در این بخش از Pentest Tips ما قصد داریم تا شما را با یکی از نکات مهم در استفاده از دستور hashdump آشنا نماییم. لازم به ذکر است که در این سناریو سیستم هدف سرور 2012R2 بوده و بر روی آن سرویس اکتیودایرکتوری نصب شده است.
یکی از ابزارهای کاربردی در زمینه تست نفوذ ابزار متاسپلویت است. از این ابزار برای اکسپلویت نمودن آسیب پذیری های مختلف استفاده می شود.
برای دسترسی به یک سیستم ما باید یک Payload را تنظیم نماییم. یکی از معروف ترین و پرکاربرد ترین پیلود ها، Meterpreter می باشد.
در محیط Meterpreter دستورات فراوانی وجود دارد که یکی از آن ها hashdump است. از hashdump برای استخراج hash های سیستم استفاده می شود. یکی از نکاتی که در استفاده از این دستور باید توجه داشت، نوع معماری مربوط به Meterpreter می باشد.
در صورتی که معماری سیستم مقصد x64 باشد و شما از پیلود x86 استفاده نمایید، امکان استفاده ازدستور hashdump وجود ندارد. همانطور که در تصویر زیر قابل مشاهده می باشد، اجرای این دستور با پیام خطا مواجه می شود.
توجه داشته باشید که در این سناریو پیلود انتخاب شده x86 بوده و معماری سیستم هدف x64 می باشد.
برای حل این مشکل شما می توانید یا از یک پیلود x64 استفاده نمایید و یا پروسس جاری را به پروسس دیگری که دسترسی ادمین دامین به آن وجود دارد اصطلاحا Migrate نمایید. همانطور که در تصویر زیر قابل مشاهده می باشد این عملیات انجام شده و دستور hashdump نیز به درستی اجرا می گردد.
ولی اگر شما از پیلود x64 استفاده نمایید پس از گرفتن Meterpreter، اجرای دستور hashdump بدون مشکل انجام می شود. در تصویر زیر این موضوع را مشاهده می نمایید.
همانطور که در تصویر بالا نیز مشخص می باشد، معماری سیستم هدف و معماری پیلود استفاده شده، هر دو x64 است.
