Stealing Windows Credentials
Gelde Mimikatz
Vind ander dinge wat Mimikatz kan doen in hierdie bladsy.
Invoke-Mimikatz
Leer hier oor moontlike beskermingsmaatreëls vir geloofsbriewe. Hierdie beskermingsmaatreëls kan voorkom dat Mimikatz sekere geloofsbriewe onttrek.
Geloofsbriewe met Meterpreter
Gebruik die Credentials Plugin wat ek geskep het om na wagwoorde en hashs te soek binne die slagoffer.
Om AV te omseil
Procdump + Mimikatz
Aangesien Procdump van SysInternals 'n wettige Microsoft-hulpmiddel is, word dit nie deur Defender opgespoor nie. Jy kan hierdie hulpmiddel gebruik om die lsass-proses te dump, die dump aflaai en die geloofsbriewe plaaslik uit die dump te onttrek.
Hierdie proses word outomaties gedoen met SprayKatz: ./spraykatz.py -u H4x0r -p L0c4L4dm1n -t 192.168.1.0/24
Nota: Sommige AV kan die gebruik van procdump.exe om lsass.exe te dump as skadelik beskou, dit is omdat hulle die string "procdump.exe" en "lsass.exe" opspoor. Dit is dus beter om die PID van lsass.exe as 'n argument aan procdump oor te dra in plaas van die naam lsass.exe.
Dumping lsass met comsvcs.dll
'n DLL genaamd comsvcs.dll wat in C:\Windows\System32
gevind word, is verantwoordelik vir die dumping van prosesgeheue in die geval van 'n ongeluk. Hierdie DLL bevat 'n funksie genaamd MiniDumpW
, wat ontwerp is om aangeroep te word met behulp van rundll32.exe
.
Die eerste twee argumente is irrelevant, maar die derde argument word verdeel in drie komponente. Die proses-ID wat gedump moet word, vorm die eerste komponent, die dump-lêerlokasie verteenwoordig die tweede, en die derde komponent is strengweg die woord full. Geen alternatiewe opsies bestaan nie.
Na die ontleding van hierdie drie komponente, skep die DLL die dump-lêer en oordra die geheue van die gespesifiseerde proses na hierdie lêer.
Die gebruik van die comsvcs.dll is moontlik vir die dump van die lsass-proses, wat die behoefte om procdump op te laai en uit te voer, elimineer. Hierdie metode word in detail beskryf by https://en.hackndo.com/remote-lsass-dump-passwords/.
Die volgende opdrag word gebruik vir uitvoering:
Jy kan hierdie proses outomatiseer met lssasy.
Dumping lsass met Task Manager
Regskliek op die Taakbalk en kliek op Taakbestuurder
Kliek op Meer besonderhede
Soek na die "Local Security Authority Process" proses in die Prosesse-tabblad
Regskliek op die "Local Security Authority Process" proses en kliek op "Skep dump-lêer".
Dumping lsass met procdump
Procdump is 'n Microsoft-ondertekende binêre lêer wat deel vorm van die sysinternals pakket.
Dumpin lsass met PPLBlade
PPLBlade is 'n Gereedskap vir die Dumping van Beskermde Prosesse wat geheue-dump obfuskasie ondersteun en dit op afgeleë werkstasies oordra sonder om dit op die skyf te laat val.
Kernfunksies:
Om PPL-beskerming te omseil
Om geheue-dump lêers te obfuskasie om Defender se handtekening-gebaseerde opsporingsmeganismes te ontduik
Om geheue-dump op te laai met RAW- en SMB-oplaaimetodes sonder om dit op die skyf te laat val (lêerlose dump)
CrackMapExec
Dump SAM-hashes
Stort LSA-geheime
Beschrywing
Die LSA-geheime is 'n stel kredensiale wat deur die Local Security Authority (LSA) in Windows gestoor word. Hierdie kredensiale kan waardevolle inligting bevat, soos gebruikersname en wagwoorde, wat deur aanvallers gebruik kan word om toegang tot 'n stelsel te verkry.
Tegniek
Om die LSA-geheime te stoor, kan jy die volgende stappe volg:
Kry toegang tot die stelsel as 'n bevoorregte gebruiker.
Voer die volgende opdrag uit om die LSA-geheime te stoor:
Hierdie opdrag stoor die LSA-geheime in 'n REG-formaat lêer.
Kopieer die uitsetlêer na 'n veilige plek vir verdere analise.
Voorbeelde
Stoor die LSA-geheime in 'n REG-formaat lêer:
Voorkomingsmaatreëls
Om te voorkom dat LSA-geheime gesteel word, kan die volgende maatreëls geneem word:
Beperk die toegang tot bevoorregte gebruikers.
Monitor die stelsel vir enige verdagte aktiwiteit.
Verseker dat die stelsel opgedateer en gepatch is om bekende kwesbaarhede te vermy.
Implementeer sterk wagwoordbeleide en tweefaktor-verifikasie.
Gebruik 'n betroubare sekuriteitsoplossing om die stelsel teen aanvalle te beskerm.
Stort die NTDS.dit van die teiken DC
Stort die NTDS.dit wagwoordgeskiedenis van teiken DC
Wys die pwdLastSet eienskap vir elke NTDS.dit rekening
Om die pwdLastSet eienskap vir elke NTDS.dit rekening te wys, kan jy die volgende stappe volg:
Maak 'n verbind met die NTDS.dit databasis.
Kry 'n lys van alle rekeninge in die databasis.
Vir elke rekening, haal die pwdLastSet eienskap op.
Wys die pwdLastSet eienskap vir elke rekening.
Hier is 'n voorbeeld van hoe jy dit kan doen met PowerShell:
Hierdie skripsie sal die pwdLastSet eienskap vir elke NTDS.dit rekening wys.
Steel SAM & SYSTEM
Hierdie lêers moet gevind word in C:\windows\system32\config\SAM en C:\windows\system32\config\SYSTEM. Maar jy kan hulle nie net op 'n gewone manier kopieer nie omdat hulle beskerm word.
Uit die Register
Die maklikste manier om hierdie lêers te steel, is om 'n kopie uit die register te kry:
Laai daardie lêers af na jou Kali-masjien en onttrek die hase met behulp van:
Volume Shadow Copy
Jy kan 'n kopie van beskermde lêers maak deur hierdie diens te gebruik. Jy moet 'n Administrateur wees.
Gebruik van vssadmin
vssadmin binêre lêer is slegs beskikbaar in Windows Server-weergawes.
Maar jy kan dieselfde doen vanuit Powershell. Hier is 'n voorbeeld van hoe om die SAM-lêer te kopieer (die hardeskyf wat gebruik word, is "C:" en dit word gestoor in C:\gebruikers\Openbaar), maar jy kan dit gebruik om enige beskermde lêer te kopieer:
Kode uit die boek: https://0xword.com/es/libros/99-hacking-windows-ataques-a-sistemas-y-redes-microsoft.html
Invoke-NinjaCopy
Uiteindelik kan jy ook die PS-skrip Invoke-NinjaCopy gebruik om 'n kopie van SAM, SYSTEM en ntds.dit te maak.
Aktiewe Direktori-gedragsbepalings - NTDS.dit
Die NTDS.dit-lêer staan bekend as die hart van Aktiewe Direktori, wat kritieke data oor gebruikersobjekte, groepe en hul lidmaatskappe bevat. Dit is waar die wagwoordhasings vir domeingebruikers gestoor word. Hierdie lêer is 'n Uitbreibare Berging Enjin (ESE) databasis en bly in %SystemRoom%/NTDS/ntds.dit.
Binne hierdie databasis word drie primêre tabelle onderhou:
Data Tabel: Hierdie tabel is verantwoordelik vir die stoor van besonderhede oor objekte soos gebruikers en groepe.
Skakel Tabel: Dit hou rekord van verhoudings, soos groepslidmaatskappe.
SD Tabel: Sekuriteitsbeskrywers vir elke objek word hier gehou, wat die sekuriteit en toegangsbeheer vir die gestoorde objekte verseker.
Meer inligting hieroor: http://blogs.chrisse.se/2012/02/11/how-the-active-directory-data-store-really-works-inside-ntds-dit-part-1/
Windows gebruik Ntdsa.dll om met daardie lêer te kommunikeer en dit word deur lsass.exe gebruik. Dan kan deel van die NTDS.dit-lêer binne die lsass
-geheue geleë word (jy kan waarskynlik die onlangse toegang tot data vind as gevolg van die prestasieverbetering deur 'n kas te gebruik).
Ontsleuteling van die hasings binne NTDS.dit
Die hasing word 3 keer versleutel:
Ontsleutel Wagwoordversleuteling Sleutel (PEK) met behulp van die BOOTKEY en RC4.
Ontsleutel die has met behulp van PEK en RC4.
Ontsleutel die has met behulp van DES.
PEK het dieselfde waarde in elke domeinbeheerder, maar dit is versleutel binne die NTDS.dit-lêer met behulp van die BOOTKEY van die SYSTEM-lêer van die domeinbeheerder (verskil tussen domeinbeheerders). Dit is waarom jy die geloofsbriewe uit die NTDS.dit-lêer moet kry jy benodig die lêers NTDS.dit en SYSTEM (C:\Windows\System32\config\SYSTEM).
Kopiëring van NTDS.dit met behulp van Ntdsutil
Beskikbaar sedert Windows Server 2008.
Jy kan ook die volume skyf kopie truuk gebruik om die ntds.dit lêer te kopieer. Onthou dat jy ook 'n kopie van die SYSTEM lêer sal benodig (weer, dump dit van die register of gebruik die volume skyf kopie truuk).
Uittreksel van hasings uit NTDS.dit
Sodra jy die lêers NTDS.dit en SYSTEM verkry het, kan jy gereedskap soos secretsdump.py gebruik om die hasings uit te trek:
Jy kan hulle ook outomaties onttrek deur 'n geldige domein-admin-gebruiker te gebruik:
Vir groot NTDS.dit-lêers word aanbeveel om dit te onttrek met behulp van gosecretsdump.
Uiteindelik kan jy ook die metasploit-module gebruik: post/windows/gather/credentials/domain_hashdump of mimikatz lsadump::lsa /inject
Onttrekking van domeinvoorwerpe uit NTDS.dit na 'n SQLite-databasis
NTDS-voorwerpe kan onttrek word na 'n SQLite-databasis met ntdsdotsqlite. Nie net geheime word onttrek nie, maar ook die hele voorwerpe en hul eienskappe vir verdere inligtingonttrekking wanneer die rou NTDS.dit-lêer reeds herwin is.
Die SYSTEM
-by is opsioneel, maar maak dit moontlik om geheime te ontsluit (NT- en LM-hashes, aanvullende geloofsbriewe soos teks wagwoorde, kerberos- of vertrouensleutels, NT- en LM-wagwoordgeskiedenis). Saam met ander inligting word die volgende data onttrek: gebruikers- en masjienrekeninge met hul hasings, UAC-vlae, tydstempel vir laaste aanmelding en wagwoordverandering, rekeningbeskrywing, name, UPN, SPN, groepe en herhalende lidmaatskappe, organisatoriese eenhedeboom en lidmaatskap, vertroue domeine met vertrouens tipe, rigting en eienskappe...
Lazagne
Laai die binêre lêer van hier af. Jy kan hierdie binêre lêer gebruik om geloofsbriewe uit verskeie sagteware te onttrek.
Ander gereedskap vir die onttrekking van geloofsbriewe uit SAM en LSASS
Windows-geloofsbriewe-redakteur (WCE)
Hierdie gereedskap kan gebruik word om geloofsbriewe uit die geheue te onttrek. Laai dit af vanaf: http://www.ampliasecurity.com/research/windows-credentials-editor/
fgdump
Onttrek geloofsbriewe uit die SAM-lêer
PwDump
Onttrek geloofsbriewe uit die SAM-lêer
PwDump7
Laai dit af vanaf: http://www.tarasco.org/security/pwdump_7 en voer dit net uit en die wagwoorde sal onttrek word.
Verdedigings
Last updated