş bir windows sunucuyu analiz etmeyi gösterceğim bu konu için TryHackMe.com'daki Investigating Windows adlı odayı kullanıcağız.
- Temel Sistem Bilgisi ve Kullanıcı Temel Bilgileri
Bu bölümde ilk 3 soruyu cevaplayalım
Start Machine diyelim ve hedef sunucumuzu çalıştıralım
Bunun üzerinde işlemlerimizi gerçekleştireceğiz.
1. Soruda windows sunucumuzun versiyonunu ve yılını bize soruyor.
2. Sorude iseen son hangi kullanıcının girdiğini
3. de ise John kullanıcısının en son ne zaman sisteme giriş yaptığını soruyor.
Windows da hemen komut satırını açalım.
ve şimdi systeminfo komutunu çalıştırarak sistem versiyonunu ve yılını öğrenelim.
windows sunucumuzun versiyonu ve yılı Windows Server 2016 olarak gözüküyor.
2. soruda en son hangi kullanıcının girdiğini soruyor bunu öğrenmemiz için net users komudunu yazarak ilerleyelim.
Biz ilk önce 3. soruyu cevaplayalım jhon kullanıcısının en son ne zaman girdiğini soruyor bize bu sefer net users John komudunu kullanarak en son ne zaman girdiğini öğrenebiliriz.
Last logon yazan yer kullanıcının en son ne zaman girdiğini gösteren yerdir.
2/ soruda ise en son hangi kullanıcının girdiğini soruyor.en son giriş yapan kullanıcıyı zaten görüyoruz herhangi bir komut yazmamıza gerek yok en son giren kullanıcı Administrator
- İlk Bağlanılan IP Adresi ve Yöneticiler
4.Soru ve 5.soruyu çözmeye çalışalım.
4.Soruda bize sistem sistem ilk açıldığında hangi IP adresine bağlı olduğunu soruyor.
Bilgisayarın ilk açılmasıyla beraber çalışmaya başlayan programları kontrol etmek için bir kayıt defterine bakmamız gerekecek.
msconfig programını çalıştıralım
Burda başlangıç kısmında bilgisayar ilk çalıştığında çalışacak olan programların listesini bulabiliriz. Fakat herhangi bir kayıda ulaşamadık, burada kayıda ulaşamadık diye çalışan uygulama yoktur diye bir algı oluşmasın bunun için kayıt defterine bir girdide yapılmış olabilir. Şimdi ise kayıt defterini kontrol edelim.
arama bölümüne regedit yazarak programımızı çalıştıralım.
HKEY>SOFTWARE>MİCROSOFT>WİNDOWS>CurrentVersion>RUN
Run klasörüne baktığımız zaman burda UpdateSvc olarak bir girdi yapılmış ve bu C: dizini altındaki TMP klasörünün içerisindeki p.exe programını çalıştırıyormuş ve 10.34.2.3 IP adresine bir istekte bulunduğunu öğrendik şimdi 4.sorumuzu cevaplayalım bakalım doğru çıkıcakmı.
5.Soruda ise bize iki tane hesabın hangisinin yönetici ayrıcalıkları olduğunu soruyor yani admin kullanıcısından başka 2 kullanıcı daha yönetici yetkisindeymiş.
Daha sonra komut satırını açalım ve burda yazıcağımız komut net localgroup Administrators
gördüğünüz üzere iki kullanıcı daha admin yetkisindeymiş bu 2 kullanıcıyı cevap olarak yazalım.
- Görev Zamanlayıcısı ile
6. 7. ve 8. Sorularının cevaplarını bulmaya çalışacağız bu sorular birbirleri ile bağlantılı sorular örneğin 6. sorunun cevabını bulduğumuzda 7 ve 8. soruların cevaplarınıda bulmuş olacağız.
6. Soruda kötü amaçlı olarak zamanlanmış görevin adını soruyor.
7. Soruda bunun hangi dosya olduğunu soruyor, bu zamanlanmiş görevin hangi dosya olduğunu soruyor.
8. Soruda ise hangi portu dinlemeye aldığını soruyor.
Windows sistemlerde düzenli olarak yapılması istenen işler için görev zamanlayıcısı adlı bir uygulama var Windows'a dahil edilmiş ve kurulumla birlikte gelen bir uygulama bu uygulama sayesinde istenilen bir program günün istenilen bir saatinde çalıştırılabilir ve hedeflenen işlem otomatik olarak gerçekleştirilebilir.
görev zamanlayıcısına girip bir kontrol edelim.
Task Scheduler programını çalıştıralım burdan hemen kütüphaneyi kontrol ediyoruz ve burdaki bir takım işlemlerin düzenli olarak çalıştırıldığını görüyoruz.
Burda sistem temizleme ismi ile bir görev verilmiş ve görevin üstüne çift tıkladığımız zaman
burda Actions kısmında yaptığı işlemi görebiliyoruz öncelikle ismini kontrol edelim
Clean file system 1. soruda bize adını sormuştu cevap olarak yazalım.
7. Soruda bize çalıştırdığı dosyayı soruyordu görsellerde gördüğünüz gibi C:TMPnc.ps1 dosyasını çalıştırıyormuş
8. Soruda da bizden hangi portu çalıştırdığını soruyordu yine aynı görselde gördüğünüz gibi 1348 portunu dinlemeye aldığını burda görüyoruz.
- İlk Sızılan Tarih
9 10 ve 11. Soruları çözmeye çalışacağız.
9. Soruda bize Jenny kullanıcısının en son ne zaman giriş yaptığını soruyor.
10. Soruda ilk sızma işleminin ne zaman gerçekleştirildiğini soruyor.
11. Soruda ise özel yetki ile özel yetki atanmış bir oturumu bize soruyor bununda hangi tarihte gerçekleştiğini soruyor.
İlk olarak Jenny kullanıcısına bakalım en son ne zaman giriş yapmış.
net user Jenny
Last logon Never hiçbir zaman giriş yapmamış olarak gözüküyor hemen kontrol edelim.
10. Sorumuz en son bağlantı ne zaman gerçekleştirildi bunu öğrenebilmemiz için olay görüntüleyecisine bakalım.
Windows Logs kısmından güvenlikle ilgili kayıtlara bakıcağız.
Şimdi en son bağlantımız ne zaman gerçekleştirildi bunu görmek için en aşşağıya indik faka en aşşağıdaki sistemin kuruluş zamanıdır yani burdaki ilk kayıda dikkate almıyoruz o yüzden biz burdaki 2. ayın 13 deki tüm kayıtları askıya aldık ve ondan sonraki kayıda bakıyoruz 03/02/2019 bu kayıdı sorumuzun cevabı olarak yazıp kontrol edelim.
11. Soruda özel ayrıcalıklı oturum açmayla ilgili soru sormuştu burda şöyle bir durum var burda ilk sıradan değilde kaldığımız yerden devam ederek mouse ile yukarı doğru çıkıyoruz. açıklama kısmına dikkat ediyoruz özel ayrıcalıklı bir oturum açma ifadesi arıyacağız.
Ve özel ayrıcalıklı bir giriş tespit ettik
03/02/2019 4:02:58 PM zamanını cevap olarak yazıyoruz.
Gördüğünüz gibi cevabımız yanlış hemen bunun ıd değerine bakıyoruz 4672 özel ayrıcalıklı oturumların ıd si 4672 dir biz burdan filtreleme yapıp diğer oturum saatlerini deneyeceğiz
Id kısmına 4672 yazıp ilerleyelim
Ve özel ayrıcalıklı girişler karşıma geldi 2. ayın 13 ünü dikkate almıyoruz 3. ayın 2 sine bakıyoruz bunların her birini ayrı ayrı kontrol etmek lazım hepsi özel ayrıcalık olarak yapılan giriş
bunlardan sistemin kabul ettiği tarih şu 03/02/2019 4:04:49
- Saldırgan Sunucu IP Adresi
12, 13, 14, 15 ve 16. Soruları cevaplamaya çalışacağız.
12. Soruda bize parolanın alınması için hangi aracın kullanıldığını soruyor hatırlarsanız görev zamanlayıcısını incelerken C dizininde TMP isimli bir klasör görmüştük.
O klasöre hiç bakmamıştık şimdi o klasöre bakalım orda neler var hangi klasorler var bi bakalım.
İlk önce txt dosyalarını inceleyerek başlayalım işe yarar bir bilgi varmı bizim aradığımız windows parolası ne ile elde edilmiş
mim-out.txt dosyasını açtık ve mimikatz programı karşımıza çıktı bu programın ne işe yaradığını hepimiz biliyoruz windows şifrelerini kırmak için kullanıran bir araçtır. Txt nin içinde parolanın hash li ve açık hali bulunmaktadır demekki parola mimikatz programıyla kırılmış.
13. Soruda saldırganın sunucu IP adresini soruyor. Hatırlarsanız kayıt defterinde bilgisayar ilk başlatıldığı zaman bağlanılan bir IP adresi vardı ama o IP adresini kabul etmiyor nedeni ise oda saldırganların IP adresi ama burda farklı bir IP adresi daha istiyor bu durumda kayıt defteri kontrol edilebilir. Hem son soruyu çözüp dns zehirlenmesine bakıcağız hemde 13. soruyu çözeceğiz.
Host dosyasını not defteri ile açalım Dns zehirlenmesi şu şekilde oluyor
Bakın aşşağıda google.com a yönlendiriyor fakat IP adresine dikkatlice bakınız bu ne demek oluyor? yani biz google.com a gittiğimiz zaman bizi orda yazılan IP adresine yönlendiricek.
İşte bu yönlendirdikleri IP adreside saldırganlara ait bir IP adresi olabilir. Örneğin biz browser a google.com a gittiğimiz zaman karşımıza farklı bir web site çıkabilir bu işte dns zehirlenmesi oluyor.
Ve bu IP adresi saldırganlara ait bir sunucu IP adresi oluyor.
En son soruda dns zehirlenmesini soruyordu burayada google.com yazıyoruz
14. Soruda sunucuya bir shell dosyasının upload edildiğini söylüyor bu dosyanın bize uzantısını soruyor.
Burda shell dosyasını görüyoruz fakat bunun bir uzantısı yok gif olarak kaydedilmiş diğer dosyaların uzantılarına bakıyoruz .jsp olarak görünüyor
Ve son olarak saldırganın açmış olduğu portu soruyor eğer bir port açılmışsa güvenlik duvarından bir onay verilmesi gerekiyor bizde şimdi firewall ı çalıştıralım.
giriş kurallarına bakalım giriş, çıkış en üstteki değeri kontrol etmemiz yeterli olucaktır.
TCP 1337 Portunun açıldığını görüceksiniz detaylar için üzerine tıklayıp bakabiliriz.
Burda açık olan portun 1337 olduğunu görüyoruz ve sorumuzu cevaplıyoruz.
