Cobalt Strike ile RDP Credentials Almak

Merhabalar,

Bu yazımda Red Team testlerinden biri olan Cobalt Strike ile hedef cihazda kayıtlı RDP bilgilerini almayı anlatacağım şimdiden keyifli okumalar dilerim.

Öncelikle hedef makinemizde IT'nin bağlantı kurduğunu ve bu bağlantıları hatırla dediği bir senaryo hayal ediyoruz. Biz Red Team üyesi olarak bilgisayara daha önceki konularda anlattığım yöntemlerden biriyle sızdık ve bu RDP bilgisini elde ettik. Ardından antivirüsleri ve firewall'ı devre dışı bıraktık. Bu adımlardan sonra sırası ile yapmamız gereken adımlar şunlardır,

• Credentials klasörüne Cobalt Strike üzerinden ilerlemeliyiz

Konumu, C:\Users\%user&\AppData\Local\Microsoft\Credentials\ 

• Klasörde iki adet Credential olacak, bunlardan biri RDP session'a ait (onu bulmak size kalmış, aynı adımları izleyerek deneme yanılma yoluyla bulabilirsiniz). Tespitimizi yaptıktan sonra bize GUID master key lazım. Bunu da mimikatz ile alacağız,

Komutumuz, mimikatz dpapi::cred /in:C:\Users\%user%\AppData\Local\Microsoft\Credentials\CREDENTIAL_KEY

Kırmızı daire içerisindeki key aklımızda bulunsun bir sonraki aşamada işimize yarayacak

• Şimdi ise asıl master key'i almak için sekurlsa kullanacağız. Bir önceki adımda aldığımız GUID keyi burada bulmaya çalışacağız.

Komutumuz, mimikatz sekurlsa::dpapi

• Tüm bilgileri edindiğimize göre artık RDP şifresini alabiliriz.

Komutumuz, mimikatz dpapi::cred /in:C:\Users\Muhasebe\AppData\Local\Microsoft\Credentials\CREDENTIAL_KEY
/masterkey:MASTER_KEY

Ve tüm RDP bilgileriyle beraber şifremizi de elde etmiş olduk.

Bu konuda daha fazla yazı için takip etmeyi unutmayın!