Metasploit - ข้อมูลรับรอง

หลังจากเข้าถึงเครื่องได้แล้วสิ่งสำคัญคือต้องรับข้อมูลที่ละเอียดอ่อนทั้งหมดเช่นชื่อผู้ใช้และรหัสผ่าน คุณสามารถดำเนินการนี้เพื่อวัตถุประสงค์ในการตรวจสอบได้เช่นกันเพื่อวิเคราะห์ว่าระบบในองค์กรของคุณใช้รหัสผ่านที่คาดเดายากหรือไม่

ใน Windows รหัสผ่านจะถูกเก็บไว้ในรูปแบบที่เข้ารหัสซึ่งเรียกว่า NTLM hash. ในระบบปฏิบัติการ Windows คุณควรมองหาผู้ใช้ที่มีหมายเลข 500 ซึ่งแสดงว่าผู้ใช้เป็นไฟล์superuser.

ใน Metasploit เวอร์ชันฟรีข้อมูลรับรองแฮชจะต้องถูกบันทึกไว้ในไฟล์ข้อความหรือในฐานข้อมูล Metasploit

ตัวอย่าง

ลองใช้สถานการณ์ที่เราใช้ในบทที่แล้ว สมมติว่าเรามีเครื่อง Windows Server 2003 ซึ่งเสี่ยงต่อ DCOM MS03-026 เราสามารถเข้าถึงระบบนี้และใส่ไฟล์meterpreter น้ำหนักบรรทุก

คำสั่งที่ใช้โดยทั่วไปใน meterpreter คือ hashdump ซึ่งจะแสดงรายชื่อผู้ใช้และรหัสผ่านทั้งหมด

คุณยังสามารถใช้ Armitage เพื่อดึงข้อมูลนี้ดังที่แสดงในภาพหน้าจอต่อไปนี้

Metasploit รุ่นเชิงพาณิชย์มีเซสชันแยกต่างหากที่เรียกว่า Credentialซึ่งอนุญาตให้รวบรวมจัดเก็บและนำข้อมูลรับรองกลับมาใช้ใหม่ มาดูกันว่าจะไปเกี่ยวกับเรื่องนี้ได้อย่างไร

ในการรวบรวมข้อมูลที่ละเอียดอ่อนขั้นแรกไปที่: หน้าแรก→ชื่อโครงการ→เซสชัน

คลิกที่เซสชันที่ใช้งานอยู่

จากนั้นคลิก Collect System Data. มันจะรวบรวม HASH และรหัสผ่านทั้งหมด

คุณจะเห็นหน้าจอดังนี้ -

หากต้องการดูข้อมูลรับรองที่รวบรวมให้ไปที่หน้าแรก→ชื่อโครงการ→ข้อมูลรับรอง→จัดการ

ดังที่แสดงในภาพหน้าจอต่อไปนี้คุณจะเห็นรหัสผ่านทั้งหมดที่ได้รับและรหัสผ่านที่อาจแตกได้