kkamagi.story

admin$ 공유를 이용한 계정 탈취 특히 누구나 접근 가능한 everyone 으로 열린 admin$ 공유는 매우 위험한 요소. -> mimikatz를 이용한 admin$ 이 공유된 서버의 계정 탈취 테스트 1. 연결정보확인 >net user * /y delete \\xxx.xxx.xxx.xxx\admin$ 계속하면 연결이 취소됩니다. 명령을 잘 실행했습니다. >net use 새 연결 정보가 저장됩니다. 목록에 항목이 없습니다. 2. admin$ 공유를 net use 으로 마운트 >net use \\xxx.xxx.xxx.xxx\admin$ "pwd" /u:"user" 명령을 잘 실행했습니다. 3. 연결 정보 확인 >net use 새 연결 정보가 저장됩니다. 상태 로컬 원격 네트워크OK \\xxx.xxx...

1. net use를 통하여 rpc 연결을 시도 >net user \\IP /u:계정 >query session /server:IP >logoff /server:IP session_ID net use \\192.168.0.1 /user:administrator 이후 패스워드 입력 query session /server:192.168.0.1 => session id를 확인한 후 tsdiscon 21(session id) /server:192.168.0.1 => 연결끊기 시키고자 하는 session id를 확인한 후 logoff 21(session id) /server:192.168.0.1 => 로그오프 시키고자 하는 session id를 확인한 후 네트워크 드라이브 연결 목록 확인 >net use 네트워크..