SlideShare una empresa de Scribd logo

Windows İşletim Sistemi Yetki Yükseltme Çalışmaları

BGA Cyber Security
BGA Cyber Security

Sızma Testlerinde Windows İşletim Sistemi Hak Yükseltme Çalışmaları

Tecnología
1 de 22
Sızma Testlerinde Windows İşletim Sistemi Hak Yükseltme Çalışmaları
İçindekiler 1. Giriş.........................................................................................................................................................3 2. Bilgi Toplamada Kullanılan Araçlar......................................................................................................4 3. Yapılandırma Hataları/Eksiklikleri ve Tespiti......................................................................................6 3.1. Güvenli Olmayan Dosya/Dizin İzinleri........................................................................................6 3.2. Güvenli Olmayan Kayıt Defteri Değerleri...................................................................................9 3.3. Güvenli Olmayan Servis İzinleri.................................................................................................11 3.4. Servis Çalıştırılabilir Dosyasının Unquoted Bırakılması...........................................................15 3.5. Getsystem Komutu İle Hak Yükseltmek...................................................................................19 4. Sonuç....................................................................................................................................................21 5. Referanslar...........................................................................................................................................22
1.Giriş SızmatestlerindeWindowsişletimsistemigüvenlikuzmanlarınınkarşısınaoldukçafazlaçıkmaktadır. Windowsişletim sistemiüzerinde sınırlıhakseviyesindehedefsistemdeoturum eldeetmekgenelde kolay olabilir ancak bir sonraki sisteme geçebilmek için bulunduğunuz sistemde en yüksek hak seviyesine çıkıp tam hakimiyet kurmanız gerekmektedir. Ortalama bir yapıda söz konusu tam hakimiyeti sağladıktan sonra yapının büyük çoğunluğu ele geçirmek kolaylaşacaktır. Bunoktada hak yükseltme zafiyetleri çözüm için yardımcıolmaktadır.Hakyükseltmebasitanlamıyla herhangi bir yapılandırma veya geliştirme eksikliğini/hatasını kullanarak bir üst veya en üst hak seviyesine çıkmaktadır diyebiliriz. Yazı içerisinde tanımlamadan da anlaşılacağı üzere hedef sistem üzerinde çalışan servislerin, uygulamaların veya üçüncü parti uygulamaların geliştirilmesi veya yapılandırılması aşamasında ortaya çıkan eksiklikleri/hataları istismar ederek nasıl hak yükseltilir işleyeceğiz. Ancak yazı içerisinde servisin veya uygulamanın geliştirilme aşamasında ortaya çıkan zafiyetlere değil yapılandırma kaynaklı olan zafiyetlere odaklanacağız. Tüm güvenlik yamalarının ve önlemlerin uygulandığı bir işletim sisteminde eksik veya hatalı gerçekleştirilen yapılandırma(lar) işletim sistemini savunmasız bırakabilir ve ele geçirilmesine neden olabilir. Yazı boyunca anlatılan içerik için Windows Server 2012 işletim sistemi üzerinde oluşturulmuş “PwnAble”ismindebirservisvedahaöncezafiyetiduyurulmuşüçüncüpartibiryazılımkullanılmıştır.
2.Bilgi Toplamada Kullanılan Araçlar Hak yükseltme çalışması için hedef sistem üzerinde hedef alınacak uygulamaların veya servislerin yapılandırılmasına yönelik belli başlı sorgulamaların yapılması gerekmektedir. Bu işlemler için kullanılabilecek bazı araçlar aşağıda verilmiştir.  Accesschk o Sistem yöneticileri tarafından kullanılan bu araç ile işletim sistemindeki kullanıcıların veya kullanıcı gruplarının hangi dosyalara, dizinlere, kayıt defteri girdilerine, global nesnelere ve servislere erişimlerinde hangi haklara sahip olduğunu gösterir. o https://technet.microsoft.com/en-us/sysinternals/accesschk.aspx  Icacls o Windows sistemlerde kurulum ile beraber gelen bu araç ile dizin veya dosyaların DACLs bilgilerine erişilebilir ya da değiştirilebilir. o https://technet.microsoft.com/tr-tr/library/cc753525(v=ws.10).aspx  Process Explorer o Windows işletim sisteminde o an çalışan uygulamaları derinlemesine takip edilebilecek, değişiklik yapılabilecek olan uygulamadır. Standart görev yöneticisinin gelişmiş versiyonu olarak tanımlanabilir, gelişmiş EXE ve DLL takibi öne çıkan özelliğidir. o https://technet.microsoft.com/tr-tr/sysinternals/processexplorer  Windows Privesc Check o Açık kaynak kodlu olarak Python dilinde geliştirilen araç ile hedef sistem üzerindeki yapılandırma hatalarından kaynaklanan zafiyetlerin tespiti gerçekleştirilebilir. Bu alandaki en popüler araçlardan bir tanesidir. Araç aynı zamanda bazı üçüncü parti yazılmaların güncelleştirme eksiklerini de tespit edilebilmektedir. o https://github.com/pentestmonkey/windows-privesc-check  PowerUp o Açık kaynak kodlu olarak Powershell ile geliştirilen araç ile hedef sistem üzerindeki yapılandırma hatalarından kaynaklanan zafiyetlerin tespiti gerçekleştirilebilir. o https://github.com/PowerShellEmpire/PowerTools/tree/master/PowerUp
 WPC-PS o Bu alandaki bir başka araç olan WPC-PS, açık kaynak kodlu olarak Powershell ile geliştirilmektedir. Araç ile hedef sistem üzerindeki yapılandırma hatalarından kaynaklanan zafiyetlerin tespiti gerçekleştirilebilir. o https://github.com/silentsignal/wpc-ps
3.Yapılandırma Hataları/Eksiklikleri ve Tespiti Aşağıdaki başlıklarda bir Windows işletim sisteminde olabilecek yapılandırma hataları le ilgili detayları verilmiştir. 3.1. Güvenli Olmayan Dosya/Dizin İzinleri Windows işletim sisteminde her bir servisin, uygulamanın birbirinden bağımsız dizin ve alt dizinleri bulunmaktadır. Bu dizin ve alt dizinlerde servislerin, uygulamaların çalıştırılabilir dosyaları başta olmak üzere birçok dosya bulunur. Bu noktada genel olarak iki farklı yapılandırma zayıflığı ile karşılaşılmaktadır.  Hedef servisin bulunduğu dizinin, alt dizinlerinin veya servis ile ilişkili dosyaların izinlerinin güvenilir olarak belirlenmemesi  Direkt olarak servisin çalıştırılabilir dosyasının izinlerinin güvenilir olarak belirlenmemesi Yukarıda da değinilen “icacls” isimli araç kullanılarak hedef dizin ve dosyaların izinleri hakkında bilgi alınabilir.Örnekolarakaşağıda“PwnAble”servisinindiziniveservisinçalıştırılabilirdosyasınınizinleri söz konusu araç ile sorgulanmıştır. Servisi Dizini İçin Haklar C:> icacls 'C:Program FilesPwnAble' C:Program FilesPwnAble Everyone:(OI)(CI)(F) NT SERVICETrustedInstaller:(I)(F) NT SERVICETrustedInstaller:(I)(CI)(IO)(F) NT AUTHORITYSYSTEM:(I)(F) NT AUTHORITYSYSTEM:(I)(OI)(CI)(IO)(F) BUILTINAdministrators:(I)(F) BUILTINAdministrators:(I)(OI)(CI)(IO)(F) BUILTINUsers:(I)(RX) BUILTINUsers:(I)(OI)(CI)(IO)(GR,GE) CREATOR OWNER:(I)(OI)(CI)(IO)(F) APPLICATION PACKAGE AUTHORITYALL APPLICATION PACKAGES:(I)(RX) APPLICATION PACKAGE AUTHORITYALL APPLICATION PACKAGES:(I)(OI)(CI)(IO)(GR,GE) Successfully processed 1 files; Failed processing 0 files
Servisin Çalıştırılabilir Dosyası İçin Haklar PS C:> icacls 'C:Program FilesPwnAblepwn.exe' C:Program FilesPwnAblepwn.exe BUILTINAdministrators:(F) NT AUTHORITYSYSTEM:(F) S-1-5-5-0-175763:(RX) Everyone:(I)(F) NT AUTHORITYSYSTEM:(I)(F) BUILTINAdministrators:(I)(F) BUILTINUsers:(I)(RX) APPLICATION PACKAGE AUTHORITYALL APPLICATION PACKAGES:(I)(RX) Successfully processed 1 files; Failed processing 0 files Sorgunun çıktısından da anlaşılacağı üzere hedef servisin dizininin ve çalıştırılabilir dosyasının izinleri arasında “Everyone (I)(F)” ibaresi geçmektedir. Bu durum, hedef işletim sistemindeki herhangi bir kullanıcınınservisindiziniveçalıştırılabilirdosyasıüzerindeişlemyapabiliranlamınagelmektedir.Söz konususervisin“NTAUTHORITYSYSTEM”haklarıylaçalıştığınıgözonundabulundurursaksaldırgan hedef servisin bu yapılandırma zafiyetinin kullanarak servisin çalıştığı hak olan “NT AUTHORITYSYSTEM” haklarına çıkabilir. Bu konuda daha önce yayınlanmış bir zafiyet olan “Symantec pcAnywhere - Insecure File Permissions Local Privilege Escalation, CVE-2011-3479” örnek verilebilir. Söz konusu yazılımın kullandığı dizin herhangi bir kullanıcı tarafından müdahale edilebilir durumda bırakılmıştır. Aynı zamanda yazılımın kullandığı diğer çalıştırılabilir dosyalardan bazılarının izinleri de gerekli şekilde ayarlanmamış ve herhangi bir kullanıcı tarafından müdahale edilebilir şekilde bırakılmıştır. Bu durumda hedef sistemde yazılım yüklü ise saldırgan servisin kullandığı çalıştırılabilir dosyalardan herhangi birisine müdahale edip kendi dosyası ile değiştirerek sistemi ele geçirebilir. Symantec yazılımı için duyurulan zafiyette yanlış yapılandırılan dosyalardan biri olan, “WinAw32.exe” üzerinde “Everyone” grubunun “Full Control” izni vardır. Yetkisiz bir kullanıcı söz konusu dosya üzerinde istediği değişikliği yapabilir. Lab ortamında dosyaya Meterpreter eklenmiştir ardından dosya hedefteki temiz dosya ile değiştirilmiştir. Bu noktadan sonra hedef sistemdeki yazılım çalıştığında Meterpreter oturumu elde edilecektir. Zafiyetin istismarı ile ilgili ekran görüntüleri aşağıda verilmiştir.
Şekil 1 - Dosyanın İzinleri veYazılımın Çalıştırılması Şekil 2 - Dosyaya Meterpreter Eklenmesi ve Oturumun EldeEdilmesi
3.2. Güvenli Olmayan Kayıt Defteri Değerleri Windows işletim sisteminde servisler ile ilgili olabilecek veriler kayıt defteri içerisinde “HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices” dizin yolunda tutulur. Aşağıdaki ekrangörüntüsündehedefişletimsistemiüzerindeçalışan“PwnAble”servisineaitkayıtdefterindeki bilgiler görülmektedir. Aşağıdakiekrangörüntüsündehedefservisinkayıtdefteridiziniiçinizinbilgilerigörülmektedir.Ekran görüntüsünde de görüleceği üzere servisin kayıt defteri değerleri üzerinde “Authenticated Users” grubuna dahil kullanıcılar için “Full Control” hakkı tanımlanmıştır.
Bu durum, herhangi bir şekilde işletim sisteminde oturumu olan kullanıcının ilgili kayıt defteri değerleri üzerinde değişiklik yapabilir, anlamına gelmektedir. Örnek olarak “ImagePath” değeri servisin çalıştırılabilir dosyasının dizin yolunu içerir, saldırgan bu kayıt defteri değerini kendi uygulamasının dizin yolu ile değiştirerek servisin haklarında çalışacak bir uygulama elde etmiş olur. Böylece kısıtlı olan hakkını servisin haklarına çıkarmış olacaktır.
3.3. Güvenli Olmayan Servis İzinleri Windowsişletimsistemindedosyalar,servisler yada diğerobjelerDACLsdeğerlerine sahiptir.DACLs bir obje üzerinde bulunan kullanıcıların veya grupların yetki sınırlarını belirler. Örneğin, bir servis üzerinde “Authenticaed Users” grubu okuma iznine sahip olduğu gibi servisi başlatma, servisi durdurma veya ayarlarını değiştirme hakkına sahip olabilir. Bu haklar DACLs kısmında belirlenir. Windows işletim sistemlerinde servis ekleme, ayarlarını değiştirme gibi haklar sadece Administrator haklarına sahip kullanıcılarda bulunur, bazı durumlarda Administrators grubuna dahil olmayan kullanıcılariçindeservislerüzerindeişlemyapmahakkıtanımlanabilir.Budurumdasaldırganservisin ayarlarını değiştirerek hak yükseltebilir. Örnek olarak “halil” kullanıcısı kısıtlı bir kullanıcı olup “NT AUTHORITYSYSTEM” haklarında çalışan “PwnAble” servisini başlatma, durdurma, yapılandırmasını değiştirmek gibi haklara sahiptir. Aşağıdaki ekran görüntüsünde servisin izin durumlarını içeren ekran görüntüleri verilmiştir. Şekil 3 - Servis ÜzerindekiHaklar
Şekil 4 - DACLs Söz konusu servisin DACLs değerlerine accesschk aracı ile bakıldığında da aynı sonuç görülebilir. Komut C: accesschk.exe –quvcw PwnAble Şekil 5 - Servis Bilgileri ve Accessck Kullanımı
Aşağıdaki komutlar kullanılarak sırasıyla servis durdurulmuş, servisin çalıştırılabilir dosyası Meterpreter ile değiştirilmiş ve son olarak servis tekrar başlatılmıştır. Böylece aslında yetkisiz olan “halil” kullanıcısı hedef sistemde yanlış yapılandırılmış servis izinlerini istismar ederek “NT AUTHORITYSYSTEM” haklarında çalışan Meterpreter oturumu elde etmiştir. Komutlar Sc stop PwnAble Sc config binPath= “C:UsershalilDesktopm.exe” Sc start PwnAble Şekil 6 - Kısıtlı Kullanıcı ve Servise Müdahele Yukarıdaki ekran görüntüsünde servisi başlatıldıktan sonra bir hata çıktısı görülmektedir. Windows işletim sistemlerinde bir servis başladığında Service Control Manager ile iletişime geçmesi gerekmektedir. Normalde başlaması için tetiklenen servis, başladığında Service Control Manager’a başlayabilmesi için ne kadar sürenin gerekli olduğunu (time-out period) belirtmesi gerekir. Eğer Service Control Manager servis tarafından bu şekilde bir bildirim alamaz ise belirli bir süre sonra servisin işlemini durdurur. Bu bekleme süresi özel bir değişiklik yapılmadıysa otuz saniyeden daha azdır.Yukarıdakiekrangörüntüsündekihatanınsebebibudur.Buradadikkatedilmesigerekennokta; servis başlatılıyor, servisin çalıştırılabilir dosyası çalışıyor ancak “servis başladı” bildirimi Service Control Manager’a gitmediği için belirli bir süre sonra Service Control Manager servisin işlemini
durduruyor. O yüzden bu gibi durumlarda Meterpreter kullanılacaksa ya manuel olarak ya da otomatik olarak “Migrate” işleminin yapılması yararlı olur. Şekil 7 - Meterpreter Oturumunun Sistem Haklarında Elde Edilmesi
3.4. Servis Çalıştırılabilir Dosyasının Unquoted Bırakılması Windows işletim sisteminde bir servisin dizin yolu içerisinde boşluk varsa ve tırnak işaretleri (“) arasınaalınmamışsaortayaçıkanzafiyettir.Buradaişletimsistemiservisindizinyolunuyorumlamaya çalışıyor ve her bir boşlukta servisin çalıştırılabilir dosyasına erişmeye çalışıyor. Zafiyet Windows işletim sistemlerindeki “CreateProcess” fonksiyonunun içerisindeki “lpApplicationName” parametresinin yapısından kaynaklanmaktadır. Fonksiyon ve parametreleri hakkında daha detaylı bilgi ilgili MSDN sayfasından edinilebilir. (CreateProcess function, https://msdn.microsoft.com/en-us/library/windows/desktop/ms682425(v=vs.85).aspx). Örneğin servisin dizin yolu aşağıda gibi olsun. Servisin Dizin Yolu C:Program FilesPwnAble Servicepwn process.exe İşletim sistemi bu durumda servisin çalıştırılabilir dosyasına erişebilmek için sırasıyla aşağıdaki dizin yollarını deneyecektir.  C:Program.exe  C:Program FilesPwnAble.exe  C:Program FilesPwnAble Servicepwn.exe  C:Program FilesPwnAble Servicepwn process.exe İşletim sistemi eğer ilk denemede bulamaz ise sonrakine onda da bulamaz ise bir sonrakine geçecektir ta ki çalıştırılabilir bir dosyaya erişene kadar. Bu durumda saldırgan eğer aşağıdaki dizinlerden birisine yazma iznine sahip olursa işletim sisteminin beklediği isimde çalıştırılabilir dosya ekleyerek zafiyeti istismar edebilir.  C:  C:Program Files  C:Program FilesPwnAble Service Örneğin, servis başlatıldığında işletim sistemi öncelikle “C:Program.exe” dizin yoluna gidecektir, saldırgan söz konusu dizine “Program.exe” adında kendi dosyasını oluşturabilrse işletim sistemi
direkt olarak saldırganın dosyasını çalıştıracak ve servisin gerçek dizin yolu olan “C:Program FilesPwnAble Service” altındaki “pwn process.exe”’e hiç bakmayacaktır. Bunoktadadikkatedilmesigereken,saldırganınmuhtemeldizinyollarınaişletimsistemininbeklediği isimde dosya oluşturabilecek izinlere sahip olmasıdır. Normalde “C:” gibi kök dizinlere yetkisiz kullanıcılar için yazma izni verilmez. Bu durumda diğer seçenekler değerlendirilmelidir. Aşağıdakiekrangörüntüsündedegörülebileceğiüzere,servisindizininde“Everyone”grubunun“Full Control” yetkisi var. İşletim sistemi servisin gerçek çalıştırılabilir dosyasından hemen önce “pwn.exe”isimlidosyanın olupolmadığınabakacaktır.Söz konusudizineişletimsistemininbeklediği isimde bir dosya oluşturulursa, işletim sistemi oluşturulan dosyayı çalıştıracaktır. Oluşturulan Dosyanın Yolu C:Program FilesPwnAble Servicepwn.exe Şekil 8 - Servisin, Hakların ve Dosyanın Durumu
Şekil 9 - Meterpreter Oturumunun EldeEdilmesi Bu zafiyet Metasploit’in “trusted_service_path” modülü kullanılarak da istismar edilebilir. Modül zafiyet barındıran servisleri tespit edip ardından istismar aşamasına geçmektedir. Bunun için hali hazırda bir adet Meterpreter oturumu gerekmektedir. Modül işletim sisteminin servis için ilk baktığı dizine beklediği isimde dosya oluşturmayı deniyor, eğer yazma işlemini başaramaz ise denemeyi bırakıyor. Bu modülün yapısından kaynaklandığı için alt dizinlere manuel olarak bakılması yararlı olacaktır. Yukarıdaki örnekte “C:” dizini altına yazma izni olmadığı için servisin bulunduğu dizine dosya yüklenmiştir. Zafiyetin servisin çalıştırılabilir dosyasının dizin yolunun tırnak işaretleri arasına alınmadığından kaynaklandığı yukarıda belirtilmişti. Aşağıdaki ekran görüntüsünde servis ile ilgili kayıt defteri durumu verilmiştir.
Şekil 10 - Servis İçin Gerekli Ayarın Yapılması Zafiyetin tespiti için Windows işletim sistemlerinde aşağıdaki komut çalıştırılarak, zafiyet barındıran servislerin listesi elde edilebilir. Komut wmic service get name,displayname,pathname,startmode |findstr /i "auto" |findstr /i /v "c:windows" |findstr /i /v """
3.5. Getsystem Komutu İle Hak Yükseltmek Herhangi bir Windows işletim sisteminde Meterpreter oturumu elde edildikten sonra eğer hedef kullanıcı Local Administrators grubuna dahil ise Meterpreter üzerinde “getsystem” komutu kullanılarak“NTAUTHORITYSYSTEM”haklarınaçıkılabilir.Peki,arkaplandabukomuttamolarakne yapıyor da en yüksek hak seviyesine ulaşıyoruz? Meterpreter’de “getsystem” komutu çalıştırıldığında modül üç farklı yöntemden birisinin başarılı olması durumunda oturumu “NT AUTHORITYSYSTEM” haklarına çıkarmaktadır. Bu yöntemler ve detayları aşağıda verilmiştir. o Service - Named Pipe Impersonation (In Memory/Admin) o Named Pipe Impersonation (Dropper/Admin) o Service - Token Duplication (In Memory/Admin) İlk iki yöntem named pipe impersonation diğer yöntem ise token duplication yöntemi olarak geçmektedir. o Service - Named Pipe Impersonation (In Memory/Admin) o Bu yöntemde Meterpreter hedef sistemde named pipe oluşturur ve “cmd.exe /c echo “some data” >.pipe[random pipe here]” içeren bir servis oluşturarak oluşturduğuservisibaşlatır.ArdındanMeterpreteroluşturduğu“cmd.exe”’yespawn olup oluşturduğu named pipe’a bağlanmaktadır. Böylece Meterpreter named pipeların Impersonation of Clients özelliğini kullanabilecek ve “NT AUTHORITYSYSTEM” haklarına çıkabilecektir. o Named Pipe Impersonation (Dropper/Admin) o Bu yöntem birinci yöntem ile benzerlik göstermektedir. Meterpreter yine hedef sistem üzerinde named pipe oluşturmakta ve token impersonation işlemini gerçekleştirmektedir. Ancak bu yöntemin farklılığı oluşturulan named pipe’a bir istemcinin bağlanması gerekliliğidir. Meterpreter bunun için hedef sisteme DLL yükler ardından “rundll32.exe”’yi bir servis olarak tetikler ve yüklenen DLL’i çalıştırmasını bekler. DLL çalıştırıldıktan sonra oluşturulan named pipe’a bağlanır ve işlem tamamlanır. Bu yöntemin bir tane dezavantajı bulunmaktadır. Meterpreter sisteme DLL yüklediği için bu durum antivirus vb. yazılımlarının dikkatini çekebilir ya da forensic çalışmaları esnasında iz bırakma durumu ortaya çıkabilir.
o Service - Token Duplication (In Memory/Admin) o Bir diğer yöntem olan token duplication yöntemi diğerlerinden biraz farklıdır. Meterpreterdeki bu yöntemin dezavantajı x86 mimarisine ve SeDebugPrivilege’a ihtiyaç duymasıdır. Meterpreter burada sistemdeki tüm çalışan servisleri tarayıp SYSTEM haklarında çalışanları tespit etmekte ve Reflective DLL yöntemini kullanarak çalışan servislerden birisine DLL enjekte etmektedir. Enjekte işlemi başarılı olduktan sonra DLL, SYSTEM tokenını elde etmektedir. Böylece Meterpreter oturumu “NT AUTHORITYSYSTEM” haklarına çıkmış olmaktadır.
4.Sonuç Genelde işletim sistemleri sıkılaştırılırken gözden kaçırılan veya önem verilmeyen yapılandırma eksikleri/hataları tüm güncelleştirmeler geçilmiş, son versiyon yazılımlar kullanılsa dahi işletim sistemini savunmasız bırakmaktadır. Böyle sistemler için yapılandırma eksikliklerini/hatalarını istismar etmek sızma testlerinde en avantajlı saldırı vektörüdür diyebiliriz. Yazı içerisinde bu duruma dikkat çekilmeye çalışılmıştır. Tekrardan hatırlatmakta fayda olduğunu düşündüğüm bir nokta, yazı içerisinde anlatılan zafiyetler işletim sistemi bağımsızdır ve yapılandırma ile ilgilidir. Bu yazı konu ile alakalı ilk versiyon olup bir üst seviye teknikleri içeren yöntemler diğer versiyonda yer alacaktır.
5.Referanslar  Symantec pcAnywhere - Insecure File Permissions Local Privilege Escalation o https://www.exploit-db.com/exploits/18823/  What happens when I type getsystem? o http://blog.cobaltstrike.com/2014/04/02/what-happens-when-i-type-getsystem/  Elevating privileges by exploiting weak folder permissions o http://www.greyhathacker.net/?p=738  CreateProcess function – MSDN o https://msdn.microsoft.com/en- us/library/windows/desktop/ms682425(v=vs.85).aspx  Windows Services – All roads lead to SYSTEM o https://labs.mwrinfosecurity.com/system/assets/760/original/Windows_Services_ -_All_roads_lead_to_SYSTEM.pdf  Windows Privilege Escalation Fundamentals o http://www.fuzzysecurity.com/tutorials/16.html  Encyclopaedia Of Windows Privilege Escalation (Brett Moore) o http://www.youtube.com/watch?v=kMG8IsCohHA  Well, That Escalated Quickly… o http://toshellandback.com/2015/11/24/ms-priv-esc/

Recomendados

Metasploit El Kitabı
Metasploit El KitabıMetasploit El Kitabı
Metasploit El Kitabı
BGA Cyber Security
 
GÜVENLİK SİSTEMLERİNİ ATLATMA
GÜVENLİK SİSTEMLERİNİ ATLATMAGÜVENLİK SİSTEMLERİNİ ATLATMA
GÜVENLİK SİSTEMLERİNİ ATLATMA
BGA Cyber Security
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9
BGA Cyber Security
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6
BGA Cyber Security
 
WEB ve MOBİL SIZMA TESTLERİ
WEB ve MOBİL SIZMA TESTLERİ WEB ve MOBİL SIZMA TESTLERİ
WEB ve MOBİL SIZMA TESTLERİ
BGA Cyber Security
 
Zararlı Yazılım Analizi Eğitimi Lab Kitabı
Zararlı Yazılım Analizi Eğitimi Lab KitabıZararlı Yazılım Analizi Eğitimi Lab Kitabı
Zararlı Yazılım Analizi Eğitimi Lab Kitabı
BGA Cyber Security
 
Caldera İle Saldırı Simülasyonu
Caldera İle Saldırı SimülasyonuCaldera İle Saldırı Simülasyonu
Caldera İle Saldırı Simülasyonu
BGA Cyber Security
 
LLMNR ve NetBIOS Poisoning
LLMNR ve NetBIOS PoisoningLLMNR ve NetBIOS Poisoning
LLMNR ve NetBIOS Poisoning
BGA Cyber Security
 

Recomendados

Metasploit El Kitabı
Metasploit El KitabıMetasploit El Kitabı
Metasploit El Kitabı
BGA Cyber Security
 
GÜVENLİK SİSTEMLERİNİ ATLATMA
GÜVENLİK SİSTEMLERİNİ ATLATMAGÜVENLİK SİSTEMLERİNİ ATLATMA
GÜVENLİK SİSTEMLERİNİ ATLATMA
BGA Cyber Security
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9
BGA Cyber Security
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6
BGA Cyber Security
 
WEB ve MOBİL SIZMA TESTLERİ
WEB ve MOBİL SIZMA TESTLERİ WEB ve MOBİL SIZMA TESTLERİ
WEB ve MOBİL SIZMA TESTLERİ
BGA Cyber Security
 
Zararlı Yazılım Analizi Eğitimi Lab Kitabı
Zararlı Yazılım Analizi Eğitimi Lab KitabıZararlı Yazılım Analizi Eğitimi Lab Kitabı
Zararlı Yazılım Analizi Eğitimi Lab Kitabı
BGA Cyber Security
 
Caldera İle Saldırı Simülasyonu
Caldera İle Saldırı SimülasyonuCaldera İle Saldırı Simülasyonu
Caldera İle Saldırı Simülasyonu
BGA Cyber Security
 
LLMNR ve NetBIOS Poisoning
LLMNR ve NetBIOS PoisoningLLMNR ve NetBIOS Poisoning
LLMNR ve NetBIOS Poisoning
BGA Cyber Security
 
Web uygulama açıklıklarından faydalanarak sistem ele geçirme
Web uygulama açıklıklarından faydalanarak sistem ele geçirmeWeb uygulama açıklıklarından faydalanarak sistem ele geçirme
Web uygulama açıklıklarından faydalanarak sistem ele geçirme
BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Metasploit Framework Eğitimi
Metasploit Framework EğitimiMetasploit Framework Eğitimi
Metasploit Framework Eğitimi
BGA Cyber Security
 
LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ
LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ
LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ
BGA Cyber Security
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 1, 2, 3
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 1, 2, 3Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 1, 2, 3
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 1, 2, 3
BGA Cyber Security
 
Web Servislerine Yönelik Sızma Testleri
Web Servislerine Yönelik Sızma TestleriWeb Servislerine Yönelik Sızma Testleri
Web Servislerine Yönelik Sızma Testleri
BGA Cyber Security
 
BTRisk - Siber Olay Tespit ve Mudahale Egitimi
BTRisk - Siber Olay Tespit ve Mudahale EgitimiBTRisk - Siber Olay Tespit ve Mudahale Egitimi
BTRisk - Siber Olay Tespit ve Mudahale Egitimi
BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 10, 11, 12
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 10, 11, 12Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 10, 11, 12
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 10, 11, 12
BGA Cyber Security
 
Kablosuz Ağlara Yapılan Saldırılar
Kablosuz Ağlara Yapılan SaldırılarKablosuz Ağlara Yapılan Saldırılar
Kablosuz Ağlara Yapılan Saldırılar
BGA Cyber Security
 
İleri Seviye Ağ Güvenliği Lab Kitabı
İleri Seviye Ağ Güvenliği Lab Kitabıİleri Seviye Ağ Güvenliği Lab Kitabı
İleri Seviye Ağ Güvenliği Lab Kitabı
BGA Cyber Security
 
VERİTABANI SIZMA TESTLERİ
VERİTABANI SIZMA TESTLERİVERİTABANI SIZMA TESTLERİ
VERİTABANI SIZMA TESTLERİ
BGA Cyber Security
 
SIZMA TESTLERİNDE BİLGİ TOPLAMA
SIZMA TESTLERİNDE BİLGİ TOPLAMASIZMA TESTLERİNDE BİLGİ TOPLAMA
SIZMA TESTLERİNDE BİLGİ TOPLAMA
BGA Cyber Security
 
BackTrack Linux-101 Eğitimi
BackTrack Linux-101 EğitimiBackTrack Linux-101 Eğitimi
BackTrack Linux-101 Eğitimi
BGA Cyber Security
 
INTERNET VE YEREL AĞ SIZMA TESTLERİ
INTERNET VE YEREL AĞ SIZMA TESTLERİ INTERNET VE YEREL AĞ SIZMA TESTLERİ
INTERNET VE YEREL AĞ SIZMA TESTLERİ
BGA Cyber Security
 
Web ve Mobil Uygulama Güvenlik Testleri Eğitimi Uygulama Kitabı
Web ve Mobil Uygulama Güvenlik Testleri Eğitimi Uygulama KitabıWeb ve Mobil Uygulama Güvenlik Testleri Eğitimi Uygulama Kitabı
Web ve Mobil Uygulama Güvenlik Testleri Eğitimi Uygulama Kitabı
BGA Cyber Security
 
Beyaz Şapkalı Hacker başlangıç noktası eğitimi
Beyaz Şapkalı Hacker başlangıç noktası eğitimiBeyaz Şapkalı Hacker başlangıç noktası eğitimi
Beyaz Şapkalı Hacker başlangıç noktası eğitimi
Kurtuluş Karasu
 
Metasploit Framework - Giris Seviyesi Guvenlik Denetim Rehberi
Metasploit Framework - Giris Seviyesi Guvenlik Denetim RehberiMetasploit Framework - Giris Seviyesi Guvenlik Denetim Rehberi
Metasploit Framework - Giris Seviyesi Guvenlik Denetim Rehberi
Fatih Ozavci
 
Hacking'in Mavi Tarafı -1
Hacking'in Mavi Tarafı -1Hacking'in Mavi Tarafı -1
Hacking'in Mavi Tarafı -1
Turkhackteam Blue Team
 
PAROLA KIRMA SALDIRILARI
PAROLA KIRMA SALDIRILARIPAROLA KIRMA SALDIRILARI
PAROLA KIRMA SALDIRILARI
BGA Cyber Security
 
Beyaz Şapkalı Hacker (CEH) Lab Kitabı
Beyaz Şapkalı Hacker (CEH) Lab KitabıBeyaz Şapkalı Hacker (CEH) Lab Kitabı
Beyaz Şapkalı Hacker (CEH) Lab Kitabı
BGA Cyber Security
 
Zararlı Yazılım Analizi ve Tespitinde YARA Kullanımı
Zararlı Yazılım Analizi ve Tespitinde YARA KullanımıZararlı Yazılım Analizi ve Tespitinde YARA Kullanımı
Zararlı Yazılım Analizi ve Tespitinde YARA Kullanımı
BGA Cyber Security
 
Web Uygulama Güven(siz)liği
Web Uygulama Güven(siz)liğiWeb Uygulama Güven(siz)liği
Web Uygulama Güven(siz)liği
BGA Cyber Security
 
Web Uygulama Pentest Eğitimi
Web Uygulama Pentest EğitimiWeb Uygulama Pentest Eğitimi
Web Uygulama Pentest Eğitimi
BGA Cyber Security
 

Más contenido relacionado

La actualidad más candente

Metasploit Framework - Giris Seviyesi Guvenlik Denetim Rehberi
Metasploit Framework - Giris Seviyesi Guvenlik Denetim RehberiMetasploit Framework - Giris Seviyesi Guvenlik Denetim Rehberi
Metasploit Framework - Giris Seviyesi Guvenlik Denetim Rehberi
Fatih Ozavci
 
Hacking'in Mavi Tarafı -1
Hacking'in Mavi Tarafı -1Hacking'in Mavi Tarafı -1
Hacking'in Mavi Tarafı -1
Turkhackteam Blue Team
 

La actualidad más candente (20)

Web uygulama açıklıklarından faydalanarak sistem ele geçirme
Web uygulama açıklıklarından faydalanarak sistem ele geçirmeWeb uygulama açıklıklarından faydalanarak sistem ele geçirme
Web uygulama açıklıklarından faydalanarak sistem ele geçirme
 
Metasploit Framework Eğitimi
Metasploit Framework EğitimiMetasploit Framework Eğitimi
Metasploit Framework Eğitimi
 
LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ
LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ
LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 1, 2, 3
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 1, 2, 3Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 1, 2, 3
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 1, 2, 3
 
Web Servislerine Yönelik Sızma Testleri
Web Servislerine Yönelik Sızma TestleriWeb Servislerine Yönelik Sızma Testleri
Web Servislerine Yönelik Sızma Testleri
 
BTRisk - Siber Olay Tespit ve Mudahale Egitimi
BTRisk - Siber Olay Tespit ve Mudahale EgitimiBTRisk - Siber Olay Tespit ve Mudahale Egitimi
BTRisk - Siber Olay Tespit ve Mudahale Egitimi
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 10, 11, 12
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 10, 11, 12Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 10, 11, 12
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 10, 11, 12
 
Kablosuz Ağlara Yapılan Saldırılar
Kablosuz Ağlara Yapılan SaldırılarKablosuz Ağlara Yapılan Saldırılar
Kablosuz Ağlara Yapılan Saldırılar
 
İleri Seviye Ağ Güvenliği Lab Kitabı
İleri Seviye Ağ Güvenliği Lab Kitabıİleri Seviye Ağ Güvenliği Lab Kitabı
İleri Seviye Ağ Güvenliği Lab Kitabı
 
VERİTABANI SIZMA TESTLERİ
VERİTABANI SIZMA TESTLERİVERİTABANI SIZMA TESTLERİ
VERİTABANI SIZMA TESTLERİ
 
SIZMA TESTLERİNDE BİLGİ TOPLAMA
SIZMA TESTLERİNDE BİLGİ TOPLAMASIZMA TESTLERİNDE BİLGİ TOPLAMA
SIZMA TESTLERİNDE BİLGİ TOPLAMA
 
BackTrack Linux-101 Eğitimi
BackTrack Linux-101 EğitimiBackTrack Linux-101 Eğitimi
BackTrack Linux-101 Eğitimi
 
INTERNET VE YEREL AĞ SIZMA TESTLERİ
INTERNET VE YEREL AĞ SIZMA TESTLERİ INTERNET VE YEREL AĞ SIZMA TESTLERİ
INTERNET VE YEREL AĞ SIZMA TESTLERİ
 
Web ve Mobil Uygulama Güvenlik Testleri Eğitimi Uygulama Kitabı
Web ve Mobil Uygulama Güvenlik Testleri Eğitimi Uygulama KitabıWeb ve Mobil Uygulama Güvenlik Testleri Eğitimi Uygulama Kitabı
Web ve Mobil Uygulama Güvenlik Testleri Eğitimi Uygulama Kitabı
 
Beyaz Şapkalı Hacker başlangıç noktası eğitimi
Beyaz Şapkalı Hacker başlangıç noktası eğitimiBeyaz Şapkalı Hacker başlangıç noktası eğitimi
Beyaz Şapkalı Hacker başlangıç noktası eğitimi
 
Metasploit Framework - Giris Seviyesi Guvenlik Denetim Rehberi
Metasploit Framework - Giris Seviyesi Guvenlik Denetim RehberiMetasploit Framework - Giris Seviyesi Guvenlik Denetim Rehberi
Metasploit Framework - Giris Seviyesi Guvenlik Denetim Rehberi
 
Hacking'in Mavi Tarafı -1
Hacking'in Mavi Tarafı -1Hacking'in Mavi Tarafı -1
Hacking'in Mavi Tarafı -1
 
PAROLA KIRMA SALDIRILARI
PAROLA KIRMA SALDIRILARIPAROLA KIRMA SALDIRILARI
PAROLA KIRMA SALDIRILARI
 
Beyaz Şapkalı Hacker (CEH) Lab Kitabı
Beyaz Şapkalı Hacker (CEH) Lab KitabıBeyaz Şapkalı Hacker (CEH) Lab Kitabı
Beyaz Şapkalı Hacker (CEH) Lab Kitabı
 
Zararlı Yazılım Analizi ve Tespitinde YARA Kullanımı
Zararlı Yazılım Analizi ve Tespitinde YARA KullanımıZararlı Yazılım Analizi ve Tespitinde YARA Kullanımı
Zararlı Yazılım Analizi ve Tespitinde YARA Kullanımı
 

Destacado

SynFlood DDOS Saldırıları ve Korunma Yolları
SynFlood DDOS Saldırıları ve Korunma YollarıSynFlood DDOS Saldırıları ve Korunma Yolları
SynFlood DDOS Saldırıları ve Korunma Yolları
BGA Cyber Security
 
Penetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
Penetrasyon Testlerinde Açık Kod Yazılımların KullanımıPenetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
Penetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
BGA Cyber Security
 
Adli Bilişim Açısından E-posta Sistemi
Adli Bilişim Açısından E-posta SistemiAdli Bilişim Açısından E-posta Sistemi
Adli Bilişim Açısından E-posta Sistemi
BGA Cyber Security
 
Derinlemesine Paket İnceleme (Deep Packet Inspection)
Derinlemesine Paket İnceleme (Deep Packet Inspection)Derinlemesine Paket İnceleme (Deep Packet Inspection)
Derinlemesine Paket İnceleme (Deep Packet Inspection)
BGA Cyber Security
 
DoS ve DDoS Saldırıları ve Korunma Yöntemleri
DoS ve DDoS Saldırıları ve Korunma YöntemleriDoS ve DDoS Saldırıları ve Korunma Yöntemleri
DoS ve DDoS Saldırıları ve Korunma Yöntemleri
BGA Cyber Security
 
DOS, DDOS Atakları ve Korunma Yöntemleri
DOS, DDOS Atakları ve Korunma YöntemleriDOS, DDOS Atakları ve Korunma Yöntemleri
DOS, DDOS Atakları ve Korunma Yöntemleri
BGA Cyber Security
 
Adli Bilişim Açısından DoS ve DDoS Saldırıları ve Korunma Yöntemleri
Adli Bilişim Açısından DoS ve DDoS Saldırıları ve Korunma YöntemleriAdli Bilişim Açısından DoS ve DDoS Saldırıları ve Korunma Yöntemleri
Adli Bilişim Açısından DoS ve DDoS Saldırıları ve Korunma Yöntemleri
BGA Cyber Security
 

Destacado (20)

Web Uygulama Güven(siz)liği
Web Uygulama Güven(siz)liğiWeb Uygulama Güven(siz)liği
Web Uygulama Güven(siz)liği
 
Web Uygulama Pentest Eğitimi
Web Uygulama Pentest EğitimiWeb Uygulama Pentest Eğitimi
Web Uygulama Pentest Eğitimi
 
SynFlood DDOS Saldırıları ve Korunma Yolları
SynFlood DDOS Saldırıları ve Korunma YollarıSynFlood DDOS Saldırıları ve Korunma Yolları
SynFlood DDOS Saldırıları ve Korunma Yolları
 
Penetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
Penetrasyon Testlerinde Açık Kod Yazılımların KullanımıPenetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
Penetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
 
Adli Bilişim Açısından E-posta Sistemi
Adli Bilişim Açısından E-posta SistemiAdli Bilişim Açısından E-posta Sistemi
Adli Bilişim Açısından E-posta Sistemi
 
Derinlemesine Paket İnceleme (Deep Packet Inspection)
Derinlemesine Paket İnceleme (Deep Packet Inspection)Derinlemesine Paket İnceleme (Deep Packet Inspection)
Derinlemesine Paket İnceleme (Deep Packet Inspection)
 
Pfsense Firewall ve Router Eğitimi
Pfsense Firewall ve Router EğitimiPfsense Firewall ve Router Eğitimi
Pfsense Firewall ve Router Eğitimi
 
Kablosuz Ağlarda Güvenlik
Kablosuz Ağlarda GüvenlikKablosuz Ağlarda Güvenlik
Kablosuz Ağlarda Güvenlik
 
DoS ve DDoS Saldırıları ve Korunma Yöntemleri
DoS ve DDoS Saldırıları ve Korunma YöntemleriDoS ve DDoS Saldırıları ve Korunma Yöntemleri
DoS ve DDoS Saldırıları ve Korunma Yöntemleri
 
Temel Kavramlar, DoS/DDoS Saldırıları ve Çeşitleri
Temel Kavramlar, DoS/DDoS Saldırıları ve ÇeşitleriTemel Kavramlar, DoS/DDoS Saldırıları ve Çeşitleri
Temel Kavramlar, DoS/DDoS Saldırıları ve Çeşitleri
 
10 Adımda Sızma Testleri
10 Adımda Sızma Testleri10 Adımda Sızma Testleri
10 Adımda Sızma Testleri
 
DDoS Saldırıları ve Korunma Yöntemleri ile E-posta ve ATM Güvenliği
DDoS Saldırıları ve Korunma Yöntemleri ile E-posta ve ATM GüvenliğiDDoS Saldırıları ve Korunma Yöntemleri ile E-posta ve ATM Güvenliği
DDoS Saldırıları ve Korunma Yöntemleri ile E-posta ve ATM Güvenliği
 
Sızma Testine Giriş - Fuat Ulugay
Sızma Testine Giriş - Fuat UlugaySızma Testine Giriş - Fuat Ulugay
Sızma Testine Giriş - Fuat Ulugay
 
Bilgi Güvenliğinde Sızma Testleri
Bilgi Güvenliğinde Sızma TestleriBilgi Güvenliğinde Sızma Testleri
Bilgi Güvenliğinde Sızma Testleri
 
DOS, DDOS Atakları ve Korunma Yöntemleri
DOS, DDOS Atakları ve Korunma YöntemleriDOS, DDOS Atakları ve Korunma Yöntemleri
DOS, DDOS Atakları ve Korunma Yöntemleri
 
Adli Bilişim Açısından DoS ve DDoS Saldırıları ve Korunma Yöntemleri
Adli Bilişim Açısından DoS ve DDoS Saldırıları ve Korunma YöntemleriAdli Bilişim Açısından DoS ve DDoS Saldırıları ve Korunma Yöntemleri
Adli Bilişim Açısından DoS ve DDoS Saldırıları ve Korunma Yöntemleri
 
Sizma testine giris - Fuat Ulugay
Sizma testine giris - Fuat UlugaySizma testine giris - Fuat Ulugay
Sizma testine giris - Fuat Ulugay
 
Sosyal Medyada Anonim Hesaplar Nasıl Tespit Edilir? - NETSEC
Sosyal Medyada Anonim Hesaplar Nasıl Tespit Edilir? - NETSECSosyal Medyada Anonim Hesaplar Nasıl Tespit Edilir? - NETSEC
Sosyal Medyada Anonim Hesaplar Nasıl Tespit Edilir? - NETSEC
 
Gerçek Dünyadan Siber Saldırı Örnekleri
Gerçek Dünyadan Siber Saldırı Örnekleri Gerçek Dünyadan Siber Saldırı Örnekleri
Gerçek Dünyadan Siber Saldırı Örnekleri
 
BGA Eğitim Sunum
BGA Eğitim SunumBGA Eğitim Sunum
BGA Eğitim Sunum
 

Similar a Windows İşletim Sistemi Yetki Yükseltme Çalışmaları

Hacking'in Mavi Tarafı -2
Hacking'in Mavi Tarafı -2Hacking'in Mavi Tarafı -2
Hacking'in Mavi Tarafı -2
Turkhackteam Blue Team
 
Işletim sistemi kurulumu
Işletim sistemi kurulumuIşletim sistemi kurulumu
Işletim sistemi kurulumu
Erol Dizdar
 
W3af ile Web Uygulama Güvenlik Testleri – II
W3af ile Web Uygulama Güvenlik Testleri – IIW3af ile Web Uygulama Güvenlik Testleri – II
W3af ile Web Uygulama Güvenlik Testleri – II
BGA Cyber Security
 
Yazilim mi̇mari̇leri̇(aoy)
Yazilim mi̇mari̇leri̇(aoy)Yazilim mi̇mari̇leri̇(aoy)
Yazilim mi̇mari̇leri̇(aoy)
Ahmet Yanik
 
Web Uygulamalarında Kaynak Kod Analizi - 1
Web Uygulamalarında Kaynak Kod Analizi - 1Web Uygulamalarında Kaynak Kod Analizi - 1
Web Uygulamalarında Kaynak Kod Analizi - 1
Mehmet Ince
 
İşletim Sistemi Gelişmiş Özellikler
İşletim Sistemi Gelişmiş Özelliklerİşletim Sistemi Gelişmiş Özellikler
İşletim Sistemi Gelişmiş Özellikler
BttBLog
 
Işletim sistemi gelişmiş özellikleri
Işletim sistemi gelişmiş özellikleriIşletim sistemi gelişmiş özellikleri
Işletim sistemi gelişmiş özellikleri
Erol Dizdar
 
Tekvizyon bitdefender-gravityzone bulut-panel-yapılandırma
Tekvizyon bitdefender-gravityzone bulut-panel-yapılandırmaTekvizyon bitdefender-gravityzone bulut-panel-yapılandırma
Tekvizyon bitdefender-gravityzone bulut-panel-yapılandırma
Tekvizyon Pc Teknoloji Hizmetleri
 

Similar a Windows İşletim Sistemi Yetki Yükseltme Çalışmaları (20)

45965 php-source-code-analysis
45965 php-source-code-analysis45965 php-source-code-analysis
45965 php-source-code-analysis
 
Açık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma son
Açık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma sonAçık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma son
Açık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma son
 
Ornek istemci degerlendirme_raporu
Ornek istemci degerlendirme_raporuOrnek istemci degerlendirme_raporu
Ornek istemci degerlendirme_raporu
 
Mart
MartMart
Mart
 
Hacking'in Mavi Tarafı -2
Hacking'in Mavi Tarafı -2Hacking'in Mavi Tarafı -2
Hacking'in Mavi Tarafı -2
 
Işletim sistemi kurulumu
Işletim sistemi kurulumuIşletim sistemi kurulumu
Işletim sistemi kurulumu
 
Nurdan Sarıkaya
Nurdan Sarıkaya Nurdan Sarıkaya
Nurdan Sarıkaya
 
W3af ile Web Uygulama Güvenlik Testleri – II
W3af ile Web Uygulama Güvenlik Testleri – IIW3af ile Web Uygulama Güvenlik Testleri – II
W3af ile Web Uygulama Güvenlik Testleri – II
 
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 1
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 1BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 1
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 1
 
Bilgi sis..
Bilgi sis..Bilgi sis..
Bilgi sis..
 
Yazilim mi̇mari̇leri̇(aoy)
Yazilim mi̇mari̇leri̇(aoy)Yazilim mi̇mari̇leri̇(aoy)
Yazilim mi̇mari̇leri̇(aoy)
 
Web Uygulamalarında Kaynak Kod Analizi - 1
Web Uygulamalarında Kaynak Kod Analizi - 1Web Uygulamalarında Kaynak Kod Analizi - 1
Web Uygulamalarında Kaynak Kod Analizi - 1
 
İşletim Sistemi Gelişmiş Özellikler
İşletim Sistemi Gelişmiş Özelliklerİşletim Sistemi Gelişmiş Özellikler
İşletim Sistemi Gelişmiş Özellikler
 
Işletim sistemi gelişmiş özellikleri
Işletim sistemi gelişmiş özellikleriIşletim sistemi gelişmiş özellikleri
Işletim sistemi gelişmiş özellikleri
 
Mobil Uygulama Güvenliği (Mobile Security)
Mobil Uygulama Güvenliği (Mobile Security)Mobil Uygulama Güvenliği (Mobile Security)
Mobil Uygulama Güvenliği (Mobile Security)
 
Akıllı Otopark Sistemi
Akıllı Otopark SistemiAkıllı Otopark Sistemi
Akıllı Otopark Sistemi
 
Bitdefender gravityzone yapılandırma_tekvizyon
Bitdefender gravityzone yapılandırma_tekvizyonBitdefender gravityzone yapılandırma_tekvizyon
Bitdefender gravityzone yapılandırma_tekvizyon
 
Tekvizyon bitdefender-gravityzone bulut-panel-yapılandırma
Tekvizyon bitdefender-gravityzone bulut-panel-yapılandırmaTekvizyon bitdefender-gravityzone bulut-panel-yapılandırma
Tekvizyon bitdefender-gravityzone bulut-panel-yapılandırma
 
Securiskop
SecuriskopSecuriskop
Securiskop
 
BTT Modul 14 Isletim Sistemleri Gelismis Ozellikler Sunumu
BTT Modul 14 Isletim Sistemleri Gelismis Ozellikler SunumuBTT Modul 14 Isletim Sistemleri Gelismis Ozellikler Sunumu
BTT Modul 14 Isletim Sistemleri Gelismis Ozellikler Sunumu
 

Más de BGA Cyber Security

Aktif Dizin (Active Directory) Güvenlik Testleri - I: Bilgi Toplama
Aktif Dizin (Active Directory) Güvenlik Testleri - I: Bilgi ToplamaAktif Dizin (Active Directory) Güvenlik Testleri - I: Bilgi Toplama
Aktif Dizin (Active Directory) Güvenlik Testleri - I: Bilgi Toplama
BGA Cyber Security
 

Más de BGA Cyber Security (20)

WEBSOCKET Protokolünün Derinlemesine İncelenmesi
WEBSOCKET Protokolünün Derinlemesine İncelenmesiWEBSOCKET Protokolünün Derinlemesine İncelenmesi
WEBSOCKET Protokolünün Derinlemesine İncelenmesi
 
Tatil Öncesi Güvenlik Kontrol Listesi.pdf
Tatil Öncesi Güvenlik Kontrol Listesi.pdfTatil Öncesi Güvenlik Kontrol Listesi.pdf
Tatil Öncesi Güvenlik Kontrol Listesi.pdf
 
Ücretsiz Bilgi Güvenliği Farkındalık Eğitimi
Ücretsiz Bilgi Güvenliği Farkındalık EğitimiÜcretsiz Bilgi Güvenliği Farkındalık Eğitimi
Ücretsiz Bilgi Güvenliği Farkındalık Eğitimi
 
3. parti firma risklerinden nasıl korunulur?
3. parti firma risklerinden nasıl korunulur?3. parti firma risklerinden nasıl korunulur?
3. parti firma risklerinden nasıl korunulur?
 
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware SaldırılarıBir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
 
Webinar: Popüler black marketler
Webinar: Popüler black marketlerWebinar: Popüler black marketler
Webinar: Popüler black marketler
 
Webinar: SOC Ekipleri için MITRE ATT&CK Kullanım Senaryoları
Webinar: SOC Ekipleri için MITRE ATT&CK Kullanım SenaryolarıWebinar: SOC Ekipleri için MITRE ATT&CK Kullanım Senaryoları
Webinar: SOC Ekipleri için MITRE ATT&CK Kullanım Senaryoları
 
Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020
Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020
Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020
 
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm Önerileri
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm ÖnerileriDNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm Önerileri
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm Önerileri
 
Webinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
Webinar: Siber Güvenlikte Olgunluk Seviyesini ArttırmakWebinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
Webinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
 
Open Source Soc Araçları Eğitimi 2020-II
Open Source Soc Araçları Eğitimi 2020-IIOpen Source Soc Araçları Eğitimi 2020-II
Open Source Soc Araçları Eğitimi 2020-II
 
Webinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner Güvenliği
Webinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner GüvenliğiWebinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner Güvenliği
Webinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner Güvenliği
 
Hacklenmiş Windows Sistem Analizi
Hacklenmiş Windows Sistem AnaliziHacklenmiş Windows Sistem Analizi
Hacklenmiş Windows Sistem Analizi
 
Open Source SOC Kurulumu
Open Source SOC KurulumuOpen Source SOC Kurulumu
Open Source SOC Kurulumu
 
RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİ
RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİRAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİ
RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİ
 
Siber Fidye 2020 Raporu
Siber Fidye 2020 RaporuSiber Fidye 2020 Raporu
Siber Fidye 2020 Raporu
 
BGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing Raporu
BGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing RaporuBGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing Raporu
BGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing Raporu
 
SOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu Çözümler
SOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu ÇözümlerSOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu Çözümler
SOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu Çözümler
 
Veri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of Secrets
Veri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of SecretsVeri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of Secrets
Veri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of Secrets
 
Aktif Dizin (Active Directory) Güvenlik Testleri - I: Bilgi Toplama
Aktif Dizin (Active Directory) Güvenlik Testleri - I: Bilgi ToplamaAktif Dizin (Active Directory) Güvenlik Testleri - I: Bilgi Toplama
Aktif Dizin (Active Directory) Güvenlik Testleri - I: Bilgi Toplama
 

Windows İşletim Sistemi Yetki Yükseltme Çalışmaları

  • 1. Sızma Testlerinde Windows İşletim Sistemi Hak Yükseltme Çalışmaları
  • 2. İçindekiler 1. Giriş.........................................................................................................................................................3 2. Bilgi Toplamada Kullanılan Araçlar......................................................................................................4 3. Yapılandırma Hataları/Eksiklikleri ve Tespiti......................................................................................6 3.1. Güvenli Olmayan Dosya/Dizin İzinleri........................................................................................6 3.2. Güvenli Olmayan Kayıt Defteri Değerleri...................................................................................9 3.3. Güvenli Olmayan Servis İzinleri.................................................................................................11 3.4. Servis Çalıştırılabilir Dosyasının Unquoted Bırakılması...........................................................15 3.5. Getsystem Komutu İle Hak Yükseltmek...................................................................................19 4. Sonuç....................................................................................................................................................21 5. Referanslar...........................................................................................................................................22
  • 3. 1.Giriş SızmatestlerindeWindowsişletimsistemigüvenlikuzmanlarınınkarşısınaoldukçafazlaçıkmaktadır. Windowsişletim sistemiüzerinde sınırlıhakseviyesindehedefsistemdeoturum eldeetmekgenelde kolay olabilir ancak bir sonraki sisteme geçebilmek için bulunduğunuz sistemde en yüksek hak seviyesine çıkıp tam hakimiyet kurmanız gerekmektedir. Ortalama bir yapıda söz konusu tam hakimiyeti sağladıktan sonra yapının büyük çoğunluğu ele geçirmek kolaylaşacaktır. Bunoktada hak yükseltme zafiyetleri çözüm için yardımcıolmaktadır.Hakyükseltmebasitanlamıyla herhangi bir yapılandırma veya geliştirme eksikliğini/hatasını kullanarak bir üst veya en üst hak seviyesine çıkmaktadır diyebiliriz. Yazı içerisinde tanımlamadan da anlaşılacağı üzere hedef sistem üzerinde çalışan servislerin, uygulamaların veya üçüncü parti uygulamaların geliştirilmesi veya yapılandırılması aşamasında ortaya çıkan eksiklikleri/hataları istismar ederek nasıl hak yükseltilir işleyeceğiz. Ancak yazı içerisinde servisin veya uygulamanın geliştirilme aşamasında ortaya çıkan zafiyetlere değil yapılandırma kaynaklı olan zafiyetlere odaklanacağız. Tüm güvenlik yamalarının ve önlemlerin uygulandığı bir işletim sisteminde eksik veya hatalı gerçekleştirilen yapılandırma(lar) işletim sistemini savunmasız bırakabilir ve ele geçirilmesine neden olabilir. Yazı boyunca anlatılan içerik için Windows Server 2012 işletim sistemi üzerinde oluşturulmuş “PwnAble”ismindebirservisvedahaöncezafiyetiduyurulmuşüçüncüpartibiryazılımkullanılmıştır.
  • 4. 2.Bilgi Toplamada Kullanılan Araçlar Hak yükseltme çalışması için hedef sistem üzerinde hedef alınacak uygulamaların veya servislerin yapılandırılmasına yönelik belli başlı sorgulamaların yapılması gerekmektedir. Bu işlemler için kullanılabilecek bazı araçlar aşağıda verilmiştir.  Accesschk o Sistem yöneticileri tarafından kullanılan bu araç ile işletim sistemindeki kullanıcıların veya kullanıcı gruplarının hangi dosyalara, dizinlere, kayıt defteri girdilerine, global nesnelere ve servislere erişimlerinde hangi haklara sahip olduğunu gösterir. o https://technet.microsoft.com/en-us/sysinternals/accesschk.aspx  Icacls o Windows sistemlerde kurulum ile beraber gelen bu araç ile dizin veya dosyaların DACLs bilgilerine erişilebilir ya da değiştirilebilir. o https://technet.microsoft.com/tr-tr/library/cc753525(v=ws.10).aspx  Process Explorer o Windows işletim sisteminde o an çalışan uygulamaları derinlemesine takip edilebilecek, değişiklik yapılabilecek olan uygulamadır. Standart görev yöneticisinin gelişmiş versiyonu olarak tanımlanabilir, gelişmiş EXE ve DLL takibi öne çıkan özelliğidir. o https://technet.microsoft.com/tr-tr/sysinternals/processexplorer  Windows Privesc Check o Açık kaynak kodlu olarak Python dilinde geliştirilen araç ile hedef sistem üzerindeki yapılandırma hatalarından kaynaklanan zafiyetlerin tespiti gerçekleştirilebilir. Bu alandaki en popüler araçlardan bir tanesidir. Araç aynı zamanda bazı üçüncü parti yazılmaların güncelleştirme eksiklerini de tespit edilebilmektedir. o https://github.com/pentestmonkey/windows-privesc-check  PowerUp o Açık kaynak kodlu olarak Powershell ile geliştirilen araç ile hedef sistem üzerindeki yapılandırma hatalarından kaynaklanan zafiyetlerin tespiti gerçekleştirilebilir. o https://github.com/PowerShellEmpire/PowerTools/tree/master/PowerUp
  • 5.  WPC-PS o Bu alandaki bir başka araç olan WPC-PS, açık kaynak kodlu olarak Powershell ile geliştirilmektedir. Araç ile hedef sistem üzerindeki yapılandırma hatalarından kaynaklanan zafiyetlerin tespiti gerçekleştirilebilir. o https://github.com/silentsignal/wpc-ps
  • 6. 3.Yapılandırma Hataları/Eksiklikleri ve Tespiti Aşağıdaki başlıklarda bir Windows işletim sisteminde olabilecek yapılandırma hataları le ilgili detayları verilmiştir. 3.1. Güvenli Olmayan Dosya/Dizin İzinleri Windows işletim sisteminde her bir servisin, uygulamanın birbirinden bağımsız dizin ve alt dizinleri bulunmaktadır. Bu dizin ve alt dizinlerde servislerin, uygulamaların çalıştırılabilir dosyaları başta olmak üzere birçok dosya bulunur. Bu noktada genel olarak iki farklı yapılandırma zayıflığı ile karşılaşılmaktadır.  Hedef servisin bulunduğu dizinin, alt dizinlerinin veya servis ile ilişkili dosyaların izinlerinin güvenilir olarak belirlenmemesi  Direkt olarak servisin çalıştırılabilir dosyasının izinlerinin güvenilir olarak belirlenmemesi Yukarıda da değinilen “icacls” isimli araç kullanılarak hedef dizin ve dosyaların izinleri hakkında bilgi alınabilir.Örnekolarakaşağıda“PwnAble”servisinindiziniveservisinçalıştırılabilirdosyasınınizinleri söz konusu araç ile sorgulanmıştır. Servisi Dizini İçin Haklar C:> icacls 'C:Program FilesPwnAble' C:Program FilesPwnAble Everyone:(OI)(CI)(F) NT SERVICETrustedInstaller:(I)(F) NT SERVICETrustedInstaller:(I)(CI)(IO)(F) NT AUTHORITYSYSTEM:(I)(F) NT AUTHORITYSYSTEM:(I)(OI)(CI)(IO)(F) BUILTINAdministrators:(I)(F) BUILTINAdministrators:(I)(OI)(CI)(IO)(F) BUILTINUsers:(I)(RX) BUILTINUsers:(I)(OI)(CI)(IO)(GR,GE) CREATOR OWNER:(I)(OI)(CI)(IO)(F) APPLICATION PACKAGE AUTHORITYALL APPLICATION PACKAGES:(I)(RX) APPLICATION PACKAGE AUTHORITYALL APPLICATION PACKAGES:(I)(OI)(CI)(IO)(GR,GE) Successfully processed 1 files; Failed processing 0 files
  • 7. Servisin Çalıştırılabilir Dosyası İçin Haklar PS C:> icacls 'C:Program FilesPwnAblepwn.exe' C:Program FilesPwnAblepwn.exe BUILTINAdministrators:(F) NT AUTHORITYSYSTEM:(F) S-1-5-5-0-175763:(RX) Everyone:(I)(F) NT AUTHORITYSYSTEM:(I)(F) BUILTINAdministrators:(I)(F) BUILTINUsers:(I)(RX) APPLICATION PACKAGE AUTHORITYALL APPLICATION PACKAGES:(I)(RX) Successfully processed 1 files; Failed processing 0 files Sorgunun çıktısından da anlaşılacağı üzere hedef servisin dizininin ve çalıştırılabilir dosyasının izinleri arasında “Everyone (I)(F)” ibaresi geçmektedir. Bu durum, hedef işletim sistemindeki herhangi bir kullanıcınınservisindiziniveçalıştırılabilirdosyasıüzerindeişlemyapabiliranlamınagelmektedir.Söz konususervisin“NTAUTHORITYSYSTEM”haklarıylaçalıştığınıgözonundabulundurursaksaldırgan hedef servisin bu yapılandırma zafiyetinin kullanarak servisin çalıştığı hak olan “NT AUTHORITYSYSTEM” haklarına çıkabilir. Bu konuda daha önce yayınlanmış bir zafiyet olan “Symantec pcAnywhere - Insecure File Permissions Local Privilege Escalation, CVE-2011-3479” örnek verilebilir. Söz konusu yazılımın kullandığı dizin herhangi bir kullanıcı tarafından müdahale edilebilir durumda bırakılmıştır. Aynı zamanda yazılımın kullandığı diğer çalıştırılabilir dosyalardan bazılarının izinleri de gerekli şekilde ayarlanmamış ve herhangi bir kullanıcı tarafından müdahale edilebilir şekilde bırakılmıştır. Bu durumda hedef sistemde yazılım yüklü ise saldırgan servisin kullandığı çalıştırılabilir dosyalardan herhangi birisine müdahale edip kendi dosyası ile değiştirerek sistemi ele geçirebilir. Symantec yazılımı için duyurulan zafiyette yanlış yapılandırılan dosyalardan biri olan, “WinAw32.exe” üzerinde “Everyone” grubunun “Full Control” izni vardır. Yetkisiz bir kullanıcı söz konusu dosya üzerinde istediği değişikliği yapabilir. Lab ortamında dosyaya Meterpreter eklenmiştir ardından dosya hedefteki temiz dosya ile değiştirilmiştir. Bu noktadan sonra hedef sistemdeki yazılım çalıştığında Meterpreter oturumu elde edilecektir. Zafiyetin istismarı ile ilgili ekran görüntüleri aşağıda verilmiştir.
  • 8. Şekil 1 - Dosyanın İzinleri veYazılımın Çalıştırılması Şekil 2 - Dosyaya Meterpreter Eklenmesi ve Oturumun EldeEdilmesi
  • 9. 3.2. Güvenli Olmayan Kayıt Defteri Değerleri Windows işletim sisteminde servisler ile ilgili olabilecek veriler kayıt defteri içerisinde “HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices” dizin yolunda tutulur. Aşağıdaki ekrangörüntüsündehedefişletimsistemiüzerindeçalışan“PwnAble”servisineaitkayıtdefterindeki bilgiler görülmektedir. Aşağıdakiekrangörüntüsündehedefservisinkayıtdefteridiziniiçinizinbilgilerigörülmektedir.Ekran görüntüsünde de görüleceği üzere servisin kayıt defteri değerleri üzerinde “Authenticated Users” grubuna dahil kullanıcılar için “Full Control” hakkı tanımlanmıştır.
  • 10. Bu durum, herhangi bir şekilde işletim sisteminde oturumu olan kullanıcının ilgili kayıt defteri değerleri üzerinde değişiklik yapabilir, anlamına gelmektedir. Örnek olarak “ImagePath” değeri servisin çalıştırılabilir dosyasının dizin yolunu içerir, saldırgan bu kayıt defteri değerini kendi uygulamasının dizin yolu ile değiştirerek servisin haklarında çalışacak bir uygulama elde etmiş olur. Böylece kısıtlı olan hakkını servisin haklarına çıkarmış olacaktır.
  • 11. 3.3. Güvenli Olmayan Servis İzinleri Windowsişletimsistemindedosyalar,servisler yada diğerobjelerDACLsdeğerlerine sahiptir.DACLs bir obje üzerinde bulunan kullanıcıların veya grupların yetki sınırlarını belirler. Örneğin, bir servis üzerinde “Authenticaed Users” grubu okuma iznine sahip olduğu gibi servisi başlatma, servisi durdurma veya ayarlarını değiştirme hakkına sahip olabilir. Bu haklar DACLs kısmında belirlenir. Windows işletim sistemlerinde servis ekleme, ayarlarını değiştirme gibi haklar sadece Administrator haklarına sahip kullanıcılarda bulunur, bazı durumlarda Administrators grubuna dahil olmayan kullanıcılariçindeservislerüzerindeişlemyapmahakkıtanımlanabilir.Budurumdasaldırganservisin ayarlarını değiştirerek hak yükseltebilir. Örnek olarak “halil” kullanıcısı kısıtlı bir kullanıcı olup “NT AUTHORITYSYSTEM” haklarında çalışan “PwnAble” servisini başlatma, durdurma, yapılandırmasını değiştirmek gibi haklara sahiptir. Aşağıdaki ekran görüntüsünde servisin izin durumlarını içeren ekran görüntüleri verilmiştir. Şekil 3 - Servis ÜzerindekiHaklar
  • 12. Şekil 4 - DACLs Söz konusu servisin DACLs değerlerine accesschk aracı ile bakıldığında da aynı sonuç görülebilir. Komut C: accesschk.exe –quvcw PwnAble Şekil 5 - Servis Bilgileri ve Accessck Kullanımı
  • 13. Aşağıdaki komutlar kullanılarak sırasıyla servis durdurulmuş, servisin çalıştırılabilir dosyası Meterpreter ile değiştirilmiş ve son olarak servis tekrar başlatılmıştır. Böylece aslında yetkisiz olan “halil” kullanıcısı hedef sistemde yanlış yapılandırılmış servis izinlerini istismar ederek “NT AUTHORITYSYSTEM” haklarında çalışan Meterpreter oturumu elde etmiştir. Komutlar Sc stop PwnAble Sc config binPath= “C:UsershalilDesktopm.exe” Sc start PwnAble Şekil 6 - Kısıtlı Kullanıcı ve Servise Müdahele Yukarıdaki ekran görüntüsünde servisi başlatıldıktan sonra bir hata çıktısı görülmektedir. Windows işletim sistemlerinde bir servis başladığında Service Control Manager ile iletişime geçmesi gerekmektedir. Normalde başlaması için tetiklenen servis, başladığında Service Control Manager’a başlayabilmesi için ne kadar sürenin gerekli olduğunu (time-out period) belirtmesi gerekir. Eğer Service Control Manager servis tarafından bu şekilde bir bildirim alamaz ise belirli bir süre sonra servisin işlemini durdurur. Bu bekleme süresi özel bir değişiklik yapılmadıysa otuz saniyeden daha azdır.Yukarıdakiekrangörüntüsündekihatanınsebebibudur.Buradadikkatedilmesigerekennokta; servis başlatılıyor, servisin çalıştırılabilir dosyası çalışıyor ancak “servis başladı” bildirimi Service Control Manager’a gitmediği için belirli bir süre sonra Service Control Manager servisin işlemini
  • 14. durduruyor. O yüzden bu gibi durumlarda Meterpreter kullanılacaksa ya manuel olarak ya da otomatik olarak “Migrate” işleminin yapılması yararlı olur. Şekil 7 - Meterpreter Oturumunun Sistem Haklarında Elde Edilmesi
  • 15. 3.4. Servis Çalıştırılabilir Dosyasının Unquoted Bırakılması Windows işletim sisteminde bir servisin dizin yolu içerisinde boşluk varsa ve tırnak işaretleri (“) arasınaalınmamışsaortayaçıkanzafiyettir.Buradaişletimsistemiservisindizinyolunuyorumlamaya çalışıyor ve her bir boşlukta servisin çalıştırılabilir dosyasına erişmeye çalışıyor. Zafiyet Windows işletim sistemlerindeki “CreateProcess” fonksiyonunun içerisindeki “lpApplicationName” parametresinin yapısından kaynaklanmaktadır. Fonksiyon ve parametreleri hakkında daha detaylı bilgi ilgili MSDN sayfasından edinilebilir. (CreateProcess function, https://msdn.microsoft.com/en-us/library/windows/desktop/ms682425(v=vs.85).aspx). Örneğin servisin dizin yolu aşağıda gibi olsun. Servisin Dizin Yolu C:Program FilesPwnAble Servicepwn process.exe İşletim sistemi bu durumda servisin çalıştırılabilir dosyasına erişebilmek için sırasıyla aşağıdaki dizin yollarını deneyecektir.  C:Program.exe  C:Program FilesPwnAble.exe  C:Program FilesPwnAble Servicepwn.exe  C:Program FilesPwnAble Servicepwn process.exe İşletim sistemi eğer ilk denemede bulamaz ise sonrakine onda da bulamaz ise bir sonrakine geçecektir ta ki çalıştırılabilir bir dosyaya erişene kadar. Bu durumda saldırgan eğer aşağıdaki dizinlerden birisine yazma iznine sahip olursa işletim sisteminin beklediği isimde çalıştırılabilir dosya ekleyerek zafiyeti istismar edebilir.  C:  C:Program Files  C:Program FilesPwnAble Service Örneğin, servis başlatıldığında işletim sistemi öncelikle “C:Program.exe” dizin yoluna gidecektir, saldırgan söz konusu dizine “Program.exe” adında kendi dosyasını oluşturabilrse işletim sistemi
  • 16. direkt olarak saldırganın dosyasını çalıştıracak ve servisin gerçek dizin yolu olan “C:Program FilesPwnAble Service” altındaki “pwn process.exe”’e hiç bakmayacaktır. Bunoktadadikkatedilmesigereken,saldırganınmuhtemeldizinyollarınaişletimsistemininbeklediği isimde dosya oluşturabilecek izinlere sahip olmasıdır. Normalde “C:” gibi kök dizinlere yetkisiz kullanıcılar için yazma izni verilmez. Bu durumda diğer seçenekler değerlendirilmelidir. Aşağıdakiekrangörüntüsündedegörülebileceğiüzere,servisindizininde“Everyone”grubunun“Full Control” yetkisi var. İşletim sistemi servisin gerçek çalıştırılabilir dosyasından hemen önce “pwn.exe”isimlidosyanın olupolmadığınabakacaktır.Söz konusudizineişletimsistemininbeklediği isimde bir dosya oluşturulursa, işletim sistemi oluşturulan dosyayı çalıştıracaktır. Oluşturulan Dosyanın Yolu C:Program FilesPwnAble Servicepwn.exe Şekil 8 - Servisin, Hakların ve Dosyanın Durumu
  • 17. Şekil 9 - Meterpreter Oturumunun EldeEdilmesi Bu zafiyet Metasploit’in “trusted_service_path” modülü kullanılarak da istismar edilebilir. Modül zafiyet barındıran servisleri tespit edip ardından istismar aşamasına geçmektedir. Bunun için hali hazırda bir adet Meterpreter oturumu gerekmektedir. Modül işletim sisteminin servis için ilk baktığı dizine beklediği isimde dosya oluşturmayı deniyor, eğer yazma işlemini başaramaz ise denemeyi bırakıyor. Bu modülün yapısından kaynaklandığı için alt dizinlere manuel olarak bakılması yararlı olacaktır. Yukarıdaki örnekte “C:” dizini altına yazma izni olmadığı için servisin bulunduğu dizine dosya yüklenmiştir. Zafiyetin servisin çalıştırılabilir dosyasının dizin yolunun tırnak işaretleri arasına alınmadığından kaynaklandığı yukarıda belirtilmişti. Aşağıdaki ekran görüntüsünde servis ile ilgili kayıt defteri durumu verilmiştir.
  • 18. Şekil 10 - Servis İçin Gerekli Ayarın Yapılması Zafiyetin tespiti için Windows işletim sistemlerinde aşağıdaki komut çalıştırılarak, zafiyet barındıran servislerin listesi elde edilebilir. Komut wmic service get name,displayname,pathname,startmode |findstr /i "auto" |findstr /i /v "c:windows" |findstr /i /v """
  • 19. 3.5. Getsystem Komutu İle Hak Yükseltmek Herhangi bir Windows işletim sisteminde Meterpreter oturumu elde edildikten sonra eğer hedef kullanıcı Local Administrators grubuna dahil ise Meterpreter üzerinde “getsystem” komutu kullanılarak“NTAUTHORITYSYSTEM”haklarınaçıkılabilir.Peki,arkaplandabukomuttamolarakne yapıyor da en yüksek hak seviyesine ulaşıyoruz? Meterpreter’de “getsystem” komutu çalıştırıldığında modül üç farklı yöntemden birisinin başarılı olması durumunda oturumu “NT AUTHORITYSYSTEM” haklarına çıkarmaktadır. Bu yöntemler ve detayları aşağıda verilmiştir. o Service - Named Pipe Impersonation (In Memory/Admin) o Named Pipe Impersonation (Dropper/Admin) o Service - Token Duplication (In Memory/Admin) İlk iki yöntem named pipe impersonation diğer yöntem ise token duplication yöntemi olarak geçmektedir. o Service - Named Pipe Impersonation (In Memory/Admin) o Bu yöntemde Meterpreter hedef sistemde named pipe oluşturur ve “cmd.exe /c echo “some data” >.pipe[random pipe here]” içeren bir servis oluşturarak oluşturduğuservisibaşlatır.ArdındanMeterpreteroluşturduğu“cmd.exe”’yespawn olup oluşturduğu named pipe’a bağlanmaktadır. Böylece Meterpreter named pipeların Impersonation of Clients özelliğini kullanabilecek ve “NT AUTHORITYSYSTEM” haklarına çıkabilecektir. o Named Pipe Impersonation (Dropper/Admin) o Bu yöntem birinci yöntem ile benzerlik göstermektedir. Meterpreter yine hedef sistem üzerinde named pipe oluşturmakta ve token impersonation işlemini gerçekleştirmektedir. Ancak bu yöntemin farklılığı oluşturulan named pipe’a bir istemcinin bağlanması gerekliliğidir. Meterpreter bunun için hedef sisteme DLL yükler ardından “rundll32.exe”’yi bir servis olarak tetikler ve yüklenen DLL’i çalıştırmasını bekler. DLL çalıştırıldıktan sonra oluşturulan named pipe’a bağlanır ve işlem tamamlanır. Bu yöntemin bir tane dezavantajı bulunmaktadır. Meterpreter sisteme DLL yüklediği için bu durum antivirus vb. yazılımlarının dikkatini çekebilir ya da forensic çalışmaları esnasında iz bırakma durumu ortaya çıkabilir.
  • 20. o Service - Token Duplication (In Memory/Admin) o Bir diğer yöntem olan token duplication yöntemi diğerlerinden biraz farklıdır. Meterpreterdeki bu yöntemin dezavantajı x86 mimarisine ve SeDebugPrivilege’a ihtiyaç duymasıdır. Meterpreter burada sistemdeki tüm çalışan servisleri tarayıp SYSTEM haklarında çalışanları tespit etmekte ve Reflective DLL yöntemini kullanarak çalışan servislerden birisine DLL enjekte etmektedir. Enjekte işlemi başarılı olduktan sonra DLL, SYSTEM tokenını elde etmektedir. Böylece Meterpreter oturumu “NT AUTHORITYSYSTEM” haklarına çıkmış olmaktadır.
  • 21. 4.Sonuç Genelde işletim sistemleri sıkılaştırılırken gözden kaçırılan veya önem verilmeyen yapılandırma eksikleri/hataları tüm güncelleştirmeler geçilmiş, son versiyon yazılımlar kullanılsa dahi işletim sistemini savunmasız bırakmaktadır. Böyle sistemler için yapılandırma eksikliklerini/hatalarını istismar etmek sızma testlerinde en avantajlı saldırı vektörüdür diyebiliriz. Yazı içerisinde bu duruma dikkat çekilmeye çalışılmıştır. Tekrardan hatırlatmakta fayda olduğunu düşündüğüm bir nokta, yazı içerisinde anlatılan zafiyetler işletim sistemi bağımsızdır ve yapılandırma ile ilgilidir. Bu yazı konu ile alakalı ilk versiyon olup bir üst seviye teknikleri içeren yöntemler diğer versiyonda yer alacaktır.
  • 22. 5.Referanslar  Symantec pcAnywhere - Insecure File Permissions Local Privilege Escalation o https://www.exploit-db.com/exploits/18823/  What happens when I type getsystem? o http://blog.cobaltstrike.com/2014/04/02/what-happens-when-i-type-getsystem/  Elevating privileges by exploiting weak folder permissions o http://www.greyhathacker.net/?p=738  CreateProcess function – MSDN o https://msdn.microsoft.com/en- us/library/windows/desktop/ms682425(v=vs.85).aspx  Windows Services – All roads lead to SYSTEM o https://labs.mwrinfosecurity.com/system/assets/760/original/Windows_Services_ -_All_roads_lead_to_SYSTEM.pdf  Windows Privilege Escalation Fundamentals o http://www.fuzzysecurity.com/tutorials/16.html  Encyclopaedia Of Windows Privilege Escalation (Brett Moore) o http://www.youtube.com/watch?v=kMG8IsCohHA  Well, That Escalated Quickly… o http://toshellandback.com/2015/11/24/ms-priv-esc/