カーネルダンプからドメイン名、コンピューター名を確認するには「dpu mrxsmb!SmbCeContext」で確認できます。また、同じコマンドで、SKU + ビルド番号、SKU + バージョンも確認できます。ダンプを採取した環境の「システムのプロパティ」(= sysdm.cpl) は以下です。ダンプを採取した環境の「Windows のバージョン情報」(= winver.exe) は以下です。情報元Finding the Computer Name in a Crash Dump (英語)...
- 2021/02/28(日) 18:15:56|
- WinDbg
-
| トラックバック:0
-
| コメント:0
パケットキャプチャーからドメインユーザーのパスワードを復元する方法を紹介します。1. パケットキャプチャー (Windows Server 2019 で試しています。)1.1. Kerberos 認証時のパケットキャプチャーを実施します。今回は、ドメインユーザー duser が、ドメインのメンバーサーバーにログインしている際のパケットを、そのメンバーサーバー上の他のユーザーでパケットキャプチャーしました。1.2. パケットキャプチャーを開き「kerber...
- 2021/02/27(土) 23:22:08|
- ネットワーク
-
| トラックバック:0
-
| コメント:0
!storagekd を使用することで、カーネルダンプからディスクの情報を取得できます。!storagekd.storclass ストレージを表示します。以下は Azure の VM のカーネルダンプでの出力です。2つのディスクが使用されていることがわかります。ダンプを取得した環境のディスクの管理 (diskmgmt.msc) は以下です。!storagekd.storclass <FDO のアドレス>!storagekd.storclass の出力の「FDO」のアドレスを引数に渡すことで、より詳細...
- 2021/02/24(水) 18:47:42|
- WinDbg
-
| トラックバック:0
-
| コメント:0
カーネルダンプからレジストリの値を確認するには「!reg querykey」コマンドを使用します。!reg querykey <キーのパス>!reg querykey に指定する引数は、以下の方法でも確認できます。1.「!reg hivelist」を実施し、確認したいレジストリの HiveAddr を確認2.「!reg openkeys <上記 1 で確認した HiveAddr>」を実施...
- 2021/02/16(火) 20:32:28|
- WinDbg
-
| トラックバック:0
-
| コメント:0
Kerberos の Golden Ticket を取得して、ドメインのリソースにアクセスする方法を紹介します。流れは以下です。1. ドメインコントローラーから ntds.dit と SYSTEM をコピー2. ドメインの SID を確認3. impacket を用いて、krbtgt のパスワードハッシュを取得4. mimikatz を用いて、Golden Ticket を取得1. ドメインコントローラーから ntds.dit と SYSTEM をコピー (Windows Server 2019 で試しています。)1.1. ドメインコントロ...
- 2021/02/14(日) 17:36:05|
- AD
-
| トラックバック:0
-
| コメント:0
カーネルダンプからハードウェア情報を取得できるコマンド !sysinfo と !cpuinfo を紹介します。!sysinfo!sysinfo は複数の引数をとります。!sysinfo を実行すると、引数が確認できます。!sysinfo cpuinfo を実行すると、CPU の情報を取得できます。!sysinfo machineid を実行すると、そのマシンの情報がわかります。以下は Azure の仮想マシン上のダンプに対する実行結果です。AWS EC2 インスタンスのダンプに対する実行結果では...
- 2021/02/07(日) 21:25:09|
- WinDbg
-
| トラックバック:0
-
| コメント:0