Stealing Windows Credentials
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Trova altre cose che Mimikatz può fare in questa pagina.
Scopri alcune possibili protezioni per le credenziali qui. Queste protezioni potrebbero impedire a Mimikatz di estrarre alcune credenziali.
Usa il Credentials Plugin che ho creato per cercare password e hash all'interno della vittima.
Poiché Procdump di SysInternals è uno strumento legittimo di Microsoft, non viene rilevato da Defender. Puoi utilizzare questo strumento per dumpare il processo lsass, scaricare il dump e estrarre le credenziali localmente dal dump.
Questo processo viene eseguito automaticamente con SprayKatz: ./spraykatz.py -u H4x0r -p L0c4L4dm1n -t 192.168.1.0/24
Nota: Alcuni AV potrebbero rilevare come malicioso l'uso di procdump.exe per dumpare lsass.exe, questo perché stanno rilevando la stringa "procdump.exe" e "lsass.exe". Quindi è più furtivo passare come argomento il PID di lsass.exe a procdump invece di usare il nome lsass.exe.
Una DLL chiamata comsvcs.dll trovata in C:\Windows\System32
è responsabile per dumpare la memoria del processo in caso di crash. Questa DLL include una funzione chiamata MiniDumpW
, progettata per essere invocata usando rundll32.exe
.
Non è rilevante utilizzare i primi due argomenti, ma il terzo è diviso in tre componenti. L'ID del processo da dumpare costituisce la prima componente, la posizione del file di dump rappresenta la seconda, e la terza componente è strettamente la parola full. Non esistono opzioni alternative.
Dopo aver analizzato queste tre componenti, la DLL viene coinvolta nella creazione del file di dump e nel trasferimento della memoria del processo specificato in questo file.
L'utilizzo di comsvcs.dll è fattibile per dumpare il processo lsass, eliminando così la necessità di caricare ed eseguire procdump. Questo metodo è descritto in dettaglio su https://en.hackndo.com/remote-lsass-dump-passwords/.
Il seguente comando è impiegato per l'esecuzione:
Puoi automatizzare questo processo con lssasy.
Fai clic con il tasto destro sulla barra delle applicazioni e seleziona Task Manager
Clicca su Maggiori dettagli
Cerca il processo "Local Security Authority Process" nella scheda Processi
Fai clic con il tasto destro sul processo "Local Security Authority Process" e seleziona "Crea file di dump".
Procdump è un binario firmato da Microsoft che fa parte della suite sysinternals.
PPLBlade è uno strumento di dumping di processi protetti che supporta l'oscuramento dei dump di memoria e il trasferimento su workstation remote senza salvarli sul disco.
Funzionalità chiave:
Bypassare la protezione PPL
Oscurare i file di dump di memoria per eludere i meccanismi di rilevamento basati su firma di Defender
Caricare il dump di memoria con metodi di upload RAW e SMB senza salvarlo sul disco (dump senza file)
Questi file dovrebbero essere posizionati in C:\windows\system32\config\SAM e C:\windows\system32\config\SYSTEM. Ma non puoi semplicemente copiarli in modo regolare perché sono protetti.
Il modo più semplice per rubare questi file è ottenere una copia dal registro:
Scarica quei file sulla tua macchina Kali e estrae gli hash usando:
Puoi eseguire copie di file protetti utilizzando questo servizio. Devi essere Amministratore.
Il binario vssadmin è disponibile solo nelle versioni di Windows Server.
Ma puoi fare lo stesso da Powershell. Questo è un esempio di come copiare il file SAM (il disco rigido utilizzato è "C:" e viene salvato in C:\users\Public) ma puoi usare questo per copiare qualsiasi file protetto:
Infine, puoi anche utilizzare lo script PS Invoke-NinjaCopy per fare una copia di SAM, SYSTEM e ntds.dit.
Il file NTDS.dit è conosciuto come il cuore di Active Directory, contenendo dati cruciali sugli oggetti utente, gruppi e le loro appartenenze. È qui che sono memorizzati gli hash delle password per gli utenti di dominio. Questo file è un database Extensible Storage Engine (ESE) e si trova in %SystemRoom%/NTDS/ntds.dit.
All'interno di questo database, vengono mantenute tre tabelle principali:
Tabella Dati: Questa tabella è incaricata di memorizzare i dettagli sugli oggetti come utenti e gruppi.
Tabella Link: Tiene traccia delle relazioni, come le appartenenze ai gruppi.
Tabella SD: Qui sono conservati i descrittori di sicurezza per ogni oggetto, garantendo la sicurezza e il controllo degli accessi per gli oggetti memorizzati.
Ulteriori informazioni su questo: http://blogs.chrisse.se/2012/02/11/how-the-active-directory-data-store-really-works-inside-ntds-dit-part-1/
Windows utilizza Ntdsa.dll per interagire con quel file ed è utilizzato da lsass.exe. Quindi, parte del file NTDS.dit potrebbe trovarsi all'interno della memoria lsass
(puoi trovare i dati più recentemente accessibili probabilmente a causa del miglioramento delle prestazioni utilizzando una cache).
L'hash è cifrato 3 volte:
Decrittare la Chiave di Cifratura della Password (PEK) utilizzando il BOOTKEY e RC4.
Decrittare l'hash utilizzando PEK e RC4.
Decrittare l'hash utilizzando DES.
PEK ha lo stesso valore in ogni controller di dominio, ma è cifrato all'interno del file NTDS.dit utilizzando il BOOTKEY del file SYSTEM del controller di dominio (è diverso tra i controller di dominio). Questo è il motivo per cui per ottenere le credenziali dal file NTDS.dit hai bisogno dei file NTDS.dit e SYSTEM (C:\Windows\System32\config\SYSTEM).
Disponibile da Windows Server 2008.
Puoi anche utilizzare il trucco della volume shadow copy per copiare il file ntds.dit. Ricorda che avrai anche bisogno di una copia del file SYSTEM (ancora, dump it from the registry or use the volume shadow copy trick).
Una volta che hai ottenuto i file NTDS.dit e SYSTEM, puoi utilizzare strumenti come secretsdump.py per estrarre gli hash:
Puoi anche estrarli automaticamente utilizzando un utente admin di dominio valido:
Per grandi file NTDS.dit si consiglia di estrarli utilizzando gosecretsdump.
Infine, puoi anche utilizzare il modulo metasploit: post/windows/gather/credentials/domain_hashdump o mimikatz lsadump::lsa /inject
Gli oggetti NTDS possono essere estratti in un database SQLite con ntdsdotsqlite. Non solo vengono estratti i segreti, ma anche gli oggetti interi e i loro attributi per ulteriori estrazioni di informazioni quando il file NTDS.dit grezzo è già stato recuperato.
Il SYSTEM
hive è facoltativo ma consente la decrittazione dei segreti (hash NT e LM, credenziali supplementari come password in chiaro, chiavi kerberos o di fiducia, storie delle password NT e LM). Insieme ad altre informazioni, vengono estratti i seguenti dati: account utente e macchina con i loro hash, flag UAC, timestamp per l'ultimo accesso e cambio password, descrizione degli account, nomi, UPN, SPN, gruppi e appartenenze ricorsive, albero delle unità organizzative e appartenenza, domini fidati con tipo di fiducia, direzione e attributi...
Scarica il binario da qui. Puoi utilizzare questo binario per estrarre credenziali da diversi software.
Questo strumento può essere utilizzato per estrarre credenziali dalla memoria. Scaricalo da: http://www.ampliasecurity.com/research/windows-credentials-editor/
Estrai credenziali dal file SAM
Estrai le credenziali dal file SAM
Scaricalo da: http://www.tarasco.org/security/pwdump_7 e eseguilo e le password verranno estratte.
Scopri alcune protezioni delle credenziali qui.
Impara e pratica il hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Impara e pratica il hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)