・Windowsのクレデンシャルダンプ の変更点

• 追加された行はこの色です。
• 削除された行はこの色です。
• ・Windowsのクレデンシャルダンプ へ行く。
• ・Windowsのクレデンシャルダンプ の差分を削除

#author("2019-11-13T09:30:08+09:00","","")
[[・認証情報のダンプ]]

*Windowsのクレデンシャルダンプ [#n4dd8bd9]
**Security Account Manager(SAM)への攻撃 [#de051d3b]
SAMはローカルアカウントのデータベースです。ツールを使ってSAMからハッシュされた認証情報を取得します。また、RegコマンドでレジストリからSAMをダンプします。アクセスにはAdministrator権限が必要です。
**ドメインコントローラーが利用できない場合のキャッシュログオン情報への攻撃 [#wd69f57d]
キャッシュログオンを実現するための DCC2(Domain Cached Credentials version 2) のハッシュを取得します。メモリ上もしくはレジストリのDCC2ハッシュはツールを使いダンプします。
**Local Security Authority (LSA) への攻撃 [#afcfad19]
LSAとはローカル認証やドメイン認証を実現する認証コンポーネントの中核です。このLSAに対して、SYSTEM権限（Administrator権限より上位）でツールを使い、アクセスする事で、アカウント情報へアクセスが可能となります。
**ドメインコントローラーのNTDSへの攻撃 [#z98b9b02]
NTDSにはドメインのユーザー情報（認証情報、アクセス権）が保存されています。ドメインコントローラー上でツールを使うことでハッシュされた情報を取得できます。
**SSPのプレーンテキストの資格情報 [#k37f8b19]
上記の攻撃はハッシュされた資格情報であり、辞書攻撃やブルートフォース攻撃でハッシュ値と合致するパスワードを取得しなければならないため、容易ではありません。一方で、WindowsはHTTPアクセスの際のダイジェスト認証(Wdigest)をはじめとする様々な資格情報を保存します。これらの情報はプレーンテキストで保存されるため、AdministratorもしくはSYSTEM権限でツールを利用することでダンプが可能です。