DPAPI - Extracting Passwords
RootedCON स्पेन में सबसे महत्वपूर्ण साइबर सुरक्षा घटना है और यूरोप में सबसे महत्वपूर्ण में से एक है। तकनीकी ज्ञान को बढ़ावा देने के मिशन के साथ, यह कांग्रेस प्रौद्योगिकी और साइबर सुरक्षा विशेषज्ञों के लिए एक उफान मिलने का समारोह है।
DPAPI क्या है
डेटा संरक्षण API (DPAPI) प्रमुख रूप से असममित निजी कुंजीयों का सममित एन्क्रिप्शन के लिए Windows ऑपरेटिंग सिस्टम में प्रयोग किया जाता है, जो उपयोगकर्ता या सिस्टम रहस्यों को एंट्रोपी के महत्वपूर्ण स्रोत के रूप में उपयोग करता है। यह दृष्टिकोण डेवलपरों के लिए एन्क्रिप्शन को सरल बनाता है जिससे उन्हें उपयोगकर्ता के लॉगऑन रहस्यों से उत्पन्न कुंजी का उपयोग करके डेटा को एन्क्रिप्ट करने की सुविधा प्रदान करता है या सिस्टम एन्क्रिप्शन के लिए, सिस्टम के डोमेन प्रमाणीकरण रहस्यों का उपयोग करके, इससे डेवलपरों को खुद ही एन्क्रिप्शन कुंजी की सुरक्षा का प्रबंधन करने की आवश्यकता को दूर कर देता है।
DPAPI द्वारा संरक्षित डेटा
DPAPI द्वारा संरक्षित व्यक्तिगत डेटा में शामिल हैं:
इंटरनेट एक्सप्लोरर और गूगल क्रोम के पासवर्ड और ऑटो-पूर्णता डेटा
Outlook और Windows Mail जैसे एप्लिकेशन के ईमेल और आंतरिक FTP खाता पासवर्ड
साझा फोल्डर, संसाधन, वायरलेस नेटवर्क्स और Windows Vault के पासवर्ड, इनक्लूडिंग एन्क्रिप्शन कुंजी
रिमोट डेस्कटॉप कनेक्शन, .NET पासपोर्ट, और विभिन्न एन्क्रिप्शन और प्रमाणीकरण उद्देश्यों के लिए निजी कुंजी
Credential Manager द्वारा प्रबंधित नेटवर्क पासवर्ड और CryptProtectData का उपयोग करने वाले एप्लिकेशन्स में व्यक्तिगत डेटा, जैसे Skype, MSN मैसेंजर, और अधिक
वॉल्ट सूची
प्रमाणीकरण फ़ाइलें
सुरक्षित रखी गई प्रमाणीकरण फ़ाइलें निम्नलिखित स्थान पर हो सकती हैं:
आप mimikatz मॉड्यूल dpapi::cred
का उपयोग कर सकते हैं उपयुक्त /masterkey
के साथ डिक्रिप्ट करने के लिए:
मास्टर कुंजी
उपयोगकर्ता के RSA कुंजी को एन्क्रिप्ट करने के लिए उपयोग की जाने वाली DPAPI कुंजी %APPDATA%\Microsoft\Protect\{SID}
निर्देशिका में संग्रहीत की जाती है, जहां {SID} उपयोगकर्ता का सुरक्षा पहचानकर्ता है। DPAPI कुंजी उपयोगकर्ता की निजी कुंजियों को सुरक्षित रखने वाली मास्टर कुंजी के साथ ही एक ही फ़ाइल में संग्रहीत की जाती है। यह आम तौर पर 64 बाइट के यादृच्छिक डेटा होता है। (ध्यान दें कि यह निर्देशिका संरक्षित है, इसे आप cmd
से dir
का उपयोग करके सूचीबद्ध नहीं कर सकते हैं, लेकिन आप PS से इसे सूचीबद्ध कर सकते हैं)।
एक उपयोगकर्ता के एक बंडल मास्टर कुंजियों का यह दिखने लगेगा:
सामान्यत: प्रत्येक मास्टर कुंजी एक एन्क्रिप्टेड सिमेट्रिक कुंजी होती है जो अन्य सामग्री को डिक्रिप्ट कर सकती है। इसलिए, इस एन्क्रिप्टेड मास्टर कुंजी को निकालना बहुत दिलचस्प है ताकि बाद में जो अन्य सामग्री इसके साथ एन्क्रिप्ट की गई है, उसे डिक्रिप्ट किया जा सके।
मास्टर कुंजी निकालें और डिक्रिप्ट करें
मास्टर कुंजी को निकालने और इसे डिक्रिप्ट करने का उदाहरण देखने के लिए https://www.ired.team/offensive-security/credential-access-and-credential-dumping/reading-dpapi-encrypted-secrets-with-mimikatz-and-c++ पोस्ट की जाँच करें।
Last updated