| カテゴリ | ツール | 説明 |
|---|---|---|
| コマンド実行 | PsExec | リモートホスト上でコマンドを実行する |
| wmic | Windowsのシステム管理に使用する | |
| schtasks | 指定した時刻にタスクを実行する | |
| wmiexec.vbs | Windowsのシステム管理に使用する | |
| BeginX | クライアントからサーバに対してコマンドを実行をする | |
| WinRM | リモートの端末から情報を収集する | |
| WinRS | リモートホスト上でコマンドを実行する | |
| BITS | バックグラウンドでファイルを送受信する | |
| パスワード、ハッシュの入手 | PWDump7 | ホスト内のパスワードハッシュ一覧を表示する |
| PWDumpX | リモートホストからパスワードハッシュを取得する | |
| Quarks PwDump | ドメインアカウントおよびローカルアカウントのパスワードハッシュや、キャッシュされたパスワードを取得する | |
| Mimikatz (パスワードハッシュ入手 lsadump::sam) |
OS内に保存された認証情報を搾取する | |
| Mimikatz (パスワードハッシュ入手 sekurlsa::logonpasswords) |
OS内に保存された認証情報を搾取する | |
| Mimikatz (チケット入手 sekurlsa::tickets) |
ログオンしているセッションのチケットを取得する | |
| WCE | ホストのメモリ内に存在する、パスワードハッシュを取得する | |
| gsecdump | SAM/ADやログオンセッションから、パスワードハッシュを抽出する | |
| lslsass | lsassプロセスから、有効なログオンセッションのパスワードハッシュを取得する | |
| AceHash | パスワードハッシュ値を取得し、ホストにログオンする | |
| Find-GPOPasswords.ps1 | グループポリシーのファイルに記載されているパスワードを取得する | |
| Get-GPPPassword (PowerSploit) |
グループポリシーに記載されている平文のパスワードとその他のアカウント情報を取得する | |
| Invoke-Mimikatz (PowerSploit) |
メモリ上にMimikatzを読み込み、起動させる | |
| Out-Minidump (PowerSploit) |
メモリ上のプロセスをダンプする | |
| PowerMemory (RWMC Tool) |
ファイルやメモリ内に存在する認証情報を取得する | |
| WebBrowserPassView | Webブラウザに保存されているユーザー名・パスワードを抽出する | |
| 通信の不正中継 | Htran | 通信をトンネリングさせる |
| Fake wpad | wpadサーバとして動作し、クライアントからの通信内容を取得・変更する | |
| リモートログイン | RDP | リモートデスクトップサービスが稼働しているサーバーに接続する |
| Pass-the-hash Pass-the-ticket |
WCE (リモートログイン) | 取得したパスワードハッシュを利用し、リモートホストでコマンドを実行する |
| Mimikatz (リモートログイン) | 取得したパスワードハッシュを利用し、リモートホストでコマンドを実行する | |
| 権限昇格 | MS14-058 Exploit | 指定した実行ファイルを、SYSTEM権限で実行する |
| MS15-078 Exploit | 指定した実行ファイルを、SYSTEM権限で実行する | |
| SDB UAC Bypass | アプリケーション互換データベース (SDB) を用いて、UACにより制御されるアプリケーションを管理者権限で実行する | |
| ドメイン管理者権限 アカウントの奪取 |
MS14-068 Exploit | ドメインユーザーの権限を、ドメイン管理者権限に変更する |
| Golden Ticket (Mimikatz) |
不正にKerberosの認証チケットを作成し、リモートホストに接続する | |
| Silver Ticket (Mimikatz) |
不正にKerberosの認証チケットを作成し、リモートホストに接続する | |
| 情報収集 | ntdsutil | Active Directory データベースの保守に使用する |
| vssadmin | Volume Shadow Copyを作成し、NTDS.DITやレジストリなどのシステムファイルを抽出する | |
| csvde | Active Directory上のアカウント情報をCSV形式で出力する | |
| ldifde | Active Directory上のアカウント情報をLDIF形式で出力する | |
| dsquery | Active Directoryから、ユーザーやグループなどの情報を取得する | |
| dcdiag | ドメインコントローラーの状態を分析・調査する | |
| nltest | 使用しているドメインコントローラーとそのIPアドレスを取得する | |
| nmap | ネットワーク調査に使用する | |
| ローカルユーザー・グループの追加・削除 | net user | ホストまたはドメイン上に、ユーザーアカウントを追加する |
| ファイル共有 | net use | ネットワーク上で公開されている共有ポイントに接続する |
| 痕跡の削除 | sdelete | ファイルを複数回上書きしてから削除する |
| timestomp | ファイルのタイムスタンプを変更する | |
| klist purge | 保存されたKerberosチケットを削除する | |
| wevtutil | Windowsのイベントログを削除する |