DPAPI - Extracting Passwords
Last updated
Last updated
AWSハッキングを学び、実践する:HackTricks Training AWS Red Team Expert (ARTE) GCPハッキングを学び、実践する: HackTricks Training GCP Red Team Expert (GRTE)
RootedCONは、スペインで最も重要なサイバーセキュリティイベントであり、ヨーロッパで最も重要なイベントの一つです。技術知識の促進を使命とし、この会議はあらゆる分野の技術およびサイバーセキュリティ専門家の熱い交流の場です。
データ保護API(DPAPI)は、主にWindowsオペレーティングシステム内で非対称プライベートキーの対称暗号化に利用され、ユーザーまたはシステムの秘密を重要なエントロピーのソースとして活用します。このアプローチは、開発者がユーザーのログオン秘密から派生したキーを使用してデータを暗号化できるようにすることで、暗号化を簡素化します。また、システム暗号化の場合は、システムのドメイン認証秘密を使用し、開発者が暗号化キーの保護を自分で管理する必要を排除します。
DPAPIによって保護される個人データには以下が含まれます:
Internet ExplorerおよびGoogle Chromeのパスワードと自動補完データ
OutlookやWindows Mailなどのアプリケーションのメールおよび内部FTPアカウントのパスワード
共有フォルダー、リソース、無線ネットワーク、Windows Vaultのパスワード(暗号化キーを含む)
リモートデスクトップ接続、.NET Passport、およびさまざまな暗号化および認証目的のためのプライベートキーのパスワード
Credential Managerによって管理されるネットワークパスワードおよびCryptProtectDataを使用するアプリケーション内の個人データ(Skype、MSNメッセンジャーなど)
保護された資格情報ファイルは、次の場所にあります:
mimikatz
のdpapi::cred
を使用して資格情報情報を取得します。レスポンスには、暗号化されたデータやguidMasterKey
などの興味深い情報が含まれています。
あなたは適切な /masterkey
を使用して mimikatz module dpapi::cred
を使って復号化することができます:
ユーザーのRSAキーを暗号化するために使用されるDPAPIキーは、%APPDATA%\Microsoft\Protect\{SID}
ディレクトリに保存されており、ここで{SID}はそのユーザーのセキュリティ識別子です。DPAPIキーは、ユーザーの秘密鍵を保護するマスターキーと同じファイルに保存されています。通常、これは64バイトのランダムデータです。(このディレクトリは保護されているため、cmdからdir
を使用してリストすることはできませんが、PSからリストすることはできます)。
これはユーザーのマスタキーの一部の見た目です:
通常、各マスタキーは他のコンテンツを復号化できる暗号化された対称鍵です。したがって、暗号化されたマスタキーを抽出することは、後でそれを使用して暗号化された他のコンテンツを復号化するために興味深いです。
マスタキーを抽出して復号化する方法の例については、https://www.ired.team/offensive-security/credential-access-and-credential-dumping/reading-dpapi-encrypted-secrets-with-mimikatz-and-c++を確認してください。
SharpDPAPIは、@gentilkiwiのMimikatzプロジェクトからのDPAPI機能のC#ポートです。
HEKATOMBは、LDAPディレクトリからすべてのユーザーとコンピュータを自動的に抽出し、RPCを介してドメインコントローラのバックアップキーを抽出するツールです。スクリプトはすべてのコンピュータのIPアドレスを解決し、すべてのコンピュータでsmbclientを実行して、すべてのユーザーのDPAPIブロブを取得し、ドメインバックアップキーで全てを復号化します。
python3 hekatomb.py -hashes :ed0052e5a66b1c8e942cc9481a50d56 DOMAIN.local/administrator@10.0.0.1 -debug -dnstcp
LDAPから抽出したコンピュータのリストを使用すると、知らなかったサブネットワークをすべて見つけることができます!
「ドメイン管理者権限だけでは不十分です。すべてをハックしましょう。」
DonPAPIは、DPAPIによって保護された秘密を自動的にダンプできます。
RootedCONは、スペインで最も関連性の高いサイバーセキュリティイベントであり、ヨーロッパで最も重要なイベントの一つです。技術的知識を促進することを使命として、この会議はあらゆる分野の技術とサイバーセキュリティの専門家の熱い交流の場です。
AWSハッキングを学び、実践する:HackTricks Training AWS Red Team Expert (ARTE) GCPハッキングを学び、実践する:HackTricks Training GCP Red Team Expert (GRTE)