Investigating Windows [TryHackMe]

Windows'u Araştırmak [TryHackMe]

Görev: Daha önce güvenliği ihlal edilmiş bir windows işletim sistemini araştırmak.

Laboratuvar:TryHackMe | Investigating Windows



Öncelikle Makinayı başlatıyoruz..

Ardından açılan makinada cmd'yi başlatıyoruz systemInfo komutunu giriyoruz bu komut ile bizden istenilen makinanın versiyon ve yılını öğrenmiş olacağız.



Göründüğü üzere sistem bilgileri geldi makina adı Microsoft Windows Server 2016 Datacenter ancak bizden istenilen kısım Windows Server 2016 ilk cevap yerine bunu ismi yazarak bir sonraki bizden istenilen soruya geçiyoruz.



2.soruda ise Which user logged in last? yani En son hangi kullanıcı giriş yaptı? cevabını istemek de bunun için ise net users komutunu kullanarak bize sistemde ki tüm kullanıcıları listeliyor. Şu an Administrator kullanıcısı en son giriş yaptığı için diğer kullanıcıları incelememiz gerekiyor.



3.Soruya baktığımda benden John en son ne zaman giriş yaptı cevabını istemekde

net user John yazıyorum ve John kullanıcısının son oturum açma işlemini gözlemliyorum, biraz aşağı baktığımda last logon kısmında 03/02/2019 5:48:32 PM 3.soruya bu tarihi yapıştırıyorum.



2.Soruda benden en son giriş yapan kullanıcıyı istiyor şu an en son giriş sağlayan Administrator kullanıcısı cevap kısmına Administrator yazıyorum.



Şu anda ilk 3 soruyu tamamladık sırayla devam edelim..

4.soruda bizden Sistem ilk başladığında hangi IP adresine bağlandığını soruyor.

Bunun için kayıt (Registry) defterine bakmamız gerekir ve sistem konfigürasyon'a bakmamız gerekiyor bu sayede makina başladığında ilk başlayan programların kontrolünü sağlayabiliriz.

Makinama restart atıyorum ve karşıma bir cmd ekranı geliyor aslında burada ilk çalışan IP adresini görüyoruz ama bunu bu şekilde yapamayız kayıt defterine ve sistem konfigürasyona bakmamız daha sağlıklı olur



Sistem konfigürasyonunu kontrol etmek için arama yerine msconfig yazıyoruz ardından açtığımız pencerede Startup kısmına gelerek bilgisayar ilk başladığında çalışacak olan programların listesini bulabiliriz şu anlık bir şey görünmüyor buradaki kontrolü tamamlıyoruz ve kayıt defterine geçiyoruz kayıt defterini açmak için regedit yazıyoruz ve açıyoruz.

Buradan ise HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>CurrentVersion>Run dizinine gidiyoruz burada UpdateSvc olarak bir dosya mevcut ve bu dosya C klasörünün tmp bölümünde exe dosyasını başlatarak 10.34.2.3 ıp adresine istekde bulunduğunu gözlemliyoruz.



Ip adresini 4.soruya giriyoruz ve doğruluyoruz.

​

5.soruda ise Hangi iki hesabın yönetici ayrıcalıkları vardı (Yönetici kullanıcısı dışında)? sorusunu görmekteyiz bunun kontrolünü sağlamak için ise cmd başlatıyorum ve net localgroup Administrators bu komut admin yetkisindeki kullanıcıları listelememize yarayan bir komut



gördüğümüz gibi Jenny,Guest admin yetkisinde kontrolünü sağlıyorum cevap kısmına yazıyorum isimleri evet bu şekilde 5.sorumuzuda tamamladık.



6.Soruda Kötü amaçlı olan zamanlanmış görevin adı nedir? sorusunu sormakta bunun için arama yerine Task Scheduler yazıyorum ve kütüphaneyi kontrol ediyorum



Burada Clean file system ismini taşıyan bir görev var burada saldırgan görevini gizlemek adına hertürlü senaryoyu yapabilir misalen belirli saatlerde yedekleme isimli oluşturup kullanıcıyı kıllandırmaya bilir biz burada eğitim senaryosunda olduğumuzdan dolayı burda sistem temizleme görevi atanmış belirttiğim gibi senaryoya çok takılmıyoruz konuyu çok karıştırmadan Clean file system dosyasının üzerine gelerek çift tıklıyorum Action kısmına geliyorum benden kötü amaçlı zamanlanmış görevin ismini istiyordu cevap kısmına Clean file system ismini yazıyorum

7.soruda ise çalıştırdığı dosyayı soruyor C dizinin altında olan tmp klasörünün içinde nc.ps1 isimli bir programı çalıştıyormuş hemen cevap kısmından kontrolümü sağlıyorum bununda doğru dosya olduğunu öğreniyoruz



Bir diğer adım ise bizde hangi port'u çalıştırdığını sormakta Actions kısmında göründüğü üzere 1348 portu dinlemekte cevap kısmına geliyorum ve doğruluyorum

Şuana kadar gayet iyi ilerliyoruz bir sonraki sorularımıza geçelim..

Bizden Jenny en son ne zaman oturum açtı? sorusunun cevabını istiyor bunun için cmd başlatıyorum ve net user Jenny yazıyorum Last logon kısmında Never yazısını görüyorum bu demek oluyor ki Jenny kullanıcısı asla giriş yapmamış cevap kısmına Never yazarak ilerliyorum.



Bir diğer ise en son bağlantı sızma işlemi ne zaman gerçekleşti bunu istemek de bunun için olay görüntüleyicisine bakacağız arama bölününe Event Viewer yazıyorum
Uygulamayı açtığımızda Windows Logs>Security kısmına bakıyoruz Date and Time diyorum ve ilk oturumları listeliyorum 02/13/2019 tarihinde ilk oturum gerçekleşmiş burada sistemin kurulum tarihinin olduğunu düşünüyoruz ve aşağı doğru inceliyoruz.



03/02/2019 Tarihine bakıyoruz 1.5-2 hafta sonrasına baktığımızda bir işlemlerin gerçekleştiği görülüyor kontrolünü sağlayalım

Bir sonraki soru ise tekrardan ilk oturumdan söz ediyor ancak burada özel ayrıcalıklı bir oturumdan bahsettiği için tekrardan 03/02/2019 tarihinden devam ederek açıklama kısımlarını inceliyoruz.



03/02/2019 4:02:58 PM tarihinde bir işlem gerçekleşiyor tarihi kopyalayarak kontrolünü sağlayalım İlk yanlışımızı aldık ) hatasız kul olmaz diyip devam ediyoruz yan taraftan filtreleme kısmına tıklayarak tabi ilk önce özel ayrıcalık kısım tarihinin ID'sini kopyalıyoruz. Filtreleme kısmına geliyoruz ID mi girerek ok diyorum 2/12/2019 tarihini dikkate almıyorum ve tekrar kontrol işlemine başlıyorum 03/02/2019 4:04:49 PM tarihindekini kabul ediyor bunu tarihi cevap kısmında kontrol ediyorum

12.soruda ise Windows parolalarını almak için hangi araç kullanıldı? sorusunu sormakta

C dizisine giderek tmp klasörüne göz atıyorum exe ve txt dosyaları mevcut txt dosyalarını incelemeye başlıyorum ve mim-out.txt dosyasını açtığımızda mimikatz olduğunu görüyoruz txt yi incelediğimizde password'un hashli hallerini görmekteyiz biraz daha aşağı baktığımızda password'umuz görünmekte buraya kadar anlamış olduk parolamızın ne ile kırıldığını cevap yerine gelerek mimikatz yazıyorum



13.soruda saldırganın IP adresini sormakta saten ilk soruda kayıt defterinden bulmuştuk ancak bizden bunu istemiyor kabul etmiyor C:/system32/drivers/etc klasörünü açıyoruz ve içindeki host dosyasını txt dosyası ile açıyorum incelediğimizde dns zehirlenmesi olduğunu görüyoruz google.com kısmına baktığımızda ıp yönlendirmesi mevcut Ip adresi 76.32.97.132 kontrolünü sağlayalım bu şekilde son soru cevabımızıda öğrenmeiş olduk "google.com"



Diğer soruda ise yüklenilen shell dosyasının ismini sormakta bunun için ise C dizinindeki intepub klasörünün içinde bulunuyor uzantılara baktığımızda .jsp olarak gözüküyor cevap kısmına



Son olarak saldırganın açtığı port numarasını istemek de bir bilgisayarda port açma işlemi yaparken güvenlik duvarı devreye girmektedir. Bunun için güvenlik duvarı kayıtlarına bakıyoruz arama kısmına Firewall yazıyoruz Inbound Rules kısmına bakıyoruz ve yana kaydırıyoruz açık olan port numarasının 1337 olduğunu görmekteyiz



Cevap kısmına 1337 yazarak makinamızı bitiriyoruz.