Stealing Windows Credentials
Last updated
Last updated
Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Vind ander dinge wat Mimikatz kan doen in hierdie bladsy.
Leer meer oor sommige moontlike beskermings van geloofsbriewe hier. Hierdie beskermings kan voorkom dat Mimikatz sekere geloofsbriewe onttrek.
Gebruik die Credentials Plugin wat ek geskep het om wagwoorde en hashes binne die slagoffer te soek.
Aangesien Procdump van SysInternals 'n wettige Microsoft-gereedskap is, word dit nie deur Defender opgespoor nie. Jy kan hierdie gereedskap gebruik om die lsass-proses te dump, die dump af te laai en die akkrediteeringe plaaslik uit die dump te onttrek.
Hierdie proses word outomaties gedoen met SprayKatz: ./spraykatz.py -u H4x0r -p L0c4L4dm1n -t 192.168.1.0/24
Nota: Sommige AV mag ontdek as kwaadaardig die gebruik van procdump.exe om lsass.exe te dump, dit is omdat hulle die string "procdump.exe" en "lsass.exe" ontdek. Dit is dus stealthier om die PID van lsass.exe as 'n argument aan procdump oor te dra in plaas van die naam lsass.exe.
'n DLL genaamd comsvcs.dll wat in C:\Windows\System32
gevind word, is verantwoordelik vir dumping prosesgeheue in die geval van 'n ongeluk. Hierdie DLL sluit 'n funksie genaamd MiniDumpW
in, wat ontwerp is om aangeroep te word met rundll32.exe
.
Dit is irrelevant om die eerste twee argumente te gebruik, maar die derde een is in drie komponente verdeel. Die proses-ID wat gedump moet word, vorm die eerste komponent, die dump-lêer ligging verteenwoordig die tweede, en die derde komponent is streng die woord volledig. Geen alternatiewe opsies bestaan nie.
Wanneer hierdie drie komponente ontleed word, word die DLL betrokke by die skep van die dump-lêer en die oordrag van die gespesifiseerde proses se geheue in hierdie lêer.
Die gebruik van die comsvcs.dll is haalbaar vir die dumping van die lsass-proses, wat die behoefte om procdump op te laai en uit te voer, uitskakel. Hierdie metode word in detail beskryf by https://en.hackndo.com/remote-lsass-dump-passwords/.
Die volgende opdrag word gebruik vir uitvoering:
Jy kan hierdie proses outomatiseer met lssasy.
Regsklik op die Taakbalk en klik op Taakbestuurder
Klik op Meer besonderhede
Soek vir "Local Security Authority Process" proses in die Prosesse-oortjie
Regsklik op "Local Security Authority Process" proses en klik op "Skep dump-lêer".
Procdump is 'n Microsoft-onderteken binêre wat 'n deel is van die sysinternals suite.
PPLBlade is 'n Gekapte Proses Dumper Tool wat ondersteuning bied vir die obfuskering van geheue-dump en die oordrag daarvan na afstandswerkstasies sonder om dit op die skyf te laat val.
Belangrike funksies:
Omseiling van PPL-beskerming
Obfuskering van geheue-dump lêers om Defender se handtekening-gebaseerde opsporingsmeganismes te ontwyk
Oplaai van geheue-dump met RAW en SMB oplaai metodes sonder om dit op die skyf te laat val (fileless dump)
Hierdie lêers behoort geleë te wees in C:\windows\system32\config\SAM en C:\windows\system32\config\SYSTEM. Maar jy kan hulle nie net op 'n gewone manier kopieer nie omdat hulle beskerm is.
Die maklikste manier om daardie lêers te steel, is om 'n kopie van die registrasie te kry:
Laai daardie lêers na jou Kali masjien en onttrek die hashes met:
Jy kan 'n kopie van beskermde lêers maak met behulp van hierdie diens. Jy moet 'n Administrateur wees.
Die vssadmin-binary is slegs beskikbaar in Windows Server weergawes
Maar jy kan dieselfde doen vanaf Powershell. Dit is 'n voorbeeld van hoe om die SAM-lêer te kopieer (die hardeskyf wat gebruik word is "C:" en dit word gestoor in C:\users\Public) maar jy kan dit gebruik om enige beskermde lêer te kopieer:
Laastens kan jy ook die PS script Invoke-NinjaCopy gebruik om 'n kopie van SAM, SYSTEM en ntds.dit te maak.
Die NTDS.dit lêer is bekend as die hart van Aktiewe Gids, wat belangrike data oor gebruikersobjekte, groepe en hul lidmaatskap bevat. Dit is waar die wagwoord hashes vir domein gebruikers gestoor word. Hierdie lêer is 'n Extensible Storage Engine (ESE) databasis en is geleë by %SystemRoom%/NTDS/ntds.dit.
Binne hierdie databasis word drie primêre tabelle onderhou:
Data Tabel: Hierdie tabel is verantwoordelik vir die stoor van besonderhede oor objektes soos gebruikers en groepe.
Link Tabel: Dit hou die verhouding, soos groep lidmaatskap, dop.
SD Tabel: Sekuriteitsbeskrywings vir elke objek word hier gehou, wat die sekuriteit en toegangbeheer vir die gestoor objektes verseker.
Meer inligting hieroor: http://blogs.chrisse.se/2012/02/11/how-the-active-directory-data-store-really-works-inside-ntds-dit-part-1/
Windows gebruik Ntdsa.dll om met daardie lêer te kommunikeer en dit word deur lsass.exe gebruik. Dan kan gedeelte van die NTDS.dit lêer binne die lsass
geheue geleë wees (jy kan die laaste toeganklike data vind waarskynlik as gevolg van die prestasie verbetering deur 'n cache te gebruik).
Die hash is 3 keer versleuteld:
Ontsleutel Wagwoord Versleuteling Sleutel (PEK) met die BOOTKEY en RC4.
Ontsleutel die hash met PEK en RC4.
Ontsleutel die hash met DES.
PEK het die selfde waarde in elke domeinbeheerder, maar dit is versleuteld binne die NTDS.dit lêer met die BOOTKEY van die SISTEEM lêer van die domeinbeheerder (is verskillend tussen domeinbeheerders). Dit is waarom jy die kredensiale van die NTDS.dit lêer moet kry jy het die lêers NTDS.dit en SISTEEM nodig (C:\Windows\System32\config\SYSTEM).
Beskikbaar sedert Windows Server 2008.
You could also use the volume shadow copy trick to copy the ntds.dit file. Remember that you will also need a copy of the SYSTEM file (again, dump it from the registry or use the volume shadow copy trick).
Once you have obtained the files NTDS.dit and SYSTEM you can use tools like secretsdump.py to extract the hashes:
U kan dit ook outomaties onttrek met 'n geldige domein admin gebruiker:
Vir groot NTDS.dit lêers word dit aanbeveel om dit te onttrek met gosecretsdump.
Laastens kan jy ook die metasploit module gebruik: post/windows/gather/credentials/domain_hashdump of mimikatz lsadump::lsa /inject
NTDS-objekte kan na 'n SQLite-databasis onttrek word met ntdsdotsqlite. Nie net word geheime onttrek nie, maar ook die hele objekte en hul eienskappe vir verdere inligtingonttrekking wanneer die rou NTDS.dit-lêer reeds verkry is.
Die SYSTEM
hive is opsioneel, maar laat toe vir die ontsleuteling van geheime (NT & LM hashes, aanvullende akrediteerbare soos duidelike teks wagwoorde, kerberos of vertrou sleutels, NT & LM wagwoord geskiedenisse). Saam met ander inligting, word die volgende data onttrek: gebruiker en masjien rekeninge met hul hashes, UAC vlae, tydstempel vir laaste aanmelding en wagwoord verandering, rekening beskrywing, name, UPN, SPN, groepe en rekursiewe lede, organisatoriese eenhede boom en lidmaatskap, vertroude domeine met vertroue tipe, rigting en eienskappe...
Laai die binêre van hier af. Jy kan hierdie binêre gebruik om akrediteerbare uit verskeie sagteware te onttrek.
Hierdie gereedskap kan gebruik word om kredensiale uit die geheue te onttrek. Laai dit af van: http://www.ampliasecurity.com/research/windows-credentials-editor/
Onttrek kredensiale uit die SAM-lêer
Onttrek geloofsbriewe uit die SAM-lêer
Laai dit af van: http://www.tarasco.org/security/pwdump_7 en voer dit net uit en die wagwoorde sal onttrek word.
Leer meer oor sommige kredensiaal beskermings hier.
Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)