• Kategori: Güvenlik
  • Eyüp ÇELİK
  • Gösterim: 32689

Uzak Masa Üstü Şifresi Kırma (RDP)

Bu makalemizde Microsoft işletim sistemlerinde (Windows NT, XP, Vista, Win7, Server 2003, Server 2008) bulunan, Uzak Masa Üstü (Remote Desktop Connection - RDP) protolüne uzaktan yapılabilecek saldırı tipini göreceğiz.

 

Microsoft işletim sistemlerinde bulunan uzak masa üstü bağlantısı sayesinde başka bir işletim sistemine bağlanılabilmekte ve bu işletim sistemi kendi bilgisayarımızdaymış gibi kullanılabilmekte. Microsoft işletim sistemlerinin en çok kullanılan uzak bağlantı protokollerinden biri olan Remote Desktop Protokol (RDP), saldırılara en açık olan protokollerin başında gelmektedir. Özellikle Terminal Server mantıklı çalışan Server 2003 ve Server 2008 işletim sistemleri, kullanıcıların uzaktan işletim sistemlerine erişerek, bu işletim sistemlerini kendi işletim sistemleriymişçesine kullanmalarını sağlamak üzere hazırlanmış bir mimariye sahiptir. Son zamanlarda ThinClient gibi sistemlerin yaygınlaşması ile birlikte Microsoft’un Remote Desktop Protokolü de git gide önem kazanmaya başlamıştır. Windows Server 2008 işletim sisteminde Terminal Server sunucu rollerinin üzerine oldukça düşülmüş ve terminal server rolleri geliştirilmiştir.

 

İşte tüm bunlar Microsoft’un RDP protokolünü çok önemli noktalara taşımaktadır. Hal böyle olunca da bu protokolün zafiyetleri de ortaya çıkmaya başlar. Tsgrinder Microsoft’un RDP protokolüne uzaktan şifre denemeleri yapabilen bir yazılımdır. RDP protokolüne şifre denemeleri Dictonary Attack (Sözlük Saldırı) şeklinde gerçekleştirilmektedir.

 

Dictonary Attack kısaca bir dosya içinde daha önce belirlenmiş olan şifreleri hedef sistem üzerinde otomatikleştirilmiş şekilde deneme yapan saldırı yöntemidir.

 

Uzak Masa Üstü Bağlantı Protokolünde bu saldırı işlemini Tsgrinder ile yapabilmekteyiz. Tsgrinder bir komut satırı aracıdır.

 

Not: Tüm Microsoft işletim sistemlerinde (Windows NT, Windows 2000, Windows XP, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2008) varsayılan olarak Administrator hesabı işletim sistemine dahil olarak gelmektedir.

 

Makalenin sonunda Tsgrinder’ı indirebileceğiniz link mevcuttur.

 

Programı indirdikten sonra sıkıştırılmış klasörden çıkarıp işletim sisteminizin bulunduğu kök diske (Yerel Disk C gibi) kopyalayın. Kopyalama işlemi bittikten sonra aşağıdan “şifre” dosyasını indirip, kopyalamış olduğunuz dosyanın içerine yapıştırın. Tüm bu işlemleri yaptıktan sonra Başlat\Çalıştır’ı tıklayın ve gelen ekrana “cmd” yazıp “Tamam”ı tıklayın. Gelen komut ekranına aşağıdaki gibi komutları giriyoruz.


Yukarıda göreceğiniz üzere cd.. komutu ile C diskin kök dizinine kadar ulaştık. Daha sonra cd tsgrinder komutu ile tsginder klasörüne geçiş yaptık. Bundan sonra tsgrinder klasöründe bulunan tsgrinder programını çalıştırmamız gerekiyor. O işlemi de aşağıdaki komutlar ile gerçekleştireceğiz.


Komutlara kısaca değinecek olursak eğer;

-u : Kullanıcı adı

-d : Domain (Etki Alanı)

-w : Şifre dosyası adı

Şeklinde olacaktır. C:\tsgrinder>tsgrinder –u Administrator –d EYUP –w sifreler.txt 192.168.18 komutuna değinecek olursak. tsginder komutu ile tsgrinder.exe dosyasını çalıştıracağımızı belirtiyoruz. Bundan sonra yazmış olduğumuz –u Administrator komutu Dictonary Attack yapacağımız kullanıcı hesabının Administrator kullanıcısı olacağını belirtmek için yazılmıştır. Eğer biliniyor ise bunun yerine başka bir kullanıcı adı da yazılabilir. –d EYUP komutu ise domain adını (Etki Alanı) belirtmek için kullanılmıştır. Burada –d EYUP yazılmasının sebebi saldırı yapılacak etki alanı adının EYUP.LOCAL olmasıdır. Eğer saldırı denemesi yapılacak olan işletim sistemi herhangi bir etki alanına dahil değil ise buraya –d WORKGROUP yazmamız gerekiyor. Çünkü tüm Windows işletim sistemlerinde varsayılan çalışma grubu adı olarak WORKGROUP kullanılmaktadır. –w sifreler.txt komutu Dictonary Attack yapacağımız bilgisayarda denenecek olan şifreleri sifreler.txt dosyasından okuyarak hedef sistem üzerinde test edecektir. Sifreler.txt dosyasında wemiş olduğum tüm şifreler Milw0rm üzerinde daha önce kırılmış olan şifre kombinasyonlarından oluşmaktadır. Siz bu dosyaya ek olarak test edilebilecek şifrelerde oluşturabilirsiniz. En son olarak yazmış olduğum 192.168.1.8 ip adresi ise Dictonary Attack yapacağımız hedef bilgisayarın IP adresini belirtilmektedir.

 

Tüm bu ayarları yaptıktan sonra Enter tuşuna basmamız yeterli olacaktır. Tsgrinder bizim için otomatikleştirilmiş bir saldırı gerçekleştirecek ve hedef sistem üzerinde Remote Desktop şifresini kırmaya çalışacaktır. Remote Desktop şifresi kırıldığı andan itibaren hedef bilgisayarın ekranına geçiş yapmış olacağız.

 

Bu tür saldırılardan nasıl korunabilirsiniz:

 

  1. Windows işletim sistemlerinde Administrator hesabı varsayılanda işletim sistemi ile birlikte geldiğinden dolayı Administrator hesabının adını değiştirmemiz en iyi çözümü sağlayacaktır. Microsoft işletim sistemi yüklendikten sonra Administrator hesabının adını değiştirmemizi veya çok güçlü bir şifre ile korumamızı tavsiye etmektedir. Administrator hesabının adını değiştirmek için Başlat\Çalıştır’a “secpol.msc” yazın. Yerel Güvenlik İlkesi konsolu karışınıza gelecektir. Yerel Güvenlik İlkesi konsolunun sol tarafında bulunan “Yerel İlkeler”in altından “Güvenlik Seçenekleri” kısmını tıklayın. Sağ tarafta yeni açılacak seçeneklerden “Hesaplar: Yönetici hesabının adını değiştirin” seçeneğini çift tıklayarak açın ve Administrator adını kendinize göre değiştirin.
  2. Eğer domain yapısında değilseniz ve Administrator hesabını kullanmıyor iseniz 1. adımda anlatmış olduğum yerlere aynı şekilde erişerek “Hesaplar: Yönetici hesabı durumu”nu çift tıklarak açık ve “Devre Dışı”nı seçtikten sonra Uygula\Tamam yapın.
  3. Eğer Uzak Masa Üstü bağlantısını kullanmak istemiyor iseniz “secpol.msc”den “Yerel İlkeler”inin altında bulunan “Kullanıcı Hakları Ataması” kısmını tıklayarak sağ taraftaki menülerin açılmasını sağlayın ve sağ tarafta açılan menüden “Terminal Hizmetler Üzerinden Oturum Açmayı Reddet” seçeneğini çift tıklayarak açın. Kullanıcı veya Grup Ekleyi tıklayın. Gelişmişten Şimdi Bul’u tıklayım ve Administrator hesabını seçerek tüm pencereleri Tamamı tıklayarak kapatın.

 

Dosyayı burdan indirebilirsiniz: http://www.eyupcelik.com.tr/CehLabs/tsgrinder.rar

 Dosya şifresi= 1

Not: Saldırı evresinden şifre kırma evresine kadar geçen süreç içerisinde kendi bilgisayarında testleri yapmama izin veren ve tüm çalışmalarımda bana olan desteğini hiç esirgemeyen Bilge Adam Bilgi Teknolojileri Akademisi'nden, Sistem ve Network Mühendisi sayın Mustafa Serkan POLAT hocama teşekkürlerimi bir borç bilirim.

Comments

0 eta 02-02-2015 21:41 #46
adamsan önceki yazımı yayınlarsın.
Quote
0 enes 29-04-2015 20:11 #47
eyüp abi selamlar ,

tsgrinder dosyasını indirdim c'ye attım fakat böyle bir hatayla karşılaşıyorum ?


http://i.hizliresim.com/1yyVBY.png
Quote
0 Ferhat 28-06-2016 19:50 #48
1)sunucuya uzaktan erişim yok
2)uzak bilgisayar kapalı
3)uzak bilgisayar ağda yok
diyor ne yapmalıyım...
Quote
0 x 27-01-2017 15:03 #49
smclient_20B4_9F8 bu hata nedir?? :-|
Quote
0 Ahmet 11-07-2017 04:05 #50
Şifreyi biliyorum Kullanıcı adını nasıl bulabilirim deniyorum olmuyor : )
Quote

Yorum ekle


Güvenlik kodu Yenile

Bookmaker betfair Bonus review by ArtBetting.co.uk

Bookmaker bet365 review by ArtBetting.co.uk

Germany bookmaker b.artbetting.de review by ArtBetting.de

Bookmaker Greece BET365 review by ArtBetting.gr

Back to top