Stealing Windows Credentials
Last updated
Last updated
Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Finde andere Dinge, die Mimikatz tun kann, auf dieser Seite.
Erfahren Sie hier mehr über mögliche Schutzmaßnahmen für Anmeldeinformationen. Diese Schutzmaßnahmen könnten verhindern, dass Mimikatz einige Anmeldeinformationen extrahiert.
Verwenden Sie das Credentials Plugin, das ich erstellt habe, um nach Passwörtern und Hashes im Opfer zu suchen.
Da Procdump von SysInternals ein legitimes Microsoft-Tool ist, wird es nicht von Defender erkannt. Sie können dieses Tool verwenden, um den lsass-Prozess zu dumpen, den Dump herunterzuladen und die Anmeldeinformationen lokal aus dem Dump zu extrahieren.
Dieser Prozess wird automatisch mit SprayKatz durchgeführt: ./spraykatz.py -u H4x0r -p L0c4L4dm1n -t 192.168.1.0/24
Hinweis: Einige AV können die Verwendung von procdump.exe zum Dumpen von lsass.exe als bösartig erkennen, da sie die Zeichenfolgen "procdump.exe" und "lsass.exe" erkennen. Es ist daher unauffälliger, die PID von lsass.exe als Argument an procdump statt des Namens lsass.exe zu übergeben.
Eine DLL namens comsvcs.dll, die sich in C:\Windows\System32
befindet, ist verantwortlich für das Dumpen des Prozessspeichers im Falle eines Absturzes. Diese DLL enthält eine Funktion namens MiniDumpW
, die dazu gedacht ist, mit rundll32.exe
aufgerufen zu werden.
Es ist irrelevant, die ersten beiden Argumente zu verwenden, aber das dritte ist in drei Komponenten unterteilt. Die Prozess-ID, die gedumpt werden soll, stellt die erste Komponente dar, der Speicherort der Dump-Datei repräsentiert die zweite, und die dritte Komponente ist strikt das Wort full. Es gibt keine alternativen Optionen.
Nach der Analyse dieser drei Komponenten wird die DLL aktiviert, um die Dump-Datei zu erstellen und den Speicher des angegebenen Prozesses in diese Datei zu übertragen.
Die Nutzung von comsvcs.dll ist möglich, um den lsass-Prozess zu dumpen, wodurch die Notwendigkeit entfällt, procdump hochzuladen und auszuführen. Diese Methode wird ausführlich beschrieben unter https://en.hackndo.com/remote-lsass-dump-passwords/.
Der folgende Befehl wird zur Ausführung verwendet:
Sie können diesen Prozess mit lssasy** automatisieren.**
Klicken Sie mit der rechten Maustaste auf die Taskleiste und wählen Sie den Task-Manager aus.
Klicken Sie auf Weitere Details.
Suchen Sie im Tab Prozesse nach dem Prozess "Local Security Authority Process".
Klicken Sie mit der rechten Maustaste auf den Prozess "Local Security Authority Process" und wählen Sie "Dump-Datei erstellen".
Procdump ist eine von Microsoft signierte Binärdatei, die Teil der sysinternals Suite ist.
PPLBlade ist ein Tool zum Dumpen geschützter Prozesse, das das Obfuskieren von Speicherdumps unterstützt und diese auf entfernte Arbeitsstationen überträgt, ohne sie auf der Festplatte abzulegen.
Hauptfunktionen:
Umgehung des PPL-Schutzes
Obfuskierung von Speicherdump-Dateien, um Mechanismen zur signaturbasierten Erkennung durch Defender zu umgehen
Hochladen von Speicherdumps mit RAW- und SMB-Upload-Methoden, ohne sie auf der Festplatte abzulegen (fileless dump)
Diese Dateien sollten sich befinden in C:\windows\system32\config\SAM und C:\windows\system32\config\SYSTEM. Aber du kannst sie nicht einfach auf reguläre Weise kopieren, da sie geschützt sind.
Der einfachste Weg, diese Dateien zu stehlen, besteht darin, eine Kopie aus der Registrierung zu erhalten:
Lade diese Dateien auf deine Kali-Maschine herunter und extrahiere die Hashes mit:
Sie können geschützte Dateien mit diesem Dienst kopieren. Sie müssen Administrator sein.
Die vssadmin-Binärdatei ist nur in Windows Server-Versionen verfügbar.
Aber Sie können dasselbe von Powershell aus tun. Dies ist ein Beispiel für wie man die SAM-Datei kopiert (die verwendete Festplatte ist "C:" und sie wird in C:\users\Public gespeichert), aber Sie können dies verwenden, um jede geschützte Datei zu kopieren:
Schließlich könnten Sie auch das PS-Skript Invoke-NinjaCopy verwenden, um eine Kopie von SAM, SYSTEM und ntds.dit zu erstellen.
Die NTDS.dit-Datei ist als das Herz von Active Directory bekannt und enthält wichtige Daten über Benutzerobjekte, Gruppen und deren Mitgliedschaften. Hier werden die Passworthashes für Domänenbenutzer gespeichert. Diese Datei ist eine Extensible Storage Engine (ESE)-Datenbank und befindet sich unter %SystemRoom%/NTDS/ntds.dit.
Innerhalb dieser Datenbank werden drei Haupttabellen verwaltet:
Datentabelle: Diese Tabelle ist dafür zuständig, Details über Objekte wie Benutzer und Gruppen zu speichern.
Verknüpfungstabelle: Sie verfolgt Beziehungen, wie z.B. Gruppenmitgliedschaften.
SD-Tabelle: Sicherheitsbeschreibungen für jedes Objekt werden hier gehalten, um die Sicherheit und den Zugriff auf die gespeicherten Objekte zu gewährleisten.
Weitere Informationen dazu: http://blogs.chrisse.se/2012/02/11/how-the-active-directory-data-store-really-works-inside-ntds-dit-part-1/
Windows verwendet Ntdsa.dll, um mit dieser Datei zu interagieren, und sie wird von lsass.exe verwendet. Ein Teil der NTDS.dit-Datei könnte im lsass
-Speicher gefunden werden (die zuletzt abgerufenen Daten können wahrscheinlich aufgrund der Leistungsverbesserung durch die Verwendung eines Caches gefunden werden).
Der Hash wird dreimal verschlüsselt:
Entschlüsseln des Passwortverschlüsselungsschlüssels (PEK) mit dem BOOTKEY und RC4.
Entschlüsseln des Hashes mit PEK und RC4.
Entschlüsseln des Hashes mit DES.
PEK hat den gleichen Wert in jedem Domänencontroller, wird jedoch verschlüsselt in der NTDS.dit-Datei unter Verwendung des BOOTKEY der SYSTEM-Datei des Domänencontrollers (unterscheidet sich zwischen Domänencontrollern). Aus diesem Grund müssen Sie, um die Anmeldeinformationen aus der NTDS.dit-Datei zu erhalten, die Dateien NTDS.dit und SYSTEM (C:\Windows\System32\config\SYSTEM) haben.
Verfügbar seit Windows Server 2008.
Du könntest auch den Volume Shadow Copy Trick verwenden, um die ntds.dit Datei zu kopieren. Denk daran, dass du auch eine Kopie der SYSTEM Datei benötigst (nochmals, dump sie aus der Registry oder verwende den Volume Shadow Copy Trick).
Sobald du die Dateien NTDS.dit und SYSTEM erhalten hast, kannst du Tools wie secretsdump.py verwenden, um die Hashes zu extrahieren:
Du kannst sie auch automatisch extrahieren, indem du einen gültigen Domain-Admin-Benutzer verwendest:
Für große NTDS.dit-Dateien wird empfohlen, sie mit gosecretsdump zu extrahieren.
Schließlich können Sie auch das metasploit-Modul verwenden: post/windows/gather/credentials/domain_hashdump oder mimikatz lsadump::lsa /inject
NTDS-Objekte können mit ntdsdotsqlite in eine SQLite-Datenbank extrahiert werden. Es werden nicht nur Geheimnisse extrahiert, sondern auch die gesamten Objekte und deren Attribute für weitere Informationsbeschaffung, wenn die rohe NTDS.dit-Datei bereits abgerufen wurde.
Der SYSTEM
-Hive ist optional, ermöglicht jedoch die Entschlüsselung von Geheimnissen (NT- und LM-Hashes, zusätzliche Anmeldeinformationen wie Klartextpasswörter, Kerberos- oder Vertrauensschlüssel, NT- und LM-Passworthistorien). Neben anderen Informationen werden die folgenden Daten extrahiert: Benutzer- und Maschinenkonten mit ihren Hashes, UAC-Flags, Zeitstempel für die letzte Anmeldung und Passwortänderung, Kontobeschreibung, Namen, UPN, SPN, Gruppen und rekursive Mitgliedschaften, organisatorische Einheitensystem und Mitgliedschaft, vertrauenswürdige Domänen mit Vertrauensart, Richtung und Attributen...
Laden Sie die Binärdatei hier herunter. Sie können diese Binärdatei verwenden, um Anmeldeinformationen aus mehreren Softwareanwendungen zu extrahieren.
Dieses Tool kann verwendet werden, um Anmeldeinformationen aus dem Speicher zu extrahieren. Laden Sie es herunter von: http://www.ampliasecurity.com/research/windows-credentials-editor/
Extrahieren Sie Anmeldeinformationen aus der SAM-Datei.
Extrahieren Sie Anmeldeinformationen aus der SAM-Datei
Laden Sie es herunter von: http://www.tarasco.org/security/pwdump_7 und führen Sie es einfach aus, und die Passwörter werden extrahiert.
Erfahren Sie hier mehr über einige Schutzmaßnahmen für Anmeldeinformationen.
Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)