windows 10でPwDdump7を実行した時にWindows defenderなどがどう動くか気になったので確認してみた。
環境は
| 項目 | 値 |
|---|---|
| エディション | Windows 10 Home |
| バージョン | 1607 |
| OSビルド | 14393.2189 |
ダウンロードするとwindows defenderに「害を及ぼす可能性のあるソフトウェアが検出されました」 と検知されるが通知が出るだけで削除自体はされない。
一般ユーザ権限と管理者権限で実行した違いは以下の通り。
| アカウントの権限 | 成功の有無 |
|---|---|
| 一般ユーザー権限 | 失敗 |
| 管理者権限 | 成功 |
実行が成功した際は以下のようにローカルユーザーのhashが表示される。
PS C:\Users\user\Desktop\pwdump7> .\PwDump7.exe Pwdump v7.1 - raw password extractor Author: Andres Tarasco Acuna url: http://www.514.es Administrator:500:6C918A924D141390C235A5192A4E87AC:C8D7013012A73F16FE6F05389E4BF8CC::: Guest:501:86FD20C518447C071CADEAA80E84C012:199BB099A1BABC1FC23F27B742D9AF7C::: :503:C0A2EE133A2A0CC3E5287E22073A55C3:8D592534F0F813BAB0D7830FA3B1C215::: :1000:6D1BC8536F6D103CD210348ECD48EE1C:A7703305E47032A5953FACF76E4D4C57::: user:1001:35F07197BDE1639FD359DBC60D53AFDD:44A23D7C2D753760993C8612EDB62E74::: :1003:2ACA8281179753BD7B374E5CB52FAE92:FD2288B19964CB1E9AE5E214F8502909:::
hashは取得できたがWindows10でPwdump7を使用すると間違ったハッシュを得られるという情報を見つける。。
https://www.slideshare.net/abend_cve_9999_0001/your-hash-is
userのNTLM hashをmimikatzとPwDump7で取得して比較すると
| ツール | hash |
|---|---|
| PwDump7 | 44a23d7c2d753760993c8612edb62e74 |
| Mimikatz | 57d583aa46d571502aad4bb7aea09c70 |
違う。。 オンラインのhashクラッカーに投げてみる。 上がPwDump7で下がMimikatz
userのパスワードはuserに設定してるのでMimikatzが正しくてPwDump7が間違ってることがわかる。
結論
Windows10ではPwDump7は使えない。