「PwDump」の版間の差分
(同じ利用者による、間の11版が非表示) | |||
行1: | 行1: | ||
− | + | [[PwDump]] は、[[Windows]]のパスワードファイル [[SAMデータベース]] から[[ハッシュ化されたパスワード]] ([[パスワード]]の[[ハッシュ]])を取得するツールです。いくつものバージョンや亜種が存在します。[[PwDump]]で得られるパスワードは、ハッシュであるため、[[クリアテキスト]]なパスワードを得るには、[[パスワードクラック]]を必要とします。[[PwDump]]はウイルスではありませんが、クラッキングツールであるため、[[ウイルス対策ソフト]]に検知されます。[[Windows 10]]でも利用可能です。 | |
− | + | ||
− | + | ||
− | 読み方 | + | '''読み方''' |
− | ;[[PwDump]]:ぴーだぶりゅーだんぷ | + | ;[[PwDump]]:ぴーだぶりゅーだんぷ, ぱすわーどだんぷ |
__TOC__ | __TOC__ | ||
== 概要 == | == 概要 == | ||
− | |||
[[PwDump]] は、[[Windows]]のパスワードファイル [[SAMデータベース]] から[[パスワード]]の[[ハッシュ]]を取得するツールです。いくつものバージョンや亜種が存在します。 | [[PwDump]] は、[[Windows]]のパスワードファイル [[SAMデータベース]] から[[パスワード]]の[[ハッシュ]]を取得するツールです。いくつものバージョンや亜種が存在します。 | ||
− | 管理者権限が必要ですが、システムキーが有効であっても、[[DLLインジェクション]]を利用して、[[SAMデータベース]] | + | 管理者権限が必要ですが、システムキーが有効であっても、[[DLLインジェクション]]を利用して、[[SAMデータベース]]から、[[パスワードハッシュ]]を入手できます。 |
− | + | ||
− | + | ||
== インストール == | == インストール == | ||
− | |||
* [[PwDump]] の配布サイトからダウンロードし、解凍するだけです。 | * [[PwDump]] の配布サイトからダウンロードし、解凍するだけです。 | ||
− | |||
== 使い方 == | == 使い方 == | ||
− | |||
C:\tmp\pwdump7 に [[PwDump]] のファイルを解凍した場合です。 | C:\tmp\pwdump7 に [[PwDump]] のファイルを解凍した場合です。 | ||
− | <syntaxhighlight lang=" | + | <syntaxhighlight lang="dos"> |
C:\> cd tmp\pwdump7 | C:\> cd tmp\pwdump7 | ||
C:\tmp\pwdump7> PwDump7.exe | C:\tmp\pwdump7> PwDump7.exe | ||
行27: | 行19: | ||
</syntaxhighlight> | </syntaxhighlight> | ||
− | + | [[パスワードハッシュ]]のリストは、下記のフォーマットです。 | |
− | <syntaxhighlight lang=" | + | <syntaxhighlight lang="dos"> |
account_name:uid:LM_Hash:NTLM_Hash::: | account_name:uid:LM_Hash:NTLM_Hash::: | ||
</syntaxhighlight> | </syntaxhighlight> | ||
+ | |||
+ | [[パスワードハッシュ]] は、2種類あります。 | ||
+ | どちらか片方、もしくは、両方のハッシュがダンプされます。[[Windows]] のバージョンや設定によって異なります。 | ||
+ | ;LM_Hash: [[LMハッシュ]] | ||
+ | ;NTLM_Hash: [[NTLMハッシュ]] | ||
ハッシュの例は、以下の通りです。 | ハッシュの例は、以下の通りです。 | ||
− | <syntaxhighlight lang=" | + | <syntaxhighlight lang="dos"> |
Administrator:500:01fc5a6be7bc6929aad3b435b51404ee:0cb6948805f797bf2a82807973b89537::: | Administrator:500:01fc5a6be7bc6929aad3b435b51404ee:0cb6948805f797bf2a82807973b89537::: | ||
</syntaxhighlight> | </syntaxhighlight> | ||
− | |||
== パスワードクラッキング == | == パスワードクラッキング == | ||
− | + | [[PwDump]]でダンプしたパスワードは、ハッシュであるため、[[クリアテキスト]]なパスワードを取得するには、[[パスワードクラック]]しなければなりません。 | |
[[パスワードクラック]] は、以下のツールで可能です。 | [[パスワードクラック]] は、以下のツールで可能です。 | ||
行46: | 行42: | ||
[[John the Ripper]] で [[パスワードクラック]] する方法を [[Windowsアカウントのパスワードをクラッキングする方法]] で説明します。 | [[John the Ripper]] で [[パスワードクラック]] する方法を [[Windowsアカウントのパスワードをクラッキングする方法]] で説明します。 | ||
− | |||
== ウイルス対策ソフトの反応 == | == ウイルス対策ソフトの反応 == | ||
− | |||
[[ウイルス対策ソフト]] は、[[PwDump]] に検出されます。 | [[ウイルス対策ソフト]] は、[[PwDump]] に検出されます。 | ||
行63: | 行57: | ||
<blockquote> | <blockquote> | ||
+ | <pre> | ||
カテゴリ: | カテゴリ: | ||
ツール | ツール | ||
行70: | 行65: | ||
アドバイス: | アドバイス: | ||
− | + | プログラムまたはソフトウェア発行者を信頼している場合にのみ、 | |
+ | この検出された項目を許可します。 | ||
リソース: | リソース: | ||
行90: | 行86: | ||
process: | process: | ||
pid:8400 | pid:8400 | ||
+ | </pre> | ||
</blockquote> | </blockquote> | ||
− | == | + | == Windowsに対する動作の確認 == |
+ | === Windows XP === | ||
+ | * [[Windows XP]] では、pwdump6 Version 1.7.2 では、正常にダンプできました。 | ||
+ | * pwdump 7.1 では、 PwDump7.exe アプリケーションエラー「アプリケーションを正しく初期化できませんでした (0xc0150002)。\[OK\] をクリックしてアプリケーションを終了してください。」 となりました。 | ||
+ | === Windows 8.1 === | ||
+ | * [[Windows 8.1]] では、[[PwDump]] 7.1 でダンプできました。 | ||
+ | === Windows 10 === | ||
+ | [[Windows 10]] では、[[PwDump]] 7.1 で[[パスワードハッシュ]]を抽出できました。 | ||
+ | == pwdump6 Version 1.7.2 == | ||
+ | コマンドラインオプション | ||
+ | <syntaxhighlight lang="dos"> | ||
+ | C:\Documents and Settings\foo\My Documents\pwdump6-1.7.2\PwDumpRelease>PwDump.exe | ||
+ | Usage: PwDump.exe [-x][-n][-h][-o output_file][-u user][-p password][-s share] machineName | ||
+ | where -h prints this usage message and exits | ||
+ | where -o specifies a file to which to write the output | ||
+ | where -u specifies the user name used to connect to the target | ||
+ | where -p specifies the password used to connect to the target | ||
+ | where -s specifies the share to be used on the target, rather than searching for one | ||
+ | where -n skips password histories | ||
+ | where -x targets a 64-bit host | ||
+ | </syntaxhighlight> | ||
− | * [[ | + | <syntaxhighlight lang="dos"> |
− | * [[ | + | |
+ | C:\Documents and Settings\foo\My Documents\ | ||
+ | pwdump6-1.7.2\PwDumpRelease>PwDump.exe localhost | ||
+ | |||
+ | pwdump6 Version 1.7.2 by fizzgig and the mighty group at foofus.net | ||
+ | Copyright 2008 foofus.net | ||
+ | |||
+ | This program is free software under the GNU | ||
+ | General Public License Version 2 (GNU GPL), you can redistribute it and/or | ||
+ | modify it under the terms of the GNU GPL, as published by the Free Software | ||
+ | Foundation. NO WARRANTY, EXPRESSED OR IMPLIED, IS GRANTED WITH THIS | ||
+ | PROGRAM. Please see the COPYING file included with this program | ||
+ | and the GNU GPL for further details. | ||
+ | |||
+ | |||
+ | Administrator:500:EEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEE:FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF::: | ||
+ | bar:1005:TTTTTTTTTTTTTTTTTTTTTTTTTTTTTTTT:EEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEE::: | ||
+ | foo:1004:NO PASSWORD*********************:NO PASSWORD*********************::: | ||
+ | Guest:501:NO PASSWORD*********************:NO PASSWORD*********************::: | ||
+ | HelpAssistant:1000:HHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHH:EEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEE::: | ||
+ | SUPPORT_388945a0:1002:NO PASSWORD*********************:FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF::: | ||
+ | test:1003:NO PASSWORD*********************:NO PASSWORD*********************::: | ||
+ | Completed. | ||
+ | </syntaxhighlight> | ||
+ | |||
+ | == PwDump 7.1 == | ||
+ | ダウンロードしたものがわるかったのか、解凍できない [[ZIP]] がありました。 | ||
+ | <syntaxhighlight lang="dos"> | ||
+ | I C:\Documents and Settings\foo\My Documents\pwdump7.zip - 解凍を開始します。 | ||
+ | I PwDump7.exe - 正常に解凍されました。 | ||
+ | I readme.txt - 正常に解凍されました。 | ||
+ | E libeay32.dll - 正常に解凍できません。CRC が一致しないか、出力先ファイルが使 | ||
+ | 用中です。 | ||
+ | W エラーまたは警告が発生しています。 | ||
+ | </syntaxhighlight> | ||
+ | |||
+ | 正常に解凍できる [[ZIP]] もあります。 | ||
+ | |||
+ | == PwDumpのバージョン == | ||
+ | |||
+ | === pwdump オリジナル === | ||
+ | [[Windows NT]] マシンの[[Windows NT]]のレジストリ(HKEY_LOCAL_MACHINE\SECURITY\SAM\Domains\Account\Users)にあるパスワードデータベースを smbpasswd フォーマットファイルにダンプするユーテリティです。 | ||
+ | |||
+ | [[PwDump]] (無印) は、オリジナルのプログラムです。 | ||
+ | もし、[[PwDump]] を使用したいなら、もっと新しく再実装されている PwDump 6 や PwDump 7.1 などを利用します。 | ||
+ | === pwdump2 === | ||
+ | pwdump2 は、 [[Windows NT]] / [[Windows 2000]] 向けです。 | ||
+ | [[Windows NT]] の [[SAMデータベース]] の [[パスワードハッシュ]] をダンプするアプリケーションです。 | ||
+ | [[Windows NT]] では、[[SysKey]] による保護を追加できます。 | ||
+ | |||
+ | このプログラムは、オリジナルの [[PwDump]] と同じフォーマットで出力します。 | ||
+ | ダンプするためには、 SeDebugPrivilege の権限が必要です。 | ||
+ | デフォルトでは、[[アドミニストレータ]] だけが SeDebugPrivilege の権限を持ちます。 | ||
+ | === pwdump3 / pwdump3e === | ||
+ | [[Windows NT]] / [[Windows 2000]] 向けです。 | ||
+ | |||
+ | このアプリケーションは、[[PwDump]] と [[PwDump]] 2 を改良したものです。 | ||
+ | |||
+ | pwdump3 は、[[SysKey]] が有効であろうとなかろうとネットワーク経由で動作します。 | ||
+ | pwdump2 から pwdump3 の一番大きい改良は、ネットワークアドミニストレータにリモートの[[Windows NT]] システムから[[パスワードハッシュ]]を取得できることです。 | ||
+ | |||
+ | pwdump3e は、ネットワークに送信する前に、[[パスワードハッシュ]] の情報の暗号化して保護する機能を提供します。 | ||
+ | ネットワークでパスしない[[共通鍵]]の生成には、 [[ディフィー・ヘルマン鍵交換]] を使用し、[[ハッシュ]] の保護のために Windows Crypto API を使用します。 | ||
+ | |||
+ | === pwdump4 === | ||
+ | [[Windows NT]] / [[Windows 2000]] 向けです。 | ||
+ | pwdump4 は、pwdump3 の改良を試みたバージョンです。 | ||
+ | pwdump3 が失敗していたケースで、機能するでしょう。 | ||
+ | |||
+ | === pwdump5 === | ||
+ | [[Windows NT]] / [[Windows 2000]] / [[Windows XP]] / Windows 2003 向けです。 | ||
+ | |||
+ | pwdump5 は、システム上で [[SysKey]] が有効になっていても、[[SAMデータベース]] から [[パスワードハッシュ]] をダンプするアプリケーションです。 | ||
+ | もし、[[SysKey]] が云う億な場合は、プログラムは、[[パスワードハッシュ]] の [[暗号化]]/[[復号]] に使われている 128bit 暗号キーを取り出します。 | ||
+ | |||
+ | === pwdump6 === | ||
+ | [[Windows NT]] / [[Windows 2000]] / [[Windows XP]] / Windows 2003 / [[Windows Vista]] (64bit含む) 向けです。 | ||
+ | pwdump 6 1.7.2 | ||
+ | |||
+ | pwdump6 は、pwdump3e のバージョンから重要な変更がなされました。 | ||
+ | このプログラムは、[[SysKey]] が有効であるかに関わらず、ターゲットの[[Windows]] から [[LMハッシュ]] / [[NTLMハッシュ]] を取り出すプログラムです。 | ||
+ | 現在、クライアントとターゲットの間のデータ転送は、暗号化されません。 | ||
+ | |||
+ | === pwdump7 === | ||
+ | [[Windows NT]] ファミリー / [[Windows 7]] / [[Windows Vista]] 向けです。 | ||
+ | pwdump 7 version 7.1 | ||
+ | |||
+ | pwdump7 は、ローカルファイルシステムに対して動作します。 | ||
+ | ディスクの SYSTEM と [[SAMデータベース]] の両方に直接アクセスできる[[アドミニストレータ]]の権限が必要です。 | ||
+ | 一度ダンプしたら、[[SysKey]] は、SYSTEM から取り出され、[[LMハッシュ]] / [[NTLMハッシュ]] を[[復号]]し、 pwdump ライクなフォーマットで出力します。 | ||
+ | == pwdump7 Version 7.1 == | ||
+ | <syntaxhighlight lang="dos"> | ||
+ | pwdump7.exe (システムのパスワードをダンプします) | ||
+ | pwdump7.exe -s <samfile> <systemfile> (ファイルからパスワードをダンプします) | ||
+ | pwdump7.exe -d <filename> [destionation] (filename から destionation にコピーします) | ||
+ | pwdump7.exe -h (ヘルプを表示します) | ||
+ | </syntaxhighlight> | ||
+ | |||
+ | ダウンロードは、 http://www.tarasco.org/security/pwdump_7/pwdump7.zip からできます。 | ||
+ | == 関連項目 == | ||
+ | * [[SysKey]] | ||
* [[パスワードクラック]] | * [[パスワードクラック]] | ||
+ | * [[DLLインジェクション]] | ||
+ | * [[Pass the Hash]] | ||
+ | {{crack windows password}} | ||
+ | <!-- vim: filetype=mediawiki | ||
+ | --> |
2015年9月22日 (火) 15:46時点における最新版
PwDump は、Windowsのパスワードファイル SAMデータベース からハッシュ化されたパスワード (パスワードのハッシュ)を取得するツールです。いくつものバージョンや亜種が存在します。PwDumpで得られるパスワードは、ハッシュであるため、クリアテキストなパスワードを得るには、パスワードクラックを必要とします。PwDumpはウイルスではありませんが、クラッキングツールであるため、ウイルス対策ソフトに検知されます。Windows 10でも利用可能です。
読み方
- PwDump
- ぴーだぶりゅーだんぷ, ぱすわーどだんぷ
目次
概要
PwDump は、Windowsのパスワードファイル SAMデータベース からパスワードのハッシュを取得するツールです。いくつものバージョンや亜種が存在します。
管理者権限が必要ですが、システムキーが有効であっても、DLLインジェクションを利用して、SAMデータベースから、パスワードハッシュを入手できます。
インストール
- PwDump の配布サイトからダウンロードし、解凍するだけです。
使い方
C:\tmp\pwdump7 に PwDump のファイルを解凍した場合です。
C:\> cd tmp\pwdump7 C:\tmp\pwdump7> PwDump7.exe C:\tmp\pwdump7> PwDump7.exe > hash.txt
パスワードハッシュのリストは、下記のフォーマットです。
account_name:uid:LM_Hash:NTLM_Hash:::
パスワードハッシュ は、2種類あります。 どちらか片方、もしくは、両方のハッシュがダンプされます。Windows のバージョンや設定によって異なります。
ハッシュの例は、以下の通りです。
Administrator:500:01fc5a6be7bc6929aad3b435b51404ee:0cb6948805f797bf2a82807973b89537:::
パスワードクラッキング
PwDumpでダンプしたパスワードは、ハッシュであるため、クリアテキストなパスワードを取得するには、パスワードクラックしなければなりません。 パスワードクラック は、以下のツールで可能です。
John the Ripper で パスワードクラック する方法を Windowsアカウントのパスワードをクラッキングする方法 で説明します。
ウイルス対策ソフトの反応
ウイルス対策ソフト は、PwDump に検出されます。
Windows Defender での例は、以下の通りです。
検出された項目 | 警告レベル |
---|---|
HackTool:Win32/PWDump | 中 |
カテゴリ: ツール 説明: このプログラムは、望ましくない動作をする可能性があります。 アドバイス: プログラムまたはソフトウェア発行者を信頼している場合にのみ、 この検出された項目を許可します。 リソース: file: C:\pwdump7\PwDump7.exe process: pid:11040 process: pid:5856 process: pid:6072 process: pid:6604 process: pid:8400
Windowsに対する動作の確認
Windows XP
- Windows XP では、pwdump6 Version 1.7.2 では、正常にダンプできました。
- pwdump 7.1 では、 PwDump7.exe アプリケーションエラー「アプリケーションを正しく初期化できませんでした (0xc0150002)。\[OK\] をクリックしてアプリケーションを終了してください。」 となりました。
Windows 8.1
- Windows 8.1 では、PwDump 7.1 でダンプできました。
Windows 10
Windows 10 では、PwDump 7.1 でパスワードハッシュを抽出できました。
pwdump6 Version 1.7.2
コマンドラインオプション
C:\Documents and Settings\foo\My Documents\pwdump6-1.7.2\PwDumpRelease>PwDump.exe Usage: PwDump.exe [-x][-n][-h][-o output_file][-u user][-p password][-s share] machineName where -h prints this usage message and exits where -o specifies a file to which to write the output where -u specifies the user name used to connect to the target where -p specifies the password used to connect to the target where -s specifies the share to be used on the target, rather than searching for one where -n skips password histories where -x targets a 64-bit host
C:\Documents and Settings\foo\My Documents\ pwdump6-1.7.2\PwDumpRelease>PwDump.exe localhost pwdump6 Version 1.7.2 by fizzgig and the mighty group at foofus.net Copyright 2008 foofus.net This program is free software under the GNU General Public License Version 2 (GNU GPL), you can redistribute it and/or modify it under the terms of the GNU GPL, as published by the Free Software Foundation. NO WARRANTY, EXPRESSED OR IMPLIED, IS GRANTED WITH THIS PROGRAM. Please see the COPYING file included with this program and the GNU GPL for further details. Administrator:500:EEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEE:FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF::: bar:1005:TTTTTTTTTTTTTTTTTTTTTTTTTTTTTTTT:EEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEE::: foo:1004:NO PASSWORD*********************:NO PASSWORD*********************::: Guest:501:NO PASSWORD*********************:NO PASSWORD*********************::: HelpAssistant:1000:HHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHH:EEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEE::: SUPPORT_388945a0:1002:NO PASSWORD*********************:FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF::: test:1003:NO PASSWORD*********************:NO PASSWORD*********************::: Completed.
PwDump 7.1
ダウンロードしたものがわるかったのか、解凍できない ZIP がありました。
I C:\Documents and Settings\foo\My Documents\pwdump7.zip - 解凍を開始します。 I PwDump7.exe - 正常に解凍されました。 I readme.txt - 正常に解凍されました。 E libeay32.dll - 正常に解凍できません。CRC が一致しないか、出力先ファイルが使 用中です。 W エラーまたは警告が発生しています。
正常に解凍できる ZIP もあります。
PwDumpのバージョン
pwdump オリジナル
Windows NT マシンのWindows NTのレジストリ(HKEY_LOCAL_MACHINE\SECURITY\SAM\Domains\Account\Users)にあるパスワードデータベースを smbpasswd フォーマットファイルにダンプするユーテリティです。
PwDump (無印) は、オリジナルのプログラムです。 もし、PwDump を使用したいなら、もっと新しく再実装されている PwDump 6 や PwDump 7.1 などを利用します。
pwdump2
pwdump2 は、 Windows NT / Windows 2000 向けです。 Windows NT の SAMデータベース の パスワードハッシュ をダンプするアプリケーションです。 Windows NT では、SysKey による保護を追加できます。
このプログラムは、オリジナルの PwDump と同じフォーマットで出力します。 ダンプするためには、 SeDebugPrivilege の権限が必要です。 デフォルトでは、アドミニストレータ だけが SeDebugPrivilege の権限を持ちます。
pwdump3 / pwdump3e
Windows NT / Windows 2000 向けです。
このアプリケーションは、PwDump と PwDump 2 を改良したものです。
pwdump3 は、SysKey が有効であろうとなかろうとネットワーク経由で動作します。 pwdump2 から pwdump3 の一番大きい改良は、ネットワークアドミニストレータにリモートのWindows NT システムからパスワードハッシュを取得できることです。
pwdump3e は、ネットワークに送信する前に、パスワードハッシュ の情報の暗号化して保護する機能を提供します。 ネットワークでパスしない共通鍵の生成には、 ディフィー・ヘルマン鍵交換 を使用し、ハッシュ の保護のために Windows Crypto API を使用します。
pwdump4
Windows NT / Windows 2000 向けです。 pwdump4 は、pwdump3 の改良を試みたバージョンです。 pwdump3 が失敗していたケースで、機能するでしょう。
pwdump5
Windows NT / Windows 2000 / Windows XP / Windows 2003 向けです。
pwdump5 は、システム上で SysKey が有効になっていても、SAMデータベース から パスワードハッシュ をダンプするアプリケーションです。 もし、SysKey が云う億な場合は、プログラムは、パスワードハッシュ の 暗号化/復号 に使われている 128bit 暗号キーを取り出します。
pwdump6
Windows NT / Windows 2000 / Windows XP / Windows 2003 / Windows Vista (64bit含む) 向けです。 pwdump 6 1.7.2
pwdump6 は、pwdump3e のバージョンから重要な変更がなされました。 このプログラムは、SysKey が有効であるかに関わらず、ターゲットのWindows から LMハッシュ / NTLMハッシュ を取り出すプログラムです。 現在、クライアントとターゲットの間のデータ転送は、暗号化されません。
pwdump7
Windows NT ファミリー / Windows 7 / Windows Vista 向けです。 pwdump 7 version 7.1
pwdump7 は、ローカルファイルシステムに対して動作します。 ディスクの SYSTEM と SAMデータベース の両方に直接アクセスできるアドミニストレータの権限が必要です。 一度ダンプしたら、SysKey は、SYSTEM から取り出され、LMハッシュ / NTLMハッシュ を復号し、 pwdump ライクなフォーマットで出力します。
pwdump7 Version 7.1
pwdump7.exe (システムのパスワードをダンプします) pwdump7.exe -s <samfile> <systemfile> (ファイルからパスワードをダンプします) pwdump7.exe -d <filename> [destionation] (filename から destionation にコピーします) pwdump7.exe -h (ヘルプを表示します)
ダウンロードは、 http://www.tarasco.org/security/pwdump_7/pwdump7.zip からできます。