Stealing Windows Credentials
Last updated
Last updated
Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Pronađite druge stvari koje Mimikatz može da uradi na ovoj stranici.
Saznajte više o nekim mogućim zaštitama za kredencijale ovde. Ove zaštite mogu sprečiti Mimikatz da izvuče neke kredencijale.
Koristite Credentials Plugin koji sam kreirao da tražim lozinke i hešove unutar žrtve.
Kao Procdump iz SysInternals je legitimni Microsoft alat, nije otkriven od strane Defender-a. Možete koristiti ovaj alat da izvršite dump lsass procesa, preuzmete dump i izvučete akreditive lokalno iz dump-a.
Ovaj proces se automatski obavlja pomoću SprayKatz: ./spraykatz.py -u H4x0r -p L0c4L4dm1n -t 192.168.1.0/24
Napomena: Neki AV mogu otkriti kao maliciozno korišćenje procdump.exe za dump lsass.exe, to je zato što otkrivaju string "procdump.exe" i "lsass.exe". Tako da je diskretnije proći kao argument PID lsass.exe do procdump umesto imena lsass.exe.
DLL pod imenom comsvcs.dll koji se nalazi u C:\Windows\System32
odgovoran je za dumpovanje procesne memorije u slučaju pada. Ovaj DLL uključuje funkciju pod imenom MiniDumpW
, koja je dizajnirana da se poziva koristeći rundll32.exe
.
Nije bitno koristiti prva dva argumenta, ali treći je podeljen na tri komponente. ID procesa koji treba dumpovati čini prvu komponentu, lokacija dump fajla predstavlja drugu, a treća komponenta je strogo reč full. Ne postoje alternativne opcije.
Nakon parsiranja ovih tri komponente, DLL se angažuje u kreiranju dump fajla i prebacivanju memorije specificiranog procesa u ovaj fajl.
Korišćenje comsvcs.dll je izvodljivo za dumpovanje lsass procesa, čime se eliminiše potreba za upload-ovanjem i izvršavanjem procdump-a. Ova metoda je detaljno opisana na https://en.hackndo.com/remote-lsass-dump-passwords/.
Sledeća komanda se koristi za izvršenje:
Možete automatizovati ovaj proces sa lssasy.
Desni klik na Task Bar i kliknite na Task Manager
Kliknite na Više detalja
Potražite proces "Local Security Authority Process" na kartici Procesi
Desni klik na proces "Local Security Authority Process" i kliknite na "Create dump file".
Procdump je Microsoft-ov potpisani binarni fajl koji je deo sysinternals paketa.
PPLBlade je alat za iskopavanje zaštićenih procesa koji podržava obfusciranje memorijskih iskopavanja i prenos na udaljene radne stanice bez smeštanja na disk.
Ključne funkcionalnosti:
Zaobilaženje PPL zaštite
Obfusciranje datoteka memorijskog iskopavanja kako bi se izbegle mehanizme detekcije zasnovane na potpisima Defender-a
Učitavanje memorijskog iskopavanja sa RAW i SMB metodama učitavanja bez smeštanja na disk (fileless dump)
Ove datoteke bi trebale da budu locirane u C:\windows\system32\config\SAM i C:\windows\system32\config\SYSTEM. Ali ne možete ih jednostavno kopirati na uobičajen način jer su zaštićene.
Najlakši način da ukradete te datoteke je da dobijete kopiju iz registra:
Preuzmite te datoteke na vaš Kali računar i izvucite hešove koristeći:
Možete izvršiti kopiranje zaštićenih fajlova koristeći ovu uslugu. Potrebno je da budete Administrator.
vssadmin binarni fajl je dostupan samo u verzijama Windows Server
Ali to možete učiniti i iz Powershell. Ovo je primer kako kopirati SAM datoteku (hard disk koji se koristi je "C:" i čuva se u C:\users\Public) ali to možete koristiti za kopiranje bilo koje zaštićene datoteke:
Na kraju, takođe možete koristiti PS skriptu Invoke-NinjaCopy da napravite kopiju SAM, SYSTEM i ntds.dit.
Fajl NTDS.dit je poznat kao srce Active Directory, koje sadrži ključne podatke o korisničkim objektima, grupama i njihovim članstvima. Tu se čuvaju hash-ovi lozinki za korisnike domena. Ovaj fajl je Extensible Storage Engine (ESE) baza podataka i nalazi se na %SystemRoom%/NTDS/ntds.dit.
Unutar ove baze podataka održavaju se tri glavne tabele:
Data Table: Ova tabela je zadužena za čuvanje detalja o objektima kao što su korisnici i grupe.
Link Table: Prati odnose, kao što su članstva u grupama.
SD Table: Bezbednosni opisi za svaki objekat se ovde čuvaju, obezbeđujući sigurnost i kontrolu pristupa za pohranjene objekte.
Više informacija o ovome: http://blogs.chrisse.se/2012/02/11/how-the-active-directory-data-store-really-works-inside-ntds-dit-part-1/
Windows koristi Ntdsa.dll za interakciju sa tim fajlom i koristi ga lsass.exe. Tada, deo fajla NTDS.dit može biti lociran unutar lsass
memorije (možete pronaći poslednje pristupane podatke verovatno zbog poboljšanja performansi korišćenjem cache).
Hash je šifrovan 3 puta:
Dekriptujte Ključ za šifrovanje lozinke (PEK) koristeći BOOTKEY i RC4.
Dekriptujte hash koristeći PEK i RC4.
Dekriptujte hash koristeći DES.
PEK ima istu vrednost u svakom kontroloru domena, ali je šifrovan unutar fajla NTDS.dit koristeći BOOTKEY iz SYSTEM fajla kontrolora domena (različit je između kontrolora domena). Zato da biste dobili kredencijale iz NTDS.dit fajla potrebni su vam fajlovi NTDS.dit i SYSTEM (C:\Windows\System32\config\SYSTEM).
Dostupno od Windows Server 2008.
Možete takođe koristiti volume shadow copy trik da kopirate ntds.dit datoteku. Zapamtite da će vam takođe biti potrebna kopija SYSTEM datoteke (ponovo, dump it from the registry or use the volume shadow copy trik).
Kada dobijete datoteke NTDS.dit i SYSTEM, možete koristiti alate kao što je secretsdump.py da izvučete hash-ove:
Možete takođe automatski ih izvući koristeći važećeg korisnika sa administratorskim pravima na domeni:
Za velike NTDS.dit datoteke preporučuje se da ih izvučete koristeći gosecretsdump.
Na kraju, možete koristiti i metasploit modul: post/windows/gather/credentials/domain_hashdump ili mimikatz lsadump::lsa /inject
NTDS objekti mogu biti izvučeni u SQLite bazu podataka pomoću ntdsdotsqlite. Ne samo da se izvlače tajne, već i ceo objekti i njihova svojstva za dalju ekstrakciju informacija kada je sirova NTDS.dit datoteka već preuzeta.
The SYSTEM
hive je opcionalan, ali omogućava dekripciju tajni (NT i LM heševi, dopunske kredencijale kao što su tekstualne lozinke, kerberos ili trust ključevi, NT i LM istorije lozinki). Uz druge informacije, sledeći podaci se izvode: korisnički i mašinski nalozi sa svojim heševima, UAC zastavice, vremenska oznaka za poslednju prijavu i promenu lozinke, opis naloga, imena, UPN, SPN, grupe i rekurzivna članstva, stablo organizacionih jedinica i članstvo, povereni domeni sa tipovima poverenja, pravcem i atributima...
Preuzmite binarni fajl ovde. Možete koristiti ovaj binarni fajl za ekstrakciju kredencijala iz nekoliko softvera.
Ovaj alat se može koristiti za ekstrakciju kredencijala iz memorije. Preuzmite ga sa: http://www.ampliasecurity.com/research/windows-credentials-editor/
Ekstraktujte kredencijale iz SAM fajla
Izvucite akreditive iz SAM datoteke
Preuzmite ga sa: http://www.tarasco.org/security/pwdump_7 i jednostavno izvršite ga i lozinke će biti ekstraktovane.
Saznajte više o zaštiti kredencijala ovde.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)