パスワードを危険にさらすことなく、辞書攻撃に対するWindowsドメインユーザーのパスワードを確認する

こんにちは、同僚。 私が受けた興味深い経験についてお話したいと思います。 たぶん誰かが役に立つでしょう。

現代の世界では、パスワードはどこでも使用されています。 企業のコンピューター、個人の電話やタブレット、郵便などで。 そして、パスワードは強力であるべきだと誰もが繰り返し説明しているように思われます。 パスワードには個人データ、辞書の単語、単純な組み合わせなどを含めるべきではないという推奨事項が示されました。 それでも、より多くの人々がシンプルなパスワードを使い続けています。 これは、セキュリティ要件に違反しているだけでなく、個人データと企業データの両方にとって重大な危険を表しています。

したがって、複雑なソフトウェアをインストールすることなく、即興のツールを使用して、辞書攻撃に対する耐性についてドメインユーザーのパスワードをチェックするタスクが発生します。 同時に、パスワードは機密扱いにする必要があります。 つまり そのため、試験官はパスワードを明確な形式で見ることはできませんが、同時にパスワードは辞書の単語であると明確に言うことができます。

ドメインはMicrosoft Windowsに基づいて構築されているため、この問題を解決するために、ドメインユーザーのパスワードハッシュと辞書ハッシュを比較することにしました。 一般に、このアプローチはどのシステムからのハッシュにも適用できます。 ユーザーハッシュを取得する方法のみが変更されます。

Windowsドメインのユーザーパスワードのハッシュは、ntds.ditファイルから取得できます。 しかし、通常モードでは、システムへのアクセスは禁止されています。 Googleを使用すると、ドメインコントローラーの標準的な手段を使用して、ntds.ditファイルのコピー（ドメインユーザーのログイン/ハッシュを含む）を取得する機会が見つかりました。

ntds.ditのコピーを取得するには、ntdsutil.exeユーティリティの機能が使用されます。 それを使用して、システムのスナップショット（ボリュームシャドウサービス）を取得し、SYSTEMファイルのコピーを取得する必要があります（ntds.ditデータベースからハッシュを抽出するキーが含まれています）。
コピーを作成するには、次のコマンドを実行します。

C:\>ntdsutil ntdsutil: activate instance ntds ntdsutil: ifm ifm: create full c:\audit ifm: quit ntdsutil: quit 

作業の結果、C：\ Auditディレクトリが表示されます。 ディレクトリ内には、Active Directoryとレジストリの2つのフォルダがあります。 したがって、最初のファイルにはntds.ditのコピーが含まれ、2番目のファイルにはSYSTEMおよびSECURITYレジストリブランチが含まれます。 これらのフォルダーは、別のコンピューターにコピーするか、ドメインコントローラーに残すことができます。

次に、ntds.ditからドメインユーザーのログインとパスワードを抽出する必要があります。 これを行うには、小さなntds_decryptユーティリティを使用します。 ntds_decode.zipで入手できます。 アーカイブをダウンロードして解凍します。 2つのファイルを取得します。 実際に実行可能なファイルとオプションの説明付きのREADME。

 ntds_decode -s FILE -d FILE -m -i -s <FILE> : SYSTEM registry hive -d <FILE> : Active Directory database -m : Machines (omitted by default) -i : Inactive, Locked or Disabled accounts (omitted by default) 

ユーティリティを使用するには、「管理者」権限でコマンドラインを実行する必要があります。 cmd.exeファイルを右クリックして、「管理者として実行」オプションを選択します。 コマンドプロンプトで、ユーティリティを実行します。

 ntds_decode -s C:\Audit\registry\SYSTEM -d "C:\Audit\Active Directory\ntds.dit" 

ここでは、メインパラメータ（ntds.ditおよびSYSTEMファイルへのパス）を使用してユーティリティを実行します。 ロックまたは無効化されたアカウント（オプション-i）、およびコンピューターアカウント（オプション-m）は必要ありません。

その結果、hashes.txtファイルを取得します。 ファイル形式はpwdump形式に似ており、ほとんどのブルートフォースプログラム（L0phtCrackなど）で受け入れられます。 ファイル形式は次のとおりです。

 <username>:<rid>:<lm hash>:<ntlm hash>:<description>:<home directory> 

実際、hashes.txtファイルでは、主に「ユーザー名」フィールドと「ntlmハッシュ」フィールドに関心があります。

OK、生データを取得しました。 今、辞書が必要です。 私は、インターネット上の辞書の1つを92 MBのサイズで900万語で取りました。 ただし、標準テンプレートを使用して少し拡張したいと思います。 たとえば、最後にいくつかの数字を追加したり、文字の大文字と小文字を変更したりします。 この操作のために、古き良きジョン・ザ・リッパーが見事に登場しました。 その機能には、特定のルールに従って辞書を変更する機能があります。 私はJtRの機能を制限しないことを決定し、可能なすべての突然変異を含む標準バージョンでJtRを起動しました。

 john --wordlist=9mil.txt --rules dict.txt 

しばらくして、約1億3100万語を含むdict.txtファイルを入手しました。 次に、NTLMハッシュを取得する必要がある単語について説明します。 なぜなら ハッシュとハッシュを比較したかったのです。 辞書のNTLMハッシュを計算するには、HashManagerユーティリティのセットを使用します。 HashManagerアドレスで取得できます。 ところで、辞書を変更するためのユーティリティも含まれています。 ただし、優れたGenerateHashListユーティリティが必要です。 ソースファイル内のすべてのパスワードのハッシュを生成します。

解凍されたアーカイブで、ボーナスフォルダー-GenerateHashListに移動します。 コマンドプロンプトでパラメーターを指定してbatファイルを実行します。

 generate.bat NTLM dict.txt 

しばらくしてから、辞書のハッシュを含むdictionary.txtファイルを取得します。 ファイルサイズは約4.3 GBです。 これは非常に大きなファイルです。 そして理想的には、すでにSQLの使用に切り替える必要がありますが、したくありませんでした。 これは要件に適合しませんでした。可能であれば、複雑なソフトウェアのインストールを必要としない即興のツールを使用してください。

次に、まず、Windowsの機能を使用することにしました。 つまり、FINDSTRユーティリティ。 このユーティリティを使用すると、ファイル内の文字列を検索できます。これは、FINDユーティリティの更新バージョンです。 Googleを使用して、hashes.txtファイルからハッシュを読み取り、dictioanry.txtファイルでハッシュを検索するソリューションが見つかりました。 実際、コマンドは次のとおりです。

 (for /f "usebackq tokens=1,4 delims==:" %%i in ("hashes.txt") do FINDSTR /I /B "%%j" Dictionary_sort.txt && Echo %%i>>"audit.txt" && Echo %%i %%j>>"audit_full.txt") 

ユーティリティの結果は2つのファイルになります。

-パスワードハッシュが辞書で見つかったユーザーのユーザー名のみを含むaudit.txt
-ログインに加えて、ハッシュ自体を含むaudit_full.txt。 これは、ユーザーがハッシュがディクショナリで見つかったことに疑問がある場合です。

既存のhashes.txtファイルには、約20,000行が含まれていました。 検索ユーティリティを実行すると、Lenovo X220ラップトップで辞書で1つのハッシュを検索するのに約40秒かかることがわかりました。 利用可能な行数と平均検索時間を見積もると、すべてのハッシュの検索には約10日かかることがわかりました。 確かに、結果はプロセスで見ることができます。 見つかったハッシュはすぐにaudit.txtファイルに分類されるため。 より強力なコンピューターでは、速度は速くなりますが、それほどではありません。 線形検索はかなり面倒です。 また、検索時間は辞書のボリュームに直接依存します。 一般に、これは有効なオプションですが、不便です。

次に、検索スクリプトを作成することにしました。 私は長い間Pythonに興味があり、最近、YoutubeでハーバードCS50の講義を見ながら、バイナリ検索アルゴリズムを思い出し、辞書でハッシュを検索するためにそれを実装しようとすることにしました。 さあ、行こう！

まず、辞書をソートする必要があります。 これはバイナリ検索に必要であり、さらに、パスワードのセキュリティをさらに確保します。 ソート後、辞書のハッシュと単語を明確に一致させることはできないためです。 目標に基づいて、手元のツールを使用し、WindowsのSORTユーティリティを使用します。 コマンドプロンプトで、次のコマンドを実行します。

 sort dictionary.txt > dictionary_sort.txt 

ソートされたハッシュ辞書を取得しました。 これでスクリプト自体。 私はPythonの専門家ではなく、ただ学習しているだけなので、Googleとさまざまなわいせつな言葉の助けを借りて、スクリプトをまとめて機能させました。 当然、スクリプトは最適ではなく、恐ろしく見えますが、動作します。 パラメーターとして、hahes.txtファイルへのパス、辞書ファイルへのパス、および結果を記録するためのパス（audit.txt、audit_full.txt）が渡されます。

起動フォーマット：

 PassAudit.exe -ic:\audit\hashes.txt -dc:\audit\dictionary_sort.txt -oc:\audit\ 

スクリプト自体は次のとおりです。

 import argparse #    parser = argparse.ArgumentParser(description='This script testing passwords against dictioanry attack. ' 'It takes hashes from file and compares to hashes in dictionary.' 'Accounts with weak password outputs into the file audit.txt ' 'and audit_full.txt. You can not get clear password from hash.' 'To get hashes from domain controller you should execute next commands' 'at command prompt on domain controller: ' 'cd c:\\ -> ntdsutil "activate instance ntds" ifm "create full c:\\pentest" quit quit' ' -> cd c:\\password\\ -> ntds_decode -sc:\\pentest\\registry\\SYSTEM ' '-d \"c:\\pentest\\Active Directory\\ntds.dit\" ' 'After that you will get file hashes.txt. ntds_decode.exe you can get here: ' 'http://www.insecurety.net/downloads/pwdtools/ntds_decode.zip ' 'Dictionary hashes file must be sorted and formated one hash per line. ' 'You can make it from any dictionary with John the Ripper and Hash manager ' 'or any other programs. Copyright Handy761. 2016') parser.add_argument('-i', '--input', help='Full path to hashes file', required=True) parser.add_argument('-d', '--dictionary', help='Full path to dictionary file', required=True) parser.add_argument('-o', '--output', help='Path to output files', required=True) args = parser.parse_args() #  hashes.txt   f0 = open(args.input) f = open(args.dictionary) #      result_file_path0 = args.output + '\\' + 'Audit.txt' #   Audit r0 = open(result_file_path0, "w") result_file_path1 = args.output + '\\' + 'Audit_full.txt' #   Audit_full r = open(result_file_path1, "w") #     pass_hash = '' #   while True: #     f.seek(0, 2) #     begin = 0 #     end = f.tell() #..   ,          .     lines_begin = 0 #   . ..   32       34 lines_end = end / 34 #   Hashes.txt       pass_line = f0.readline() if ("" == pass_line): print("file finished") break #   .  : pass_line_parse = pass_line.split(":") #  ntlm_hash       . ..      . pass_hash = pass_line_parse[3] + '\n' #        point1 = 100 #      1,  . while (point1 > 1): #   point1 = (lines_end - lines_begin) // 2 #         ,             34      if lines_begin > 0: point = (lines_begin + point1) * 34 else: point = point1 * 34 #        f.seek(point, 0) #    line_key = f.readline() #        hashes.txt   ,       .  ,    (  ),              .    . if pass_hash == line_key: print(pass_line_parse[0], line_key) r.write(pass_line_parse[0]) r.write(' ') r.write(line_key) r0.write(pass_line_parse[0]) r0.write('\n') break elif pass_hash > line_key: begin = f.tell() lines_end = end / 34 lines_begin = begin / 34 else: end = f.tell() lines_end = end / 34 lines_begin = begin / 34 #     f.close() f0.close() r.close() r0.close() 

便宜上、スクリプトをexeファイルにコンパイルしました。 開始後、同じデータセットで、検索時間は約3分でした。

ドメインユーザーのパスワードハッシュを取得し、ディクショナリで確認するためにここにリストされている操作はすべて、スクリプトでかなり自動化されています。 辞書ハッシュの生成は1回限りの操作であり、必要に応じて実行されます。

したがって、ドメインコントローラーからユーザーパスワードハッシュを定期的にダウンロードし、それらを辞書と照合し、結果をテクニカルサポートサービスに送信して弱いパスワードをユーザーに通知するスクリプトを構成できます。

おそらくこれはすべて、より簡単に、より速く、より美しく行うことができますが、いずれにしても興味深い体験でした。