・Windowsのクレデンシャルダンプ の変更点
Top/・Windowsのクレデンシャルダンプ
- 追加された行はこの色です。
- 削除された行はこの色です。
- ・Windowsのクレデンシャルダンプ へ行く。
- ・Windowsのクレデンシャルダンプ の差分を削除
#author("2019-11-13T09:30:08+09:00","","") [[・認証情報のダンプ]] *Windowsのクレデンシャルダンプ [#n4dd8bd9] **Security Account Manager(SAM)への攻撃 [#de051d3b] SAMはローカルアカウントのデータベースです。ツールを使ってSAMからハッシュされた認証情報を取得します。また、RegコマンドでレジストリからSAMをダンプします。アクセスにはAdministrator権限が必要です。 **ドメインコントローラーが利用できない場合のキャッシュログオン情報への攻撃 [#wd69f57d] キャッシュログオンを実現するための DCC2(Domain Cached Credentials version 2) のハッシュを取得します。メモリ上もしくはレジストリのDCC2ハッシュはツールを使いダンプします。 **Local Security Authority (LSA) への攻撃 [#afcfad19] LSAとはローカル認証やドメイン認証を実現する認証コンポーネントの中核です。このLSAに対して、SYSTEM権限(Administrator権限より上位)でツールを使い、アクセスする事で、アカウント情報へアクセスが可能となります。 **ドメインコントローラーのNTDSへの攻撃 [#z98b9b02] NTDSにはドメインのユーザー情報(認証情報、アクセス権)が保存されています。ドメインコントローラー上でツールを使うことでハッシュされた情報を取得できます。 **SSPのプレーンテキストの資格情報 [#k37f8b19] 上記の攻撃はハッシュされた資格情報であり、辞書攻撃やブルートフォース攻撃でハッシュ値と合致するパスワードを取得しなければならないため、容易ではありません。一方で、WindowsはHTTPアクセスの際のダイジェスト認証(Wdigest)をはじめとする様々な資格情報を保存します。これらの情報はプレーンテキストで保存されるため、AdministratorもしくはSYSTEM権限でツールを利用することでダンプが可能です。