#!

路上に就職!

windows10でPwDdump7を実行メモ

windows 10でPwDdump7を実行した時にWindows defenderなどがどう動くか気になったので確認してみた。

環境は

項目
エディション Windows 10 Home
バージョン 1607
OSビルド 14393.2189

ダウンロードするとwindows defenderに「害を及ぼす可能性のあるソフトウェアが検出されました」 と検知されるが通知が出るだけで削除自体はされない。

一般ユーザ権限と管理者権限で実行した違いは以下の通り。

アカウントの権限 成功の有無
一般ユーザー権限 失敗
管理者権限 成功  

実行が成功した際は以下のようにローカルユーザーのhashが表示される。

PS C:\Users\user\Desktop\pwdump7> .\PwDump7.exe
Pwdump v7.1 - raw password extractor
Author: Andres Tarasco Acuna
url: http://www.514.es

Administrator:500:6C918A924D141390C235A5192A4E87AC:C8D7013012A73F16FE6F05389E4BF8CC:::
Guest:501:86FD20C518447C071CADEAA80E84C012:199BB099A1BABC1FC23F27B742D9AF7C:::
:503:C0A2EE133A2A0CC3E5287E22073A55C3:8D592534F0F813BAB0D7830FA3B1C215:::
:1000:6D1BC8536F6D103CD210348ECD48EE1C:A7703305E47032A5953FACF76E4D4C57:::
user:1001:35F07197BDE1639FD359DBC60D53AFDD:44A23D7C2D753760993C8612EDB62E74:::
:1003:2ACA8281179753BD7B374E5CB52FAE92:FD2288B19964CB1E9AE5E214F8502909:::

hashは取得できたがWindows10でPwdump7を使用すると間違ったハッシュを得られるという情報を見つける。。

https://www.slideshare.net/abend_cve_9999_0001/your-hash-is

userのNTLM hashをmimikatzとPwDump7で取得して比較すると

ツール hash
PwDump7 44a23d7c2d753760993c8612edb62e74
Mimikatz 57d583aa46d571502aad4bb7aea09c70

違う。。 オンラインのhashクラッカーに投げてみる。 上がPwDump7で下がMimikatz

f:id:x6d61:20180922192852p:plain

userのパスワードはuserに設定してるのでMimikatzが正しくてPwDump7が間違ってることがわかる。

結論

Windows10ではPwDump7は使えない。