Stealing Windows Credentials
Mimikatz akreditacije
Pronađite druge stvari koje Mimikatz može uraditi na ovoj stranici.
Invoke-Mimikatz
Saznajte o nekim mogućim zaštitama za pristupne podatke ovde. Ove zaštite mogu sprečiti izvlačenje nekih pristupnih podataka pomoću alata Mimikatz.
Pristupni podaci sa Meterpreterom
Koristite Credentials Plugin koji sam kreirao da biste pretražili lozinke i hešove unutar žrtve.
Zaobilaženje AV
Procdump + Mimikatz
Kako je Procdump iz SysInternals legitimni Microsoft alat, nije otkriven od strane Defendera. Možete koristiti ovaj alat da dampirate lsass proces, preuzmete dump i izvučete lokalno kredencijale iz dumpa.
Ovaj proces se automatski izvršava pomoću SprayKatz: ./spraykatz.py -u H4x0r -p L0c4L4dm1n -t 192.168.1.0/24
Napomena: Neki AV programi mogu detektovati kao zlonamerno korišćenje procdump.exe za dumpovanje lsass.exe, to je zato što detektuju stringove "procdump.exe" i "lsass.exe". Zato je diskretnije proslediti PID lsass.exe procesa kao argument procdump-u umesto imena lsass.exe.
Dumpovanje lsass pomoću comsvcs.dll
DLL fajl pod nazivom comsvcs.dll koji se nalazi u C:\Windows\System32
je odgovoran za dumpovanje memorije procesa u slučaju pada. Ovaj DLL sadrži funkciju pod nazivom MiniDumpW
, koja se poziva pomoću rundll32.exe
.
Prva dva argumenta su nebitna, ali treći argument se sastoji od tri komponente. Prva komponenta predstavlja ID procesa koji će biti dumpovan, druga komponenta predstavlja lokaciju fajla za dump, a treća komponenta je strogo reč full. Ne postoje alternativne opcije.
Nakon parsiranja ovih tri komponente, DLL kreira fajl za dumpovanje i prenosi memoriju određenog procesa u taj fajl.
Korišćenje comsvcs.dll je moguće za dumpovanje lsass procesa, čime se eliminiše potreba za otpremanjem i izvršavanjem procdump-a. Ovaj metod je detaljno opisan na https://en.hackndo.com/remote-lsass-dump-passwords/.
Za izvršavanje se koristi sledeća komanda:
Ovaj proces možete automatizovati pomoću lssasy.
Izbacivanje lsass-a pomoću Task Manager-a
Desni klik na Task Bar i kliknite na Task Manager
Kliknite na Više detalja
Pretražite proces "Local Security Authority Process" na kartici Procesi
Desni klik na proces "Local Security Authority Process" i kliknite na "Create dump file".
Izbacivanje lsass-a pomoću procdump-a
Procdump je Microsoft potpisani binarni fajl koji je deo sysinternals paketa.
Dumpiranje lsass-a pomoću PPLBlade-a
PPLBlade je alat za dumpiranje zaštićenih procesa koji podržava obfuskaciju memorijskog dumpa i prenos na udaljene radne stanice bez otpuštanja na disk.
Ključne funkcionalnosti:
Zaobilaženje PPL zaštite
Obfuskacija datoteka memorijskog dumpa kako bi se izbegli mehanizmi detekcije na osnovu potpisa Defender-a
Prenos memorijskog dumpa pomoću metoda RAW i SMB bez otpuštanja na disk (bezdatotečni dump)
CrackMapExec
Dumpovanje SAM heševa
Preuzimanje LSA tajni
Kada je reč o krađi legitimacija, jedna od metoda koju možete koristiti je preuzimanje LSA (Local Security Authority) tajni. LSA tajne su čuvane na Windows operativnom sistemu i sadrže osetljive informacije kao što su korisnička imena i lozinke.
Da biste preuzeli LSA tajne, možete koristiti alat kao što je "Mimikatz". Ovaj alat omogućava da se izvrši "sekundarni logon" na Windows mašini i preuzmu LSA tajne.
Evo kako možete izvršiti ovu tehniku:
Preuzmite "Mimikatz" alat sa zvanične web stranice.
Pokrenite "Mimikatz" alat na ciljnom Windows sistemu.
Izvršite "sekundarni logon" komandom
sekurlsa::logonpasswords
.Prikupite preuzete LSA tajne koje sadrže korisnička imena i lozinke.
Važno je napomenuti da je ova tehnika ilegalna i može biti kršenje privatnosti. Upotreba ovog alata treba biti u skladu sa zakonima i regulativama.
Dumpujte NTDS.dit sa ciljnog DC-a
Da biste izvršili ovu tehniku, možete koristiti alat kao što je mimikatz
ili ntdsutil
. Ovi alati omogućavaju izvlačenje NTDS.dit baze podataka sa ciljnog kontrolera domena (DC).
Korišćenje alata mimikatz
mimikatz
Preuzmite
mimikatz
alat sa zvanične GitHub stranice.Pokrenite
mimikatz
alat na ciljnom DC-u.Unesite komandu
lsadump::dcsync /domain:<ime domena>
kako biste izvršili izvlačenje NTDS.dit baze podataka.
Korišćenje alata ntdsutil
ntdsutil
Pokrenite
cmd.exe
kao administrator na ciljnom DC-u.Unesite komandu
ntdsutil
kako biste pokrenulintdsutil
alat.Unesite komandu
activate instance ntds
kako biste aktivirali instancu NTDS.dit baze podataka.Unesite komandu
ifm
kako biste prešli u režim "Install from Media".Unesite komandu
create full <putanja>
kako biste kreirali punu kopiju NTDS.dit baze podataka na određenoj putanji.
Nakon izvršenja ovih koraka, dobićete kopiju NTDS.dit baze podataka sa ciljnog DC-a. Ova baza podataka sadrži hash-ove korisničkih naloga i može se koristiti za dalje analize i napade na sistem.
Preuzmite istoriju lozinki NTDS.dit sa ciljnog DC-a
Da biste preuzeli istoriju lozinki NTDS.dit sa ciljnog kontrolera domena (DC), možete koristiti sledeće korake:
Pokrenite alat
ntdsutil
na ciljnom DC-u.Unesite komandu
activate instance ntds
kako biste aktivirali instancu NTDS.Unesite komandu
ifm
kako biste prešli na režim instalacije izolovane mape.Unesite komandu
create full C:\path\to\output
kako biste kreirali izolovanu mapu sa punim sadržajem.Unesite komandu
quit
kako biste izašli iz režima instalacije izolovane mape.Unesite komandu
quit
kako biste izašli iz alatantdsutil
.
Nakon izvršavanja ovih koraka, istorija lozinki NTDS.dit će biti preuzeta i smeštena u izolovanu mapu koju ste odredili.
Prikazivanje atributa pwdLastSet za svaki NTDS.dit nalog
Da biste prikazali atribut pwdLastSet za svaki NTDS.dit nalog, možete koristiti sledeći PowerShell skript:
Ovaj skript će prikazati atribut pwdLastSet za svaki NTDS.dit nalog, zajedno sa odgovarajućim korisničkim imenom (sAMAccountName).
Krađa SAM i SYSTEM fajlova
Ovi fajlovi se nalaze u C:\windows\system32\config\SAM i C:\windows\system32\config\SYSTEM. Ali ne možete ih jednostavno kopirati jer su zaštićeni.
Iz registra
Najlakši način da ukradete ove fajlove je da dobijete kopiju iz registra:
Preuzmite te datoteke na vaš Kali uređaj i izvucite hešove koristeći:
Kopiranje senke zapisa
Možete izvršiti kopiranje zaštićenih datoteka koristeći ovu uslugu. Potrebno je da budete Administrator.
Korišćenje vssadmin
Binarna datoteka vssadmin je dostupna samo u verzijama Windows Servera.
Ali isto možete uraditi i iz Powershell-a. Ovo je primer kako kopirati SAM fajl (hard disk koji se koristi je "C:" i čuva se na C:\users\Public), ali možete koristiti ovo za kopiranje bilo kog zaštićenog fajla:
Kod iz knjige: https://0xword.com/es/libros/99-hacking-windows-ataques-a-sistemas-y-redes-microsoft.html
Invoke-NinjaCopy
Konačno, takođe možete koristiti PS skriptu Invoke-NinjaCopy da napravite kopiju SAM, SYSTEM i ntds.dit fajlova.
Active Directory Credentials - NTDS.dit
Fajl NTDS.dit poznat je kao srce Active Directory-ja, u kojem se čuvaju ključni podaci o korisničkim objektima, grupama i njihovim članstvima. Tu se čuvaju heševi lozinki za korisnike domena. Ovaj fajl je baza podataka Extensible Storage Engine (ESE) i nalazi se na putanji %SystemRoom%/NTDS/ntds.dit.
U ovoj bazi podataka održavaju se tri osnovne tabele:
Data Table: Ova tabela čuva detalje o objektima kao što su korisnici i grupe.
Link Table: Prati odnose, poput članstva u grupama.
SD Table: Ovde se čuvaju bezbednosni deskriptori za svaki objekat, obezbeđujući bezbednost i kontrolu pristupa za čuvane objekte.
Više informacija o tome: http://blogs.chrisse.se/2012/02/11/how-the-active-directory-data-store-really-works-inside-ntds-dit-part-1/
Windows koristi Ntdsa.dll za interakciju sa tim fajlom, a koristi ga lsass.exe. Zatim, deo fajla NTDS.dit može se nalaziti unutar memorije lsass
-a (možete pronaći najskorije pristupljene podatke verovatno zbog poboljšanja performansi korišćenjem keša).
Dekriptovanje heševa unutar NTDS.dit
Heš je šifrovan 3 puta:
Dekriptujte ključ za šifrovanje lozinke (PEK) koristeći BOOTKEY i RC4.
Dekriptujte heš koristeći PEK i RC4.
Dekriptujte heš koristeći DES.
PEK ima istu vrednost na svakom kontroloru domena, ali je šifrovan unutar fajla NTDS.dit koristeći BOOTKEY iz SYSTEM fajla kontrolora domena (razlikuje se između kontrolora domena). Zato da biste dobili akreditive iz NTDS.dit fajla potrebni su vam fajlovi NTDS.dit i SYSTEM (C:\Windows\System32\config\SYSTEM).
Kopiranje NTDS.dit pomoću Ntdsutil
Dostupno od Windows Server 2008.
Takođe možete koristiti trik sa kopiranjem kopije senke zapisa da biste kopirali datoteku ntds.dit. Zapamtite da će vam takođe biti potrebna kopija datoteke SYSTEM (ponovo, izvucite je iz registra ili koristite trik sa kopiranjem kopije senke zapisa).
Izdvajanje heševa iz NTDS.dit
Kada ste dobili datoteke NTDS.dit i SYSTEM, možete koristiti alate poput secretsdump.py da biste izvukli heševe:
Takođe možete automatski izvući koristeći važećeg korisnika sa administratorskim privilegijama na domenu:
Za velike NTDS.dit datoteke preporučuje se da se izvuku koristeći gosecretsdump.
Takođe, možete koristiti metasploit modul: post/windows/gather/credentials/domain_hashdump ili mimikatz lsadump::lsa /inject
Izdvajanje objekata domena iz NTDS.dit u SQLite bazu podataka
NTDS objekti mogu se izdvojiti u SQLite bazu podataka pomoću ntdsdotsqlite. Ne samo da se izdvajaju tajne, već i celokupni objekti i njihove atribute za dalje izdvajanje informacija kada je sirova NTDS.dit datoteka već preuzeta.
SYSTEM
košnica je opcionalna, ali omogućava dešifrovanje tajni (NT i LM heševa, dodatnih akreditacija kao što su lozinke u čistom tekstu, kerberos ili ključevi poverenja, NT i LM istorija lozinki). Pored ostalih informacija, izvučeni su sledeći podaci: korisnički i mašinski nalozi sa njihovim heševima, UAC oznake, vremenska oznaka za poslednju prijavu i promenu lozinke, opis naloga, imena, UPN, SPN, grupe i rekurzivna članstva, stablo organizacionih jedinica i članstvo, povereni domeni sa vrstama poverenja, smerom i atributima...
Lazagne
Preuzmite binarnu datoteku sa ovde. Možete koristiti ovu binarnu datoteku da izvučete akreditive iz različitog softvera.
Ostali alati za izvlačenje akreditacija iz SAM i LSASS
Windows Credentials Editor (WCE)
Ovaj alat se može koristiti za izvlačenje akreditacija iz memorije. Preuzmite ga sa: http://www.ampliasecurity.com/research/windows-credentials-editor/
fgdump
Izvucite akreditacije iz SAM datoteke
PwDump
Izvucite akreditive iz SAM datoteke
PwDump7
Preuzmite ga sa: http://www.tarasco.org/security/pwdump_7 i samo izvršite ga i lozinke će biti izvučene.
Odbrane
Last updated