Get-GPPPassword (PowerSploit)

項目	接続元	ドメインコントローラー
通信プロトコル	88/tcp 445/tcp	88/tcp 445/tcp
権限	Admin	Admin
ドメインへの所属	要	要
サービス	-	Active Directory Domain Services
OS	Windows	Windows
備考	-	-

環境	動作可否
Windows 7 + Windows Server 2012	動作する
Windows 10 + Windows Server 2012	動作する
Windows 11 + Windows Server 2025	動作する

- 接続元

イベントログ

#	ログ	イベントID	タスクのカテゴリ	イベント内容
1	Microsoft-Windows-PowerShell/Operational	4104	リモートコマンドを実行	Scriptblock テキストを作成しています ScriptText: [スクリプトの内容]
2	Microsoft-Windows-Sysmon/Operational	3	Network connection detected	Network connection detected UtcTime: [発生日時(UTC)] ProcessId: [実行プロセスID] Image: C:\Windows\System32\lsass.exe User: NT AUTHORITY\SYSTEM Protocol: tcp Initiated: True SourceIp: [接続元IPアドレス] SourceHostname: [接続元ホスト名] SourcePort: [接続元ポート番号] DestinationIp: [ドメインコントローラーのIPアドレス] DestinationHostname: [ドメインコントローラーのホスト名] DestinationPort: 88

MFT

#	パス	ヘッダフラグ	備考
1	ConsoleHost_history.txt	FILE

USNジャーナル

#	ファイル名	処理	備考
1	ConsoleHost_history.txt	FileCreate DataExtend\|FileCreate DataExtend\|FileCreate\|Close DataExtend DataExtend\|Close

- ドメインコントローラー

イベントログ

#	ログ	イベントID	タスクのカテゴリ	イベント内容
1	Microsoft-Windows-Sysmon/Operational	3	Network connection detected	Network connection detected UtcTime: [発生日時(UTC)] ProcessId: [実行プロセスID] Image: C:\Windows\System32\lsass.exe User: NT AUTHORITY\SYSTEM Protocol: tcp Initiated: True SourceIp: [接続元IPアドレス] SourceHostname: [接続元ホスト名] SourcePort: [接続元ポート番号] DestinationIp: [ドメインコントローラーのIPアドレス] DestinationHostname: [ドメインコントローラーのホスト名] DestinationPort: 88
2	Security	5145	詳細なファイル共有	クライアントに必要なアクセスを付与できるかどうかについて、ネットワーク共有オブジェクトがチェックされました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト情報 > オブジェクトの種類: File オブジェクト情報 > 送信元アドレス: [接続元IPアドレス] オブジェクト情報 > ソースポート: [送信元ポート番号] 共有情報 > 共有名: \\*\SYSVOL 共有情報 > 共有パス: \??\C:\WINDOWS\SYSVOL\sysvol 共有情報 > 相対ターゲット名: [ドメイン名]\Policies 及びその配下にあるファイルアクセス要求情報 > アクセス: SYNCHRONIZE, ReadData (または ListDirectory), ReadAttributes

- 詳細情報

- 接続元

イベントログ

#	ログ	イベントID	タスクのカテゴリ	イベント内容
1	Microsoft-Windows-PowerShell/Operational	4104	リモートコマンドを実行	Scriptblock テキストを作成しています ScriptText: [スクリプトの内容]
2	Security	4656	File System	オブジェクトに対するハンドルが要求されました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > オブジェクトサーバー: Security オブジェクト > オブジェクトの種類: File オブジェクト > オブジェクト名: C:\Users\[ユーザー名]\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt オブジェクト > ハンドル ID: [ハンドルID] アクセス要求情報 > アクセス: READ_CONTROL,SYNCHRONIZE,WriteData (または AddFile),AppendData (または AddSubdirectory または CreatePipeInstance),WriteEA,ReadAttributes,WriteAttributes プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
3	Security	4663	File System	オブジェクトへのアクセスが試行されました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > オブジェクトサーバー: Security オブジェクト > オブジェクトの種類: File オブジェクト > オブジェクト名: C:\Users\[ユーザー名]\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル] アクセス要求情報 > アクセス: WriteData (または AddFile),AppendData (または AddSubdirectory または CreatePipeInstance) プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
4	Security	4658	File System	オブジェクトに対するハンドルが閉じました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > オブジェクトサーバー: Security オブジェクト > ハンドル ID: [ハンドルID] プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
5	Security	5156	Filtering Platform Connection	Windows フィルターリングプラットフォームで、接続が許可されました。アプリケーション情報 > プロセス ID: [実行プロセスID] アプリケーション情報 > アプリケーション名: \device\harddiskvolume[ボリューム番号]\windows\system32\lsass.exe ネットワーク情報 > 方向: 送信ネットワーク情報 > 送信元アドレス: [接続元IPアドレス] ネットワーク情報 > ソースポート: [接続元ポート番号] ネットワーク情報 > 宛先アドレス: [ドメインコントローラーのIPアドレス] ネットワーク情報 > 宛先ポート: 88, 445 ネットワーク情報 > プロトコル: 6 (TCP)
6	Microsoft-Windows-Sysmon/Operational	3	Network connection detected	Network connection detected UtcTime: [発生日時(UTC)] ProcessId: [実行プロセスID] Image: C:\Windows\System32\lsass.exe User: NT AUTHORITY\SYSTEM Protocol: tcp Initiated: True SourceIp: [接続元IPアドレス] SourceHostname: [接続元ホスト名] SourcePort: [接続元ポート番号] DestinationIp: [ドメインコントローラーのIPアドレス] DestinationHostname: [ドメインコントローラーのホスト名] DestinationPort: 88, 445

MFT

#	パス	ヘッダフラグ	備考
1	ConsoleHost_history.txt	FILE

USNジャーナル

#	ファイル名	処理	備考
1	ConsoleHost_history.txt	FileCreate DataExtend\|FileCreate DataExtend\|FileCreate\|Close DataExtend DataExtend\|Close

- ドメインコントローラー

イベントログ

#	ログ	イベントID	タスクのカテゴリ	イベント内容
1	Security	5156	Filtering Platform Connection	Windows フィルターリングプラットフォームで、接続が許可されました。アプリケーション情報 > プロセス ID: [実行プロセスID] アプリケーション情報 > アプリケーション名: \device\harddiskvolume[ボリューム番号]\windows\system32\lsass.exe ネットワーク情報 > 方向: 着信ネットワーク情報 > 送信元アドレス: [接続元IPアドレス] ネットワーク情報 > ソースポート: [接続元ポート番号] ネットワーク情報 > 宛先アドレス: [ドメインコントローラーのIPアドレス] ネットワーク情報 > 宛先ポート: 88, 445 ネットワーク情報 > プロトコル: 6 (TCP)
2	Microsoft-Windows-Sysmon/Operational	3	Network connection detected	Network connection detected UtcTime: [発生日時(UTC)] ProcessId: [実行プロセスID] Image: C:\Windows\System32\lsass.exe User: NT AUTHORITY\SYSTEM Protocol: tcp Initiated: True SourceIp: [接続元IPアドレス] SourceHostname: [接続元ホスト名] SourcePort: [接続元ポート番号] DestinationIp: [ドメインコントローラーのIPアドレス] DestinationHostname: [ドメインコントローラーのホスト名] DestinationPort: 88, 445
3	Security	4769	Kerberos Service Ticket Operations	Kerberos サービスチケットが要求されました。アカウント情報 > アカウント名: [チケットを要求したユーザー名@ドメイン名] アカウント情報 > アカウントドメイン: [ドメイン名] サービス情報 > サービス名: [ホスト名]$ サービス情報 > サービス ID: [チケット発行対象のユーザーSID] 追加情報 > チケットオプション: 0x40800000 ネットワーク情報 > クライアントアドレス: [接続元IPアドレス] ネットワーク情報 > クライアントポート: [接続元ポート番号] 追加情報 > エラーコード: 0x0
4	Security	4769	Kerberos Service Ticket Operations	Kerberos サービスチケットが要求されました。アカウント情報 > アカウント名: [チケットを要求したユーザー名@ドメイン名] アカウント情報 > アカウントドメイン: [ドメイン名] サービス情報 > サービス名: krbtgt サービス情報 > サービス ID: [チケット発行対象のユーザーSID] 追加情報 > チケットオプション: 0x60810010 ネットワーク情報 > クライアントアドレス: [接続元IPアドレス] ネットワーク情報 > クライアントポート: [接続元ポート番号] 追加情報 > エラーコード: 0x0
5	Security	4672	Special Logon	新しいログオンに特権が割り当てられました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] 特権: SeSecurityPrivilege, SeBackupPrivilege, SeRestorePrivilege, SeTakeOwnershipPrivilege, SeDebugPrivilege, SeSystemEnvironmentPrivilege, SeLoadDriverPrivilege, SeImpersonatePrivilege, SeDelegateSessionUserImpersonatePrivilege, SeEnableDelegationPrivilege
6	Security	4624	Logon	アカウントが正常にログオンしました。サブジェクト > セキュリティ ID: S-1-0-0 サブジェクト > アカウント名: - サブジェクト > アカウントドメイン: - サブジェクト > ログオン ID: 0x0 新しいログオン > セキュリティ ID: [ユーザーSID] 新しいログオン > アカウント名: [ユーザー名] 新しいログオン > アカウント名: [ドメイン名] 新しいログオン > ログオン ID: [ログオンID] ログオン情報 > ログオンタイプ: 3 詳細な認証情報 > ログオンプロセス: Kerberos 詳細な認証情報 > 認証パッケージ: Kerberos ネットワーク情報 > ソースワークステーション名: [接続元ホスト名] プロセス情報 > プロセス名: [実行ファイルのパス] ネットワーク情報 > ソースネットワークアドレス: [接続元IPアドレス] ネットワーク情報 > ソースポート: [接続元ポート番号] 偽装レベル: 偽装ログオン情報 > 昇格されたトークン: True
7	Security	5140	File Share	ネットワーク共有オブジェクトにアクセスしました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト情報 > オブジェクトの種類: File オブジェクト情報 > 送信元アドレス: [接続元IPアドレス] オブジェクト情報 > ソースポート: [接続元ポート番号] 共有情報 > 共有名: \\*\SYSVOL 共有情報 > 共有パス: \??\C:\WINDOWS\SYSVOL\sysvol アクセス要求情報 > アクセス: ReadData (または ListDirectory)
8	Security	5145	Detailed File Share	クライアントに必要なアクセスを付与できるかどうかについて、ネットワーク共有オブジェクトがチェックされました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト情報 > オブジェクトの種類: File オブジェクト情報 > 送信元アドレス: [接続元IPアドレス] オブジェクト情報 > ソースポート: [接続元ポート番号] 共有情報 > 共有名: \\*\SYSVOL 共有情報 > 共有パス: \??\C:\WINDOWS\SYSVOL\sysvol 共有情報 > 相対ターゲット名: [ドメイン名]\Policies 及びその配下にあるファイルアクセス要求情報 > アクセス: SYNCHRONIZE, ReadData (または ListDirectory), ReadAttributes

- パケット

#	オペレーション	接続元ホスト	接続元ポート番号	接続先ホスト	接続先ポート	プロトコル	アプリケーション
1	TGS-REQ	[接続元]	[接続元ポート番号]	[ドメインコントローラー]	88	tcp	KRB5
2	TGS-REP	[ドメインコントローラー]	88	[接続元]	[接続元ポート番号]	tcp	KRB5
3	Session Setup Request	[接続元]	[接続元ポート番号]	[ドメインコントローラー]	445	tcp	SMB2
4	Session Setup Response	[ドメインコントローラー]	445	[接続元]	[接続元ポート番号]	tcp	SMB2
5	Tree Connect Request, Tree: '\\[ドメインコントローラー名]\sysvol'	[接続元]	[接続元ポート番号]	[ドメインコントローラー]	445	tcp	SMB2
6	Tree Connect Response	[ドメインコントローラー]	445	[接続元]	[接続元ポート番号]	tcp	SMB2
7	Create Request, File: <share>	[接続元]	[接続元ポート番号]	[ドメインコントローラー]	445	tcp	SMB2
8	Create Response, File: <share>	[ドメインコントローラー]	445	[接続元]	[接続元ポート番号]	tcp	SMB2
9	GetInfo Request FILE_INFO/SMB2_FILE_NETWORK_OPEN_INFO, File: <share>	[接続元]	[接続元ポート番号]	[ドメインコントローラー]	445	tcp	SMB2
10	GetInfo Response	[ドメインコントローラー]	445	[接続元]	[接続元ポート番号]	tcp	SMB2
11	Find Request, File: <share>, (Level:0x51), Pattern: ; Find Request, File: <share>, (Level:0x51), Pattern:	[接続元]	[接続元ポート番号]	[ドメインコントローラー]	445	tcp	SMB2
12	Find Response, (Level:0x51), Pattern: , 0 matches; Find Response, Error: STATUS_NO_MORE_FILES, (Level:0x51), Pattern:	[ドメインコントローラー]	445	[接続元]	[接続元ポート番号]	tcp	SMB2
13	Create Request, File: <share>; GetInfo Request FILE_INFO/SMB2_FILE_NETWORK_OPEN_INFO	[接続元]	[接続元ポート番号]	[ドメインコントローラー]	445	tcp	SMB2
14	Create Response, File: <share>; GetInfo Response	[ドメインコントローラー]	445	[接続元]	[接続元ポート番号]	tcp	SMB2
15	Close Request, File: <share>	[接続元]	[接続元ポート番号]	[ドメインコントローラー]	445	tcp	SMB2
16	Close Response	[ドメインコントローラー]	445	[接続元]	[接続元ポート番号]	tcp	SMB2
17	Create Request, File: [ドメイン名]\Policies\{[GUID]}\Machine\Preferences\Groups\Groups.xml; GetInfo Request FILE_INFO/SMB2_FILE_NETWORK_OPEN_INFO	[接続元]	[接続元ポート番号]	[ドメインコントローラー]	445	tcp	SMB2
18	Create Response, File: [ドメイン名]\Policies\{[GUID]}\Machine\Preferences\Groups\Groups.xml; GetInfo Response	[ドメインコントローラー]	445	[接続元]	[接続元ポート番号]	tcp	SMB2
19	GetInfo Request FILE_INFO/SMB2_FILE_NETWORK_OPEN_INFO, File: [ドメイン名]\Policies\{[GUID]}\Machine\Preferences\Groups\Groups.xml	[接続元]	[接続元ポート番号]	[ドメインコントローラー]	445	tcp	SMB2
20	GetInfo Response	[ドメインコントローラー]	445	[接続元]	[接続元ポート番号]	tcp	SMB2
21	Close Request, File: [ドメイン名]\Policies\{[GUID]}\Machine\Preferences\Groups\Groups.xml	[接続元]	[接続元ポート番号]	[ドメインコントローラー]	445	tcp	SMB2
22	Close Response	[ドメインコントローラー]	445	[接続元]	[接続元ポート番号]	tcp	SMB2
23	Create Request, File: [ドメイン名]\Policies\{[GUID]}\Machine\Preferences\Groups\Groups.xml	[接続元]	[接続元ポート番号]	[ドメインコントローラー]	445	tcp	SMB2
24	Create Response, File: [ドメイン名]\Policies\{[GUID]}\Machine\Preferences\Groups\Groups.xml	[ドメインコントローラー]	445	[接続元]	[接続元ポート番号]	tcp	SMB2
25	GetInfo Request FILE_INFO/SMB2_FILE_NETWORK_OPEN_INFO, File: [ドメイン名]\Policies\{[GUID]}\Machine\Preferences\Groups\Groups.xml	[接続元]	[接続元ポート番号]	[ドメインコントローラー]	445	tcp	SMB2
26	GetInfo Response	[ドメインコントローラー]	445	[接続元]	[接続元ポート番号]	tcp	SMB2
27	Read Request Len:443 Off:0, File: [ドメイン名]\Policies\{[GUID]}\Machine\Preferences\Groups\Groups.xml	[接続元]	[接続元ポート番号]	[ドメインコントローラー]	445	tcp	SMB2
28	Read Response	[ドメインコントローラー]	445	[接続元]	[接続元ポート番号]	tcp	SMB2
29	Close Request, File: [ドメイン名]\Policies\{[GUID]}\Machine\Preferences\Groups\Groups.xml	[接続元]	[接続元ポート番号]	[ドメインコントローラー]	445	tcp	SMB2
30	Close Response	[ドメインコントローラー]	445	[接続元]	[接続元ポート番号]	tcp	SMB2

Get-GPPPassword (PowerSploit)

- 目次

- ツール概要

- ツール動作概要

- 概要

- 動作確認環境

- ログから得られる情報

- 実行成功時に確認できる痕跡

- 実行時に記録される主要な情報

- 接続元

イベントログ

MFT

USNジャーナル

- ドメインコントローラー

イベントログ

- 詳細情報

- 接続元

イベントログ

MFT

USNジャーナル

- ドメインコントローラー

イベントログ

- パケット

- 備考