Pentest: Find Domain Admins Logon on Networks with Powershell

Pentestlerde öncelik verilen konulardan biri de Domain Admins bir kullanıcının logon olduğu makinenin tespit edilmesidir. Bu Powershell script, Powershell script dilini öğrenme  aşamasında geliştirilmiştir.

SCRIPT'IN ÇALIŞMASI:

Script temel olarak LDAP ile çalışmaktadır. Temel olarak Domain Users grubuna üye bir kullanıcı hesabı ile işlemler gerçekleştirilmektedir. Bunun için ilk iş LDAP bilgilerini kontrol etmektir. Varsayılan olarak script içerisine LDAP bilgileri girilebilmektedir. Ayrıca script çalıştıktan sonra da bu bilgiler değiştirilebilir.

Cisco Catalyst Configuration Examples

Cisco Catalyst 3550 Factory Default

SiberBlog_Cisco3550#write erase
SiberBlog_Cisco3550#delete flash:vlan.dat
SiberBlog_Cisco3550#reload



[adsenseyu2]

Hp ProCurve Configuration Examples

Hp ProCurve 2650 Factory Default

Yöntem1: Anahtarlama cihazı üzerinden,

1- Ucu sivri bir cisim kullanarak cihazın ön panelinde bulunan Reset ve Clear butonlarına birlikte basın. Power ve Fault lambaları yanacaktır.
2- Clear butonuna basmaya devam edin ve Reset butonunu bırakın.
3- Fault lambası sönecek ve bir süre sonra test LED'leri yanıp sönmeye başlayacak. Clear butonunu da bırakabilirsiniz.
4- Cihaz kendi kendini test edecek ve fabrika ayarlarına dönecektir.

Audit Settings Group Policy

İşletim sitemlerinde denetim ilkelerinin (audit policy) birçoğu varsayılan olarak kapalı gelmektedir. İyi bir loglama için yapılandırılması gerekmektedir. Bu yapılandırma işlemini yerel bilgisayarlarda uygulaya bileceğimiz gibi etki alanından (Active Directory) GPO ile de tüm makinelere uygulayabiliriz.

[adsenseyu2]

1- Etki alanında (Active Directory) Grup İlkesi Yönetim Konsolu (Group Policy Management Editor) "gpmc.msc" üzerinden ayarlama yapmak için:

Varolan veya yeni bir GPO’yu düzenleme modunda açın ve Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies/Audit Policy > Advanced Audit Configuration penceresine gelin.

Active Directory: Administrator Password Reset

Etki alanı (Active Directory ) yönetiminde istenmeyen bazı durumlarda şifrelerin resetlenmesi gerekmektedir. Bu işlem için maalesef SAM veritabanından şifre değiştiren programlar işe yaramamaktadır.



Domain veritabanına erişmek için Windows'a ait açıklıkta diyebileceğimiz bir yöntemi kullanacağız. Bu yöntemde Windows kullanıcı karşılama ekranında sol alt köşede bulunan ve ayrıca klavyeden WindowsTuşu + U gibi kısayollarla da erişilebilen Utilman.exe programıdır.

Active Directory: Restricted Groups

Etki alanında (Active Directory) Restricted Groups; User Accounts, Computer Accounts ve Grup'ların üye olacağı grupları bir politika ile yönetmek için ve tersi olarakta bir grubun üyelerini (User Accounts, Computer Accounts, Grup) bir politika ile yönetmek için kullanılır.

Örneğin etki alanınızda Domain Admins grubunu yönetmek istiyoruz. Bu durumda yapılacak işlem önce Domain Admins grubuna üye olacak kullanıcı hesaplarını belirlemek ve Group Policy Management'tan Restricted Groups ayarını girmektir.

 

Etki alanı için Domain Admins grubu ve yerel makinelerde (etki alanı üyesi) Administrators grubu üyelerini Restricted Groups ile belirleyen iki örnek yapalım.

Active Directory: Reset Multiple User Password

Bilgisayar Olaylarına Müdahalede İlk Adım:

Örneğin sisteminizin birileri tarafından ele geçirildiğinden şüpheleniyorsunuz ve hızlı bir şekilde olaya müdahale etmek istiyorsunuz. Yalnız ne büyüklükte bir saldırı olduğunu bilmiyorsunuz. Bu durumda ilk yapılması gerekenlerden biri saldırıya uğrayan bölümünüzün veya belirli bir kullanıcı grubunun veya da tüm kullanıcılarınızın şifrelerini çok hızlı bir şekilde değiştirerek işleme başlayabilirsiniz.

Aktif dizinde kullanabileceğimiz bu scriptler aynı zamanda Remote Server Administration Tools (RSAT) kurulu makinelerde de kullanılabilir.