404エラーページにカモフラージュしたログインページ

昔からあるものでこれ自体は新しいものではないが、頻度が上がってきてるという記事。 403などいくつかバージョンがある。 スクロールバーが無いため気づきにくいが、ページの下部にWebシェルのログインフォームなどが仕掛けられている。

似た話でURLにアクセスしたときに404と返すのはサーバの仕掛け次第なので、 ログを確認するときに404だから通信が失敗しているというのは早計というのもある。 404を返しているけれど、実際には情報漏えいしていたとかとか。

　

ドメインパスワードハッシュを抽出するためのさまざまな方法

http://www.freebuf.com/articles/system/177764.html

代表的な Mimikatz をはじめ、以下のようなツールが画像つきで紹介されていた。

Mimikatz
Empire
Nishang
PowerSploit
Invoke-DCSync
ntdsutil
DiskShadow
WMI
vssadmin
vssown
Metasploit
fgdump
NTDS 窃取