Stealing Windows Credentials
Κλοπή Διαπιστευτηρίων Mimikatz
Βρείτε άλλες λειτουργίες που μπορεί να εκτελέσει το Mimikatz εδώ.
Invoke-Mimikatz
Μάθετε για μερικές πιθανές προστασίες διαπιστευτηρίων εδώ. Αυτές οι προστασίες μπορούν να εμποδίσουν το Mimikatz από την εξαγωγή ορισμένων διαπιστευτηρίων.
Διαπιστευτήρια με το Meterpreter
Χρησιμοποιήστε το Πρόσθετο Διαπιστευτηρίων που έχω δημιουργήσει για να αναζητήσετε κωδικούς πρόσβασης και κατακερματισμένα δεδομένα μέσα στο θύμα.
Παράκαμψη του AV
Procdump + Mimikatz
Καθώς το Procdump από SysInternals είναι ένα νόμιμο εργαλείο της Microsoft, δεν ανιχνεύεται από τον Defender. Μπορείτε να χρησιμοποιήσετε αυτό το εργαλείο για να καταγράψετε τη διεργασία lsass, να κατεβάσετε την καταγραφή και να εξάγετε τα διαπιστευτήρια τοπικά από την καταγραφή.
Αυτή η διαδικασία γίνεται αυτόματα με το SprayKatz: ./spraykatz.py -u H4x0r -p L0c4L4dm1n -t 192.168.1.0/24
Σημείωση: Ορισμένα AV μπορεί να ανιχνεύσουν ως κακόβουλη τη χρήση του procdump.exe για να κατεβάσει το lsass.exe, αυτό συμβαίνει επειδή ανιχνεύουν τις συμβολοσειρές "procdump.exe" και "lsass.exe". Επομένως, είναι πιο αόρατο να περάσετε ως όρισμα το PID του lsass.exe στο procdump αντί για το όνομα lsass.exe.
Κατεβάζοντας το lsass με το comsvcs.dll
Ένα DLL με το όνομα comsvcs.dll που βρίσκεται στο C:\Windows\System32
είναι υπεύθυνο για το κατέβασμα της μνήμης διεργασίας σε περίπτωση κατάρρευσης. Αυτό το DLL περιλαμβάνει μια συνάρτηση με το όνομα MiniDumpW
, σχεδιασμένη να κληθεί χρησιμοποιώντας το rundll32.exe
.
Δεν έχει σημασία να χρησιμοποιηθούν τα πρώτα δύο ορίσματα, αλλά το τρίτο χωρίζεται σε τρία μέρη. Το πρώτο μέρος αποτελείται από το αναγνωριστικό της διεργασίας που θα κατεβαστεί, το δεύτερο μέρος αντιπροσωπεύει την τοποθεσία του αρχείου κατεβάσματος και το τρίτο μέρος είναι αυστηρά η λέξη full. Δεν υπάρχουν εναλλακτικές επιλογές.
Μετά την ανάλυση αυτών των τριών μερών, το DLL αρχίζει να δημιουργεί το αρχείο κατεβάσματος και να μεταφέρει τη μνήμη της καθορισμένης διεργασίας σε αυτό το αρχείο.
Η χρήση του comsvcs.dll είναι εφικτή για το κατέβασμα της διεργασίας lsass, εξαλείφοντας έτσι την ανάγκη για μεταφόρτωση και εκτέλεση του procdump. Αυτή η μέθοδος περιγράφεται αναλυτικά στο https://en.hackndo.com/remote-lsass-dump-passwords/.
Χρησιμοποιείται η παρακάτω εντολή για την εκτέλεση:
Μπορείτε να αυτοματοποιήσετε αυτήν τη διαδικασία με το lssasy.
Αποθήκευση του lsass με το Task Manager
Δεξί κλικ στη γραμμή εργασιών και κάντε κλικ στο Task Manager
Κάντε κλικ στο Περισσότερες λεπτομέρειες
Αναζητήστε τη διεργασία "Local Security Authority Process" στην καρτέλα Διεργασίες
Δεξί κλικ στη διεργασία "Local Security Authority Process" και κάντε κλικ στο "Δημιουργία αρχείου αποθήκευσης (dump)".
Αποθήκευση του lsass με το procdump
Procdump είναι ένα υπογεγραμμένο από τη Microsoft δυαδικό αρχείο που αποτελεί μέρος του sysinternals συλλογής.
Αποκτήστε πρόσβαση στο lsass με το PPLBlade
Το PPLBlade είναι ένα εργαλείο για την αποκατάσταση Προστατευμένων Διεργασιών που υποστηρίζει την απόκρυψη του αρχείου αντιγράφου μνήμης και τη μεταφορά του σε απομακρυσμένους υπολογιστές χωρίς να το αποθηκεύει στον δίσκο.
Βασικές λειτουργίες:
Παράκαμψη της προστασίας PPL
Απόκρυψη των αρχείων αντιγράφου μνήμης για να αποφευχθούν οι μηχανισμοί ανίχνευσης βάσει υπογραφής του Defender
Μεταφόρτωση αρχείου αντιγράφου μνήμης με τις μεθόδους RAW και SMB χωρίς να το αποθηκεύσει στον δίσκο (αντιγραφή χωρίς αρχείο)
CrackMapExec
Αποκατάσταση των κατακερματισμένων τιμών του SAM
Αποκατάσταση μυστικών LSA
Η αποκατάσταση των μυστικών LSA είναι μια τεχνική που χρησιμοποιείται για την ανάκτηση διαπιστευτηρίων από τον τοπικό αποθηκευτή LSA (Local Security Authority) σε ένα σύστημα Windows. Τα μυστικά LSA περιέχουν ευαίσθητες πληροφορίες, όπως κωδικούς πρόσβασης και πιστοποιητικά, που χρησιμοποιούνται από το σύστημα για την αυθεντικοποίηση χρηστών και εφαρμογών.
Για να αποκτήσουμε πρόσβαση στα μυστικά LSA, χρησιμοποιούμε το εργαλείο lsadump
που παρέχεται από το πλαίσιο εργαλείων Impacket. Αυτό το εργαλείο μας επιτρέπει να ανακτήσουμε τα μυστικά LSA από το αρχείο αποθήκευσης τους στο σύστημα.
Για να εκτελέσουμε την αποκατάσταση των μυστικών LSA, ακολουθούμε τα παρακάτω βήματα:
Εγκαθιστούμε το πλαίσιο εργαλείων Impacket στο σύστημά μας.
Εκτελούμε την εντολή
lsadump
με τις κατάλληλες παραμέτρους για να ανακτήσουμε τα μυστικά LSA.Αναλύουμε τα αποτελέσματα για να εξάγουμε τα διαπιστευτήρια που χρειαζόμαστε.
Με αυτόν τον τρόπο, μπορούμε να αποκτήσουμε πρόσβαση σε ευαίσθητες πληροφορίες που αποθηκεύονται στα μυστικά LSA του συστήματος Windows. Είναι σημαντικό να σημειωθεί ότι αυτή η τεχνική πρέπει να χρησιμοποιείται μόνο για νόμιμους σκοπούς, όπως την ασφάλεια του συστήματος και την αποκατάσταση χαμένων διαπιστευτηρίων.
Αντλήστε το NTDS.dit από τον στόχο DC
To dump the NTDS.dit file from a target Domain Controller (DC), you can use various techniques. Here are a few methods:
Method 1: Using ntdsutil
Open a command prompt with administrative privileges on your attacker machine.
Run the following command to open the ntdsutil tool:
Inside the ntdsutil tool, run the following commands:
Replace C:\path\to\output\folder
with the desired path where you want to save the NTDS.dit file. 4. Exit the ntdsutil tool by running the following command:
The NTDS.dit file will be saved in the specified output folder.
Method 2: Using secretsdump.py
Download the
secretsdump.py
script from the Impacket repository.Open a command prompt with administrative privileges on your attacker machine.
Run the following command to dump the NTDS.dit file:
Replace <DOMAIN>
, <USERNAME>
, <PASSWORD>
, and <TARGET_DC_IP>
with the appropriate values. 4. The NTDS.dit file will be dumped and displayed in the command prompt.
Method 3: Using Mimikatz
Download the Mimikatz tool from the official repository.
Open a command prompt with administrative privileges on your attacker machine.
Run the following command to load the Mimikatz module:
Inside the Mimikatz tool, run the following commands:
Replace <DOMAIN>
with the target domain name. 5. The NTDS.dit file will be dumped and saved in the current directory.
Remember to use these techniques responsibly and only on authorized systems.
Ανάκτηση ιστορικού κωδικών NTDS.dit από τον στόχο DC
Για να ανακτήσετε το ιστορικό κωδικών NTDS.dit από έναν στόχο DC, μπορείτε να ακολουθήσετε τα παρακάτω βήματα:
Εκτελέστε το εργαλείο
ntdsutil
στον στόχο DC.Εισάγετε την εντολή
activate instance ntds
.Εισάγετε την εντολή
ifm
.Επιλέξτε τον φάκελο προορισμού για την εξαγωγή των αρχείων NTDS.dit.
Αντιγράψτε τα αρχεία NTDS.dit και NTDS.dit.log από τον φάκελο προορισμού στον υπολογιστή σας.
Με αυτόν τον τρόπο, θα έχετε αντίγραφα των αρχείων NTDS.dit και NTDS.dit.log από τον στόχο DC, τα οποία περιέχουν το ιστορικό κωδικών που μπορείτε να αναλύσετε για περαιτέρω ανάλυση και εκμετάλλευση.
Εμφάνιση του χαρακτηριστικού pwdLastSet για κάθε λογαριασμό NTDS.dit
Για να εμφανίσετε το χαρακτηριστικό pwdLastSet για κάθε λογαριασμό στο αρχείο NTDS.dit, μπορείτε να ακολουθήσετε τα παρακάτω βήματα:
Ανοίξτε μια κονσόλα εντολών.
Εκτελέστε την εντολή
ntdsutil
για να ανοίξετε το εργαλείο NTDSUtil.Εκτελέστε την εντολή
activate instance ntds
για να ενεργοποιήσετε την ενότητα NTDS.Εκτελέστε την εντολή
ifm
για να μεταβείτε στη λειτουργία IFM (Install From Media).Εκτελέστε την εντολή
create full <path>
για να δημιουργήσετε ένα πλήρες αντίγραφο ασφαλείας του NTDS.dit σε έναν καθορισμένο φάκελο.Μεταβείτε στον φάκελο όπου δημιουργήθηκε το αντίγραφο ασφαλείας του NTDS.dit.
Εκτελέστε την εντολή
esentutl /p ntds.dit
για να επισκευάσετε το αρχείο NTDS.dit.Εκτελέστε την εντολή
ntdsutil
για να ανοίξετε ξανά το εργαλείο NTDSUtil.Εκτελέστε την εντολή
activate instance ntds
για να ενεργοποιήσετε την ενότητα NTDS.Εκτελέστε την εντολή
semantic database analysis
για να αναλύσετε τη σημασιολογική βάση δεδομένων.Εκτελέστε την εντολή
go
για να ξεκινήσει η ανάλυση.Αφού ολοκληρωθεί η ανάλυση, θα εμφανιστεί η λίστα των λογαριασμών NTDS.dit με το χαρακτηριστικό pwdLastSet για καθέναν από αυτούς.
Κλοπή των αρχείων SAM & SYSTEM
Αυτά τα αρχεία πρέπει να βρίσκονται στο C:\windows\system32\config\SAM και C:\windows\system32\config\SYSTEM. Ωστόσο, δεν μπορείτε απλά να τα αντιγράψετε με τον συνηθισμένο τρόπο επειδή είναι προστατευμένα.
Από το Μητρώο (Registry)
Ο ευκολότερος τρόπος για να κλέψετε αυτά τα αρχεία είναι να πάρετε ένα αντίγραφο από το μητρώο (registry):
Κατεβάστε αυτά τα αρχεία στη μηχανή σας Kali και εξαγάγετε τις κατακερματισμένες τιμές χρησιμοποιώντας:
Αντίγραφο Σκιών Όγκου
Μπορείτε να πραγματοποιήσετε αντίγραφο των προστατευμένων αρχείων χρησιμοποιώντας αυτήν την υπηρεσία. Χρειάζεστε να είστε Διαχειριστής.
Χρήση του vssadmin
Το δυαδικό αρχείο vssadmin είναι διαθέσιμο μόνο στις εκδόσεις των Windows Server.
Αλλά μπορείτε να κάνετε το ίδιο από το Powershell. Αυτό είναι ένα παράδειγμα πώς να αντιγράψετε το αρχείο SAM (η σκληρή δίσκος που χρησιμοποιείται είναι ο "C:" και αποθηκεύεται στο C:\users\Public), αλλά μπορείτε να χρησιμοποιήσετε αυτό για να αντιγράψετε οποιοδήποτε προστατευμένο αρχείο:
Κώδικας από το βιβλίο: https://0xword.com/es/libros/99-hacking-windows-ataques-a-sistemas-y-redes-microsoft.html
Invoke-NinjaCopy
Τέλος, μπορείτε επίσης να χρησιμοποιήσετε το PS script Invoke-NinjaCopy για να δημιουργήσετε αντίγραφο των αρχείων SAM, SYSTEM και ntds.dit.
Διαπιστευτήρια Active Directory - NTDS.dit
Το αρχείο NTDS.dit είναι γνωστό ως η καρδιά του Active Directory, καθώς περιέχει κρίσιμα δεδομένα σχετικά με αντικείμενα χρηστών, ομάδες και την συμμετοχή τους. Εδώ αποθηκεύονται οι κατακερματισμένες κωδικές λέξεις πρόσβασης για τους χρήστες του τομέα. Αυτό το αρχείο είναι μια βάση δεδομένων Extensible Storage Engine (ESE) και βρίσκεται στη διαδρομή %SystemRoom%/NTDS/ntds.dit.
Μέσα σε αυτήν τη βάση δεδομένων, διατηρούνται τρεις κύριοι πίνακες:
Πίνακας Δεδομένων: Αυτός ο πίνακας αποθηκεύει λεπτομέρειες σχετικά με αντικείμενα όπως χρήστες και ομάδες.
Πίνακας Συνδέσεων: Διατηρεί τις σχέσεις, όπως τη συμμετοχή σε ομάδες.
Πίνακας SD: Εδώ αποθηκεύονται οι ασφαλείς περιγραφές για κάθε αντικείμενο, εξασφαλίζοντας την ασφάλεια και τον έλεγχο πρόσβασης για τα αποθηκευμένα αντικείμενα.
Περισσότερες πληροφορίες για αυτό: http://blogs.chrisse.se/2012/02/11/how-the-active-directory-data-store-really-works-inside-ntds-dit-part-1/
Τα Windows χρησιμοποιούν το Ntdsa.dll για να αλληλεπιδράσουν με αυτό το αρχείο και χρησιμοποιείται από το lsass.exe. Έτσι, μέρος του αρχείου NTDS.dit μπορεί να βρίσκεται μέσα στη μνήμη του lsass
(μπορείτε να βρείτε τα πιο πρόσφατα προσπελασμένα δεδομένα πιθανότατα λόγω της βελτίωσης της απόδοσης με τη χρήση μιας μνήμης cache).
Αποκρυπτογράφηση των κατακερματισμένων λέξεων πρόσβασης μέσα στο NTDS.dit
Ο κατακερματισμένος κωδικός λέξης πρόσβασης κρυπτογραφείται 3 φορές:
Αποκρυπτογράφηση του Κλειδιού Κρυπτογράφησης Κωδικού Πρόσβασης (PEK) χρησιμοποιώντας το BOOTKEY και το RC4.
Αποκρυπτογράφηση του κατακερματισμένου κωδικού χρησιμοποιώντας το PEK και το RC4.
Αποκρυπτογράφηση του κατακερματισμένου κωδικού χρησιμοποιώντας το DES.
Το PEK έχει την ίδια τιμή σε κάθε ελεγκτή τομέα, αλλά κρυπτογραφείται μέσα στο αρχείο NTDS.dit χρησιμοποιώντας το BOOTKEY του αρχείου SYSTEM του ελεγκτή τομέα (διαφέρει μεταξύ των ελεγκτών τομέα). Για αυτόν τον λόγο, για να αποκτήσετε τα διαπιστευτήρια από το αρχείο NTDS.dit, χρειάζεστε τα αρχεία NTDS.dit και SYSTEM (C:\Windows\System32\config\SYSTEM).
Αντιγραφή του NTDS.dit χρησιμοποιώντας το Ntdsutil
Διαθέσιμο από το Windows Server 2008.
Μπορείτε επίσης να χρησιμοποιήσετε το κόλπο του volume shadow copy για να αντιγράψετε το αρχείο ntds.dit. Θυμηθείτε ότι θα χρειαστείτε επίσης ένα αντίγραφο του αρχείου SYSTEM (ξαναχρησιμοποιήστε τον κόλπο του dump it from the registry or use the volume shadow copy).
Εξαγωγή κατακερματισμένων τιμών από το NTDS.dit
Αφού έχετε αποκτήσει τα αρχεία NTDS.dit και SYSTEM, μπορείτε να χρησιμοποιήσετε εργαλεία όπως το secretsdump.py για να εξάγετε τις κατακερματισμένες τιμές:
Μπορείτε επίσης να τα εξάγετε αυτόματα χρησιμοποιώντας έναν έγκυρο χρήστη διαχειριστή του τομέα:
Για τα μεγάλα αρχεία NTDS.dit συνιστάται να το εξάγετε χρησιμοποιώντας το gosecretsdump.
Τέλος, μπορείτε επίσης να χρησιμοποιήσετε το module metasploit: post/windows/gather/credentials/domain_hashdump ή το mimikatz lsadump::lsa /inject
Εξαγωγή αντικειμένων του τομέα από το NTDS.dit σε μια βάση δεδομένων SQLite
Τα αντικείμενα NTDS μπορούν να εξαχθούν σε μια βάση δεδομένων SQLite με το ntdsdotsqlite. Όχι μόνο εξάγονται τα μυστικά, αλλά και τα ολόκληρα αντικείμενα και οι ιδιότητές τους για περαιτέρω εξαγωγή πληροφοριών όταν έχει ήδη ανακτηθεί το αρχείο NTDS.dit.
Το SYSTEM
hive είναι προαιρετικό, αλλά επιτρέπει την αποκρυπτογράφηση μυστικών (NT & LM hashes, πρόσθετα διαπιστευτήρια όπως καθαρό κείμενο κωδικού πρόσβασης, κλειδιά kerberos ή εμπιστοσύνης, ιστορικά κωδικών NT & LM). Μαζί με άλλες πληροφορίες, εξάγονται οι εξής δεδομένες: λογαριασμοί χρηστών και μηχανών με τα hashes τους, σημαίες UAC, χρονική σήμανση τελευταίας σύνδεσης και αλλαγής κωδικού πρόσβασης, περιγραφή λογαριασμών, ονόματα, UPN, SPN, ομάδες και αναδρομική συμμετοχή, δέντρο μονάδων οργανισμού και συμμετοχή, αξιόπιστους τομείς με τύπο εμπιστοσύνης, κατεύθυνση και χαρακτηριστικά...
Lazagne
Κατεβάστε το δυαδικό αρχείο από εδώ. Μπορείτε να χρησιμοποιήσετε αυτό το δυαδικό αρχείο για να εξάγετε διαπιστευτήρια από διάφορο λογισμικό.
Άλλα εργαλεία για την εξαγωγή διαπιστευτηρίων από τα αρχεία SAM και LSASS
Windows credentials Editor (WCE)
Αυτό το εργαλείο μπορεί να χρησιμοποιηθεί για την εξαγωγή διαπιστευτηρίων από τη μνήμη. Κατεβάστε το από: http://www.ampliasecurity.com/research/windows-credentials-editor/
fgdump
Εξαγάγετε διαπιστευτήρια από το αρχείο SAM
PwDump
Εξαγωγή διαπιστευτηρίων από το αρχείο SAM
PwDump7
Κατεβάστε το από: http://www.tarasco.org/security/pwdump_7 και απλά εκτελέστε το και οι κωδικοί πρόσβασης θα εξαχθούν.
Αμυντικές Μέθοδοι
Last updated