Записки пентестера #0. Дампим SAM-файл

С возвращением меня. В очередной раз.

После смены мной рода деятельности и попадания из blue team в red team, внезапно, перестал пополняться блог. Я успел привыкнуть писать относительно объёмные статьи, а в деталях описывать происходящее на работе, ясное дело, возможности нет. Значит нужно искать новый формат! Решил попробовать короткие «записки пентестера» о конкретных инструментах, методах и проблемах.

Сегодня на повестке SAM-файл. Казалось бы, что может пойти не так? Об извлечении хэшей из SAM-файла известно уже целую вечность, но есть нюанс. В ходе внутреннего пентеста мы загрузили на предоставленных нам заказчиком компьютерах Kali Linux в режиме Live USB. Подключив диск офисного компьютера и найдя там файлы SAM и SYSTEM, необходимые для того, чтобы выгрузить дамп, мы наткнулись на проблему — все хэши идентичны.

Если Вам это кажется неправильным — так оно и есть. Пробуем другой инструмент — pwdump. Результат отрицательный.

Недолгий гуглинг подтверждает проблему — все имеющиеся в Kali инструменты для работы с SAM используют компонент bkhive, который уже долгое время сломан. Такие дела. На форуме есть пост с инструкцией о том, как установить более старую версию samdump2 и bkhive, но мне это не помогло. Проблема налицо, теперь решение (правда, потребуется виртуалка с виндой): будем использовать lsadump::sam из состава mimikatz. У модуля имеется т.н. offline-функциональность, когда выгруженные с машины SAM и SYSTEM можно потом сдампить на другой машине. Для этого надо добавить два параметра и хэши наши:

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *