1. 개요
Creddump는 물리적으로 Windows 시스템에 접근이 가능할 경우에 사용된다.
윈도우 레지스트리 하이브는 데이터 백업 내용이 포함된 파일의 집합을 가진 레지스트리 키, 하위 키 및 값의 그룹을 의미하며, HKEY_CURRENT_USER 내용을 제외한 모든 값들의 파일은 Windows\system32\Config 폴더에 존재한다.
레지스트리 하이브 | 하이브 파일 |
HKEY_LOCAL_MACHINE\SAM | Sam, Sam.log, Sam.sav |
HKEY_LOCAL_MACHINE\Security | Security, Security.log, Security.sav |
HKEY_LOCAL_MACHINE\Software | Software, Software.log, Software.sav |
HKEY_LOCAL_MACHINE\System | System, System.alt, System.log, System.sav |
HKEY_CURRENT_CONFIG | System, System.alt, System.log, System.sav, Ntuser.dat, Ntuser.dat.log |
HKEY_USERS\DEFAULT | Default, Default.log, Default.sav |
2. 상세 분석
일반적으로 레지스트리 및 하이브 파일은 커널에서 열고 있기 때문에 획득이 불가능하기 때문에 다음과 같은 방법으로 Creddump를 사용 할 수 있다.
가장 먼저 Windows 시스템이 최초 부팅시 CD-ROM을 가장 먼저 읽도록 BIOS를 설정한 후 BackTrack5 R3 라이브 CD를 CD-ROM에 삽입하여, BackTrack5 R3로 부팅한다. BackTrack5 R3가 부팅이 완료되면, Windows 시스템의 하드드라이브를 BackTrack5 R3에 마운트 시킨다.
root@bt~#mkdir /mnt/windows root@bt~#mount /dev/sda1 /mnt/windows |
마운트가 성공적으로 이루어지면 아래와 같이 Windows 시스템의 하드디스크의 파일 및 폴더들을 확인 할 수 있다.
이제 Creddump를 사용하기 위한 준비를 마쳤다. 본격적으로 Creddump를 사용하여 Hash 값들을 Dump해 보자.
1. pwdump.py
pwdump.py는 Windows 시스템의 LM / NT hash를 Dump할 때 사용하며, 사용방법은 아래와 같다.
root@bt:/pentest/passwords/creddump#./pwdump.py [system hive] [SAM hive] |
system hive의 경로는 HKEY_LOCAL_MACHINE\System이며, 하이브 파일은 WINDOWS/system32/config 폴더에 system으로 존재한다. SAM hive의 경로는 HKEY_LOCAL_MACHINE\SAM이며, 하이브 파일은 WINDOWS/system32/config 폴더에 SAM으로 존재한다.
위의 정보를 토대로 pwdump.py를 사용하면, 아래와 같이 LM / NT hash를 Dump한다.
2. cashedump.py
cashedump.py는 도메인 패스워드 캐쉬(Domain Password Cash)의 Hash를 Dump할 때 사용하며, 사용 방법은 아래와 같다.
root@bt:/pentest/passwords/creddump#./cashedump [system hive] [security hive] |
system hive는 위에서 설명하였기 때문에 생략하고, secyrity hive의 경로는 HKEY_LOCAL_MACHINE\Security이며, 하이브 파일은 WINDOWS/system32/config 폴더에 SECURITY로 존재한다.
위의 정보를 토대로 cashedump.py를 사용하면, 아래와 같이 Domain Cash 패스워드의 Hash를 Dump할 수 있다.
참고로 테스트에 사용된 Windows 시스템은 Domain을 사용하지 않기 때문에 위와 같은 결과를 얻었다.
3. lsadump.py
lsadump.py는 LSA secrets 키를 Dump할 때 사용되며, 사용방법은 아래와 같다.
root@bt:/pentest/passwords/creddump#./lsadump [system hive] [security hive] |
system hive와 security hive의 경로 및 하이브 파일에 대해서 앞서 설명하였으므로 생략한다.
lsadump.py를 사용하여, LSA secrets 키를 Dump하면 아래와 같은 결과를 얻을 수 있다.
참고 URL 및 도서
- http://support.microsoft.com/kb/256986/en-us
- https://code.google.com/p/creddump/
'Open Source > BackTrack' 카테고리의 다른 글
| BackTrack 내용 중 출판될 책에 포함된 내용은 비공개 처리 (0) | 2013.06.11 |
|---|---|
| [BackTrack5 R3] DotDotPwn (0) | 2013.03.27 |
| [BackTrack5 R3] Rainbowcrack (0) | 2013.02.21 |
| [BackTrack5 R3] Wifi-Honey (0) | 2013.02.19 |
| [BackTrack5 R3] HTExploit (0) | 2013.02.14 |