[İpucu] Kaydedilmiş SecureCRT Parolalarını Bulma

SecureCRT, yaygın kullanıma sahip  kolay kullanımlı uzaktan erişim, yönetim, dosya transferi ve  tünelleme imkanı veren ticari bir yazılımdır. Özellikle SSH sunuculara yapılan bağlantılarda tablı bir yapı sunması ve isteğe göre hedef sistemlerin parolalarını “şifreli” bir şekilde disk üzerinde barındırarak her bağlantıda parolayı tekrar sormaması UNIX/Linux adminlerin sık tercih ettiği özelliklerdendir.

 SecureCRT’e Kaydedilmiş Ama Hatırlanamayan Parolaların Bulunması

SecureCRT’nin şifreleme algoritması çözülemediği için diskte şifreli olarak yer alan parolalara ulaşmak kolay değildir. Burada yardıma bellekte tutulan bilgiler yardıma koşmaktadır.

Adımlar:

SecureCRT prosesinin bellekte yer alan bilgilerini bir dosyaya yazdıralım.

Process dump için çeşitli yazılımlar kullanılabilir. Kolay ve esnek olması nedeniyle Process Hacker yazılımı tercih edilmiştir.

Diske yazılan dosya SecureCRT programının açılıştan itibaren gerçekleştirdiği tüm işlemlere ait verileri içermekte olduğundan sisteme otomatik olarak girilen parolamız da bu dosyanın içerisinde bir yerlerde yer almaktadır.

Linux sistemlerde strings komutu kullanarak formatı belli olmayan ikili dosyalar içerisinde geçen stringleri ayıklayabiliriz.

Aşağıdaki komutlarla kaydedilmiş dump dosyaları içerisinden bilinen kullanıcı adına ait parola bilgileri ayıklanabilmektedir.  Kesin olmamakla birlikte bir iki grep komutuyla daha önce kaydedilmiş ama hatırlanamayan SecureCRT parolaları bulunabilir.

root@bt:~/Desktop# strings SecureCRT.EXE.dmp |grep honal -A10
honal
SOFTWARE
publickey
SIFREMBURADAYAZILI
hmac-sha1
Show Sta
Show Statu
I_`e
ctf23.bga.com.tr
tring
onnect

root@bt:~/Desktop# strings SON_SecureCRT.EXE.dmp |grep huzeyfe-A10

huzeyfe
Default
hmac-sha1
none
6-ctr
SIFREBURADAYAZILI
hmac-sha1
3.0
eCRT
ord|_
aes256-cbc