smart port forwarding을 다운받고 관리자 모드로 실행
패킷을 잡아서 내부(80 port)로 집어넣음 아주 간단.
관리자 명령 프롬포트에서 event viewer 들어가주기
윈도우 로그는 5개 종류가 있다.
everything툴을 통해 해당 기간에 어떤 활동을 하는지 알 수 있음
everything 툴을 사용해보자.
lsasrv.dll을 치면 이렇게 나온다.
계정을
net user subin 1234 /add
를 cmd로 치면 subin이라는 계정을 만들 수 있음
이 과정에서 NTLM V2로 패스워드를 해시함수를 통해 해시값을 만들고 sam 파일에 저장해둔다.
Windows\System32\config\SAM 파일에 저장돼 있음
패스워드 크랙할 때는 해당 파일에서 찾아내야됨!
id와 pwd를 치면 winlogon.exe이 받아들이고 lsass.exe에게 인증을 부탁한다.(이것을 lsasrv.dll이 다 한다고 생각하면 됨)
해시값을 구해 sam 파일에 저장된 해시값과 같은지를 비교 . 이후 access token(보안 식별자)에게 권한 부여를 함.
모든 파일엔 보안 설명자 속성이 있음. 이때 보안 식별자와 보안 설명자 속성에 있는 내용들을 비교하고 같은지 확인하는 과정을 거침...
더 공부하자