[OSCP] 15.3.1. Cracking NTLM

🔐Mimikatz와 Hashcat을 활용한 RDP 플래그 획득 과정 정리

요즘 사이버 보안과 해킹 관련 워크숍이나 CTF 대회에서 등장하는 고전 툴 Mimikatz와 Hashcat. 이번 포스팅에서는 위의 캡쳐를 기반으로 RDP 연결을 통해 플래그를 획득한 과정을 정리해 보려고 한다. 보안 전문가, CTF 참가자, 혹은 호기심 많은 블로거라면 재미있게 봐주길!

---

1. Mimikatz 사용 준비
명령어
.\mimikatz.exe
먼저, Mimikatz를 실행한다. 실행 후 권한 승격이 필요한 경우를 대비해 관리자 권한으로 터미널을 열어야 한다.

2. 권한 상승
명령어
privilege::debug
이 명령어는 디버그 권한을 활성화하는 것이다. Windows에서 특정 민감한 데이터를 추출하려면 이 권한이 꼭 필요하다.

 

3. 토큰 승격
명령어
token::elevate

이 명령어는 현재 프로세스의 토큰을 상승시켜 더 높은 권한을 얻는 데 사용된다. 위 캡쳐에서도 성공적으로 승격된 모습을 확인할 수 있다.

4. SAM 데이터베이스 덤프
명령어
lsadump::sam

SAM(Security Account Manager) 데이터베이스를 덤프한다. 여기에는 Windows 사용자 계정과 해시 정보가 담겨 있다. CTF 대회나 교육 목적으로 진행되는 환경에서는 이런 정보를 활용해 다음 단계를 이어간다.

5. 해시 정보 분석: Hashcat 사용
SAM 덤프에서 추출한 NTLM 해시를 Hashcat으로 분석한다.

명령어
hashcat —help | grep -i “ntlm”
해시 유형을 확인하거나 적절한 옵션을 설정하기 위해 Hashcat 명령어를 사용한다. NTLM 해시의 특성을 빠르게 검색해서 사용 가능하다.

6. RDP 연결 및 플래그 확인
추출한 자격 증명 정보를 활용해 RDP(Remote Desktop Protocol) 연결을 시도한다. 성공적으로 연결하면 바탕화면에서 플래그 파일을 확인할 수 있다.

위 캡쳐에서는 바탕화면에 Flag 파일이 위치해 있었다. 이 과정을 통해 플래그를 획득할 수 있었다.

---

요약
Mimikatz로 권한 상승과 SAM 덤프 수행.
Hashcat을 사용해 추출한 해시 분석.
추출된 자격 증명으로 RDP 연결 및 플래그 획득.