도메인 비밀번호 감사 도구(DPAT) 요약

카테고리

프로그래밍/소프트웨어 개발

서브카테고리

DevOps

대상자

IT 보안 전문가, 시스템 관리자, 패스워드 정책 감사자

난이도: 중급 (Python 스크립트 및 Active Directory 운영 지식 필요)

핵심 요약

• DPAT은 hashcat.potfile과 도메인 컨트롤러에서 추출한 ntds.dit 해시를 기반으로 HTML 형식의 비밀번호 사용 통계 보고서를 생성하는 Python 도구
• 필수 입력 파일:

- customer.ntds: domain\username:RID:lmhash:nthash::: 형식의 도메인 해시 파일

- hashcat.potfile: 해킹된 비밀번호 목록 (예: hashcat 또는 JohnTheRipper 결과)

• 주요 명령어:

```bash

dpat.py -n customer.ntds -c hashcat.potfile -g "Domain Admins.txt" "Enterprise Admins.txt"

```

섹션별 세부 요약

1. 도구 개요

• DPAT은 도메인 컨트롤러 해시와 크랙된 비밀번호를 분석하여:

- 비밀번호 사용 패턴 분석

- 관리자 그룹별 비밀번호 취약점 식별

- HTML 보고서로 시각화 제공

• 보고서 특징:

- 클릭 가능한 링크 포함

- rockyou.txt와 인구통계 데이터 기반 샘플 데이터 지원

2. 해시 추출 절차

• ntdsutil 명령어를 사용한 도메인 컨트롤러 해시 추출:

```bash

ntdsutil "ac in ntds" "ifm" "cr fu c:\temp" q q

```

- 생성 파일: Active Directory\ntds.dit, registry\SYSTEM

- 요구 사항: C:\temp 폴더에 충분한 디스크 공간 확보

3. 해시 처리 및 DPAT 입력 파일 생성

• secretsdump.py 사용법:

```bash

secretsdump.py -system registry/SYSTEM -ntds "Active Directory/ntds.dit" LOCAL -outputfile customer

```

- Win2K16 TP4 이상: -history 플래그 사용 시 오류 발생 가능성

- 대안: impacket-secretsdump 사용 권장

4. 비밀번호 역사 분석

• -history 플래그 사용 시:

- 이전 비밀번호 기록 분석 가능

- Win2K16 TP4 이상: ntds.dit 파일에서 역사 해시 불완전 추출 경고

결론

• DPAT은 도메인 비밀번호 정책 감사 시 필수 도구로, secretsdump.py를 사용해 customer.ntds 파일을 생성한 후 실행
• Win2K16 TP4 이상 환경에서는 impacket-secretsdump로 대체 사용 권장
• 비밀번호 역사 분석 시 -history 플래그 사용 및 해시 추출 오류 주의