私は現在、侵入テストの認定を受けています。
しかし、私には理解できないpwdump7の奇妙な動作が発生します。
オンライン調査から、Windows 10システムではデフォルトでLMハッシュが無効になっていることがわかりました。また、ネットワークセキュリティ:次のパスワード変更時にLAN Managerハッシュ値を保存しないグループポリシーがVMでデフォルトで有効になっています。
ただし、管理者コマンドプロンプトでPwDump7.exe
を実行すると、次のハッシュダンプが表示されます。
Administrateur:500:1572D4F95361A8BB91A573D91D0FECD3:F198938E100D4E18CEEC6FF1B77AF209:::
Invité:501:C3909CE10A2E26E43E14033ED7C252D3:8FCB137FA6D5907BEC96D82D5631CF14:::
DefaultAccount:503:F12B8A9E3FA47FDC9C5098B04BB15FE2:FA1440E32F8F6B4B5F276A723209E0AE:::
WDAGUtilityAccount:504:F1601AD372DB88DAADE8A5B92B097581:D23055FD3030A0C8A1B56A3689AAB745:::
Admin:1000:1AF4EF0E6E14CE97C8D1CCAD392C46D7:16FCC3441F3005923F649E8F9D1684F5:::
Martin:1001:3A4C1FB7E7FF9EE2972AEC3F193D7552:3AF5C318F2268DD802E79D8A24E89959:::
Jason:1002:D7366D17F427BDD3A29E4A589002ACD7:2FD2BF7C980AD86E4D8A0527A3E136DE:::
Shiela:1003:D2E2DE9405BC29AA60B0BF02E8E48819:1EC1DFA1A4CB0B642100697C419EBBB5:::
ダンプの無効化が想定されているため、ダンプのLMフィールドに何かがあるのは奇妙に思われます。さらに、OphCrack(Rainbowテーブルを使用したクラッキングツール)は単一のパスワードを検出しません(少なくともこれらの3つを検出することになっています: "test"、 "Apple"および "qwerty")。
これはすべて、pwdump7がハッシュダンプを取得する方法に何か問題がある(または私が理解できないことがある)ことを示しており、それが何であるかについて知りたいのです。公式ウェブサイトから、pwdump7はバイナリSAMおよびSYSTEMファイルを使用してハッシュダンプを取得することを知っています。
別のツール(fgdump)を使用して、次のハッシュダンプを取得します。
Admin:1000:NO PASSWORD*********************:92937945B518814341DE3F726500D4FF:::
Administrateur:500:NO PASSWORD*********************:NO PASSWORD*********************:::
DefaultAccount:503:NO PASSWORD*********************:NO PASSWORD*********************:::
Invité:501:NO PASSWORD*********************:NO PASSWORD*********************:::
Jason:1002:NO PASSWORD*********************:2D20D252A479F485CDF5E171D93985BF:::
Martin:1001:NO PASSWORD*********************:5EBE7DFA074DA8EE8AEF1FAA2BBDE876:::
Shiela:1003:NO PASSWORD*********************:0CB6948805F797BF2A82807973B89537:::
WDAGUtilityAccount:504:NO PASSWORD*********************:019178C0B9CFCCE1F235A1153545B83F:::
これは正しいものであり、OphCrackで使用して目的のパスワードを見つけることができます。
誰かがpwdump7からのダンプがなぜこのような奇妙な形式になっているのか知っていますか?
Windows 10 Anniversaryアップデートでは、MicrosoftはSAMのパスワードハッシュに使用される暗号化アルゴリズムを変更しました。主な違いは、使用される暗号をRC4からAESに切り替えたことです。
Pwdump7はクローズドソースであり、そのリリースの日付を見つけることができなかったため、はっきりとはわかりませんが、おそらく、この新しい暗号化スキームを解読できるように更新されていないため、解読されたデータは意味がありません。偽のLMハッシュを取得するだけでなく、NTLMハッシュもfgdumpの出力とは異なります。そのため、それらはおそらく誤った復号化と無意味な結果でもあります。
新しい暗号化の詳細については、こちらをご覧ください: https://www.insecurity.be/blog/2018/01/21/retrieving-ntlm-hashes-and-what-changed-technical-writeup/