Metasploit-資格情報

マシンにアクセスした後、ユーザー名やパスワードなどのすべての機密情報を取得することが重要です。監査目的でもこの操作を実行して、組織内のシステムが強力なパスワードを使用しているかどうかを分析できます。

Windowsでは、パスワードは* NTLMハッシュ*と呼ばれる暗号化された形式で保存されます。 Windows OSでは、常に番号500のユーザーを探す必要があります。これは、ユーザーが*スーパーユーザー*であることを意味します。

Metasploitの無料版では、ハッシュ資格情報をテキストファイルまたはMetasploitデータベースに保存する必要があります。

例

前の章で使用したシナリオを使用しましょう。 DCOM MS03-026に対して脆弱なWindows Server 2003マシンがあるとします。このシステムにアクセスし、 meterpreter ペイロードを挿入しました。

meterpreterで一般的に使用されるコマンドは hashdump で、すべてのユーザー名とパスワードがリストされます。

次のスクリーンショットに示すように、 Armitage を使用してこの情報を取得することもできます。

商用版のMetasploitには、 Credential という別のセッションがあり、資格情報を収集、保存、再利用できます。それをどうやって進めるか見てみましょう。

機密データを収集するには、最初に「ホーム」→「プロジェクト名」→「セッション」に移動します。

アクティブなセッションをクリックします。

次に、[システムデータの収集]をクリックします。すべてのハッシュとパスワードを収集します。

次のような画面が表示されます-

収集された資格情報を表示するには、[ホーム]→[プロジェクト名]→[資格情報]→[管理]に移動します。

次のスクリーンショットに示すように、取得されたすべてのパスワードとクラックされる可能性のあるパスワードが表示されます。