Abusing Shadow Copies

Shadow Copies (Kölgə nüsxələri) Windows əməliyyat sistemlərində istifadəçilərə faylların surətlərini, snapshotlarını yaratmağa imkan verən xüsusiyyətdir. Bu nüsxələr ehtiyat və bərpa məqsədləri üçün istifadə edilə bilər.Əgər maşına administrator girişimiz varsa, bu nüsxələri listələmək, Domain Escalation həyata keçirməyə kömək edə bilər.

1.Vssadmin istifadə edərək kölgə nüsxələrinin listələnməsi (Administrator Girişinə ehtiyac var):

vssadmin list shadows

Bu əmr, administrativ səlahiyyətlərlə icra edildikdə, sistemdəki mövcud kölgə nüsxələri listələnir. O, hər bir kölgə nüsxəsi haqqında onun ID'si, həcmi və yaradılma vaxtı kimi məlumatlar verir.

2.Diskshadow'dan istifadə edərək kölgə nüsxələrinin listələnməsi:

diskshadow list shadows all

DiskShadow, həcm kölgə nüsxələrini (volume shadow copies) yaratmaq və idarə etmək üçün istifadə olunan alətdir. Yuxarıdakı əmr, DiskShadow istifadə edərək bütün mövcud kölgə nüsxələrini ekrana yazdırır.

3.Kölgə nüsxəsinə simvolik keçidin (symlink) yaradılması və ona daxil olmaq

mklink /d c:\shadowcopy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\

Bu əmr, C: drive'ın kökündə xüsusi kölgə nüsxəsinə işarə edən shadowcopy adlı simvolik əlaqə (symlink) yaradır. Simvolik bağlantılar digər fayl və ya qovluqlara qısa yollar və ya istinadlar yaratmaq üçün istifadə olunur. Bu nümunədə, o, \?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\ yolu ilə kölgə surətinə keçid yaradır.

Bu metoddan istifadə edərək aşağıdakılar əldə edilə bilər:

Yedəklənmiş (backuped) SAM verilənlər bazası;

DPAPI(Data Protection API) ilə qorunan etimadnamələr(credentials);

Yedəklənmiş digər həssas fayllar.

PreviousForce Set SPN NextList and Decrypt Stored Credentials using Mimikatz

Last updated 10 months ago