Open Source/BackTrack

[BackTrack5 R3] Creddump

DarkSoul.Story 2013. 3. 4. 09:44
반응형




1. 개요


Creddump는 물리적으로 Windows 시스템에 접근이 가능할 경우에 사용된다.


윈도우 레지스트리 하이브는 데이터 백업 내용이 포함된 파일의 집합을 가진 레지스트리 키, 하위 키 및 값의 그룹을 의미하며, HKEY_CURRENT_USER 내용을 제외한 모든 값들의 파일은 Windows\system32\Config 폴더에 존재한다. 


레지스트리 하이브

하이브 파일 

HKEY_LOCAL_MACHINE\SAM

Sam, Sam.log, Sam.sav

HKEY_LOCAL_MACHINE\Security

Security, Security.log, Security.sav

HKEY_LOCAL_MACHINE\Software

Software, Software.log, Software.sav

HKEY_LOCAL_MACHINE\System

System, System.alt, System.log, System.sav

HKEY_CURRENT_CONFIG

System, System.alt, System.log, System.sav, Ntuser.dat,

Ntuser.dat.log

HKEY_USERS\DEFAULT

Default, Default.log, Default.sav

 

2. 상세 분석


일반적으로 레지스트리 및 하이브 파일은 커널에서 열고 있기 때문에 획득이 불가능하기 때문에 다음과 같은 방법으로 Creddump를 사용 할 수 있다.


가장 먼저 Windows 시스템이 최초 부팅시 CD-ROM을 가장 먼저 읽도록 BIOS를 설정한 후 BackTrack5 R3 라이브 CD를 CD-ROM에 삽입하여, BackTrack5 R3로 부팅한다. BackTrack5 R3가 부팅이 완료되면, Windows 시스템의 하드드라이브를 BackTrack5 R3에 마운트 시킨다. 


root@bt~#mkdir /mnt/windows

root@bt~#mount /dev/sda1 /mnt/windows


마운트가 성공적으로 이루어지면 아래와 같이 Windows 시스템의 하드디스크의 파일 및 폴더들을 확인 할 수 있다.



이제 Creddump를 사용하기 위한 준비를 마쳤다. 본격적으로 Creddump를 사용하여 Hash 값들을 Dump해 보자.


1. pwdump.py


pwdump.py는 Windows 시스템의 LM / NT hash를 Dump할 때 사용하며, 사용방법은 아래와 같다.


root@bt:/pentest/passwords/creddump#./pwdump.py [system hive] [SAM hive]


system hive의 경로는 HKEY_LOCAL_MACHINE\System이며, 하이브 파일은 WINDOWS/system32/config 폴더에 system으로 존재한다. SAM hive의 경로는 HKEY_LOCAL_MACHINE\SAM이며, 하이브 파일은 WINDOWS/system32/config 폴더에 SAM으로 존재한다.


위의 정보를 토대로 pwdump.py를 사용하면, 아래와 같이 LM / NT hash를 Dump한다.



2. cashedump.py

cashedump.py는 도메인 패스워드 캐쉬(Domain Password Cash)의 Hash를 Dump할 때 사용하며, 사용 방법은 아래와 같다.


root@bt:/pentest/passwords/creddump#./cashedump [system hive] [security hive]


system hive는 위에서 설명하였기 때문에 생략하고, secyrity hive의 경로는 HKEY_LOCAL_MACHINE\Security이며, 하이브 파일은 WINDOWS/system32/config 폴더에 SECURITY로 존재한다.


위의 정보를 토대로 cashedump.py를 사용하면, 아래와 같이 Domain Cash 패스워드의 Hash를 Dump할 수 있다. 



참고로 테스트에 사용된 Windows 시스템은 Domain을 사용하지 않기 때문에 위와 같은 결과를 얻었다.


3. lsadump.py

lsadump.py는 LSA secrets 키를 Dump할 때 사용되며, 사용방법은 아래와 같다.


root@bt:/pentest/passwords/creddump#./lsadump [system hive] [security hive]


system hive와 security hive의 경로 및 하이브 파일에 대해서 앞서 설명하였으므로 생략한다.


lsadump.py를 사용하여, LSA secrets 키를 Dump하면 아래와 같은 결과를 얻을 수 있다.



참고 URL 및 도서

- http://support.microsoft.com/kb/256986/en-us

- https://code.google.com/p/creddump/



반응형