Stealing Windows Credentials
Kuiga Vitambulisho vya Mimikatz
Pata vitu vingine ambavyo Mimikatz inaweza kufanya kwenye ukurasa huu.
Invoke-Mimikatz
Jifunze kuhusu ulinzi wa vibali kadhaa hapa. Ulinzi huu unaweza kuzuia Mimikatz kutoa baadhi ya vibali.
Vibali na Meterpreter
Tumia Programu-jalizi ya Vibali ambayo nimeunda ili kutafuta nywila na hashi ndani ya mwathiriwa.
Kuvuka AV
Procdump + Mimikatz
Kwa kuwa Procdump kutoka SysInternals ni chombo halali cha Microsoft, hakigunduliwi na Defender. Unaweza kutumia chombo hiki ku dump mchakato wa lsass, kupakua dump na kuchimbua vitambulisho kwa kiwango cha ndani kutoka kwenye dump.
Hii mchakato inafanywa kiotomatiki na SprayKatz: ./spraykatz.py -u H4x0r -p L0c4L4dm1n -t 192.168.1.0/24
Maelezo: Baadhi ya AV inaweza kugundua kama hatari matumizi ya procdump.exe kudump lsass.exe, hii ni kwa sababu wanagundua neno "procdump.exe" na "lsass.exe". Hivyo ni siri zaidi ku pita kama hoja PID ya lsass.exe kwa procdump badala ya jina la lsass.exe.
Kudump lsass na comsvcs.dll
DLL iitwayo comsvcs.dll iliyo katika C:\Windows\System32
inawajibika kwa kudump kumbukumbu ya mchakato katika tukio la ajali. DLL hii ina kazi iitwayo MiniDumpW
, iliyoundwa kuitwa kwa kutumia rundll32.exe
.
Ni haifai kutumia hoja mbili za kwanza, lakini ya tatu imegawanywa katika sehemu tatu. Kitambulisho cha mchakato kinachotakiwa kudump kinawakilisha sehemu ya kwanza, mahali pa faili ya dump inawakilisha ya pili, na sehemu ya tatu ni neno full. Hakuna chaguo mbadala zilizopo.
Baada ya kuchambua sehemu hizi tatu, DLL inahusika katika kuunda faili ya dump na kuhamisha kumbukumbu ya mchakato uliopewa katika faili hii.
Matumizi ya comsvcs.dll yanawezekana kwa kudump mchakato wa lsass, hivyo kuondoa haja ya kupakia na kutekeleza procdump. Njia hii imeelezewa kwa undani katika https://en.hackndo.com/remote-lsass-dump-passwords/.
Amri ifuatayo inatumika kwa utekelezaji:
Unaweza kusindika hii taratibu kiotomatiki kwa kutumia lssasy.
Kuchota lsass kwa kutumia Task Manager
Bonyeza kulia kwenye Task Bar na bonyeza kwenye Task Manager
Bonyeza kwenye More details
Tafuta mchakato wa "Local Security Authority Process" kwenye kichupo cha Processes
Bonyeza kulia kwenye mchakato wa "Local Security Authority Process" na bonyeza "Create dump file".
Kuchota lsass kwa kutumia procdump
Procdump ni faili iliyosainiwa na Microsoft ambayo ni sehemu ya sysinternals suite.
Kudondosha lsass na PPLBlade
PPLBlade ni chombo cha Kudondosha Mchakato Uliolindwa kinachosaidia kuficha kumbukumbu ya kudondosha na kuhamisha kwenye vituo vya kazi vya mbali bila kuacha kwenye diski.
Vipengele muhimu:
Kupita kinga ya PPL
Kuficha faili za kumbukumbu ya kudondosha ili kuepuka mbinu za kugundua saini za Defender
Kupakia kumbukumbu ya kudondosha kwa njia za RAW na SMB bila kuacha kwenye diski (kudondosha bila faili)
CrackMapExec
Dumpisha hashi za SAM
Pata Siri za LSA
Description: Siri za LSA ni habari muhimu za uwakilishi wa usalama katika mfumo wa Windows. Kwa kudump siri hizi, unaweza kupata nywila na habari nyingine muhimu za uwakilishi wa usalama.
Technique: Kuna njia kadhaa za kudump siri za LSA:
LSA Secrets Dump: Unaweza kutumia zana kama
lsadump
aumimikatz
kudump siri za LSA kutoka kwa mfumo uliopo. Zana hizi zinaweza kuchambua na kutoa habari muhimu kama vile nywila za akaunti za mtumiaji na nywila za kuhifadhiwa kwa programu.Registry: Siri za LSA zinahifadhiwa katika rejista ya Windows. Unaweza kuchunguza na kudump siri hizi kwa kuchambua sehemu maalum za rejista kama vile
HKEY_LOCAL_MACHINE\Security\Policy\Secrets
.
Impact: Kwa kudump siri za LSA, unaweza kupata ufikiaji usio halali kwa akaunti za mtumiaji na habari nyingine muhimu za uwakilishi wa usalama. Hii inaweza kusababisha uvunjaji wa usalama, upotezaji wa data, na uharibifu mwingine wa mfumo.
Countermeasures: Kuna hatua kadhaa za kuchukua ili kuzuia kudump siri za LSA:
Tumia sera kali za usalama kwenye mfumo wako ili kuzuia ufikiaji usio halali kwa siri za LSA.
Funga na sasisha programu zote zinazojulikana kama
lsadump
aumimikatz
ili kuzuia matumizi yao mabaya.Fanya ukaguzi wa mara kwa mara wa mfumo wako ili kugundua na kurekebisha mapungufu yoyote ya usalama yanayoweza kusababisha kudump siri za LSA.
References:
Pata NTDS.dit kutoka kwa DC ya lengo
Hii itakusaidia kupata faili ya NTDS.dit kutoka kwa DC ya lengo.
Pata historia ya nywila ya NTDS.dit kutoka kwa DC ya lengo
Onyesha sifa ya pwdLastSet kwa kila akaunti ya NTDS.dit
Ili kuonyesha sifa ya pwdLastSet kwa kila akaunti ya NTDS.dit, unaweza kutumia zana ya PowerShell ifuatayo:
Zana hii itakupa orodha ya akaunti zote za NTDS.dit pamoja na sifa ya pwdLastSet kwa kila akaunti.
Kuiba SAM & SYSTEM
Faili hizi zinapaswa kuwa zimehifadhiwa katika C:\windows\system32\config\SAM na C:\windows\system32\config\SYSTEM. Lakini hauwezi tu kuzikopi kwa njia ya kawaida kwa sababu zimekingwa.
Kutoka kwenye Usajili (Registry)
Njia rahisi ya kuiba faili hizo ni kupata nakala kutoka kwenye usajili (registry):
Pakua faili hizo kwenye kifaa chako cha Kali na toanishe alama kwa kutumia:
Kivuli ya Nakala
Unaweza kufanya nakala ya faili zilizolindwa kwa kutumia huduma hii. Unahitaji kuwa Msimamizi.
Kutumia vssadmin
Faili ya vssadmin inapatikana tu kwenye toleo la Windows Server.
Lakini unaweza kufanya hivyo kutoka Powershell. Hii ni mfano wa jinsi ya kunakili faili ya SAM (diski ngumu inayotumiwa ni "C:" na imehifadhiwa kwenye C:\users\Public) lakini unaweza kutumia hii kunakili faili yoyote iliyolindwa:
Code kutoka kwenye kitabu: https://0xword.com/es/libros/99-hacking-windows-ataques-a-sistemas-y-redes-microsoft.html
Invoke-NinjaCopy
Mwishowe, unaweza pia kutumia PS script Invoke-NinjaCopy kuunda nakala ya SAM, SYSTEM na ntds.dit.
Active Directory Credentials - NTDS.dit
Faili la NTDS.dit linajulikana kama moyo wa Active Directory, likiwa na data muhimu kuhusu vitu vya mtumiaji, vikundi, na uanachama wao. Hapo ndipo hashi za nywila za watumiaji wa kikoa zinahifadhiwa. Faili hili ni database ya Extensible Storage Engine (ESE) na lipo katika %SystemRoom%/NTDS/ntds.dit.
Ndani ya database hii, kuna meza tatu kuu zinazosimamiwa:
Meza ya Data: Meza hii inahusika na kuhifadhi maelezo kuhusu vitu kama watumiaji na vikundi.
Meza ya Link: Inasimamia uhusiano, kama vile uanachama wa vikundi.
Meza ya SD: Maelezo ya usalama kwa kila kipengee yanahifadhiwa hapa, ikidhibiti usalama na udhibiti wa ufikiaji kwa vitu vilivyohifadhiwa.
Maelezo zaidi kuhusu hili: http://blogs.chrisse.se/2012/02/11/how-the-active-directory-data-store-really-works-inside-ntds-dit-part-1/
Windows hutumia Ntdsa.dll kuwasiliana na faili hiyo na hutumiwa na lsass.exe. Kwa hivyo, sehemu ya faili ya NTDS.dit inaweza kupatikana ndani ya kumbukumbu ya lsass
(unaweza kupata data iliyotembelewa hivi karibuni labda kwa sababu ya kuboresha utendaji kwa kutumia cache).
Kufichua hashi ndani ya NTDS.dit
Hashi imefichwa mara 3:
Fichua Funguo wa Kufichua Nywila (PEK) kwa kutumia BOOTKEY na RC4.
Fichua hashi kwa kutumia PEK na RC4.
Fichua hashi kwa kutumia DES.
PEK ina thamani ile ile katika kila kudhibiti kikoa, lakini imefichwa ndani ya faili ya NTDS.dit kwa kutumia BOOTKEY ya faili ya SYSTEM ya kudhibiti kikoa (inatofautiana kati ya kudhibiti kikoa). Ndio maana ili kupata vibali kutoka kwenye faili ya NTDS.dit unahitaji faili za NTDS.dit na SYSTEM (C:\Windows\System32\config\SYSTEM).
Kunakili NTDS.dit kwa kutumia Ntdsutil
Inapatikana tangu Windows Server 2008.
Unaweza pia kutumia mbinu ya kivuli cha nakala ya diski kuiga faili ya ntds.dit. Kumbuka kuwa pia utahitaji nakala ya faili ya SYSTEM (tena, ichote kutoka kwenye usajili au tumia mbinu ya kivuli cha nakala ya diski).
Kuchambua hash kutoka NTDS.dit
Baada ya kupata faili za NTDS.dit na SYSTEM unaweza kutumia zana kama secretsdump.py ku chambua hash:
Unaweza pia kuzitoa kiotomatiki kwa kutumia mtumiaji halali wa admin wa kikoa:
Kwa faili kubwa za NTDS.dit, inapendekezwa kuzitoa kwa kutumia gosecretsdump.
Mwishowe, unaweza pia kutumia moduli ya metasploit: post/windows/gather/credentials/domain_hashdump au mimikatz lsadump::lsa /inject
Kuchimbua vitu vya kikoa kutoka NTDS.dit hadi kwenye database ya SQLite
Vitu vya NTDS vinaweza kuchimbwa kwenye database ya SQLite na ntdsdotsqlite. Sio tu siri zinazochimbwa lakini pia vitu vyote na sifa zao kwa ajili ya uchimbaji wa habari zaidi wakati faili ya NTDS.dit ya awali imepatikana.
SYSTEM
hive ni hiari lakini inaruhusu kufichua siri (NT & LM hashes, nywila za wazi, kerberos au trust keys, NT & LM password histories). Pamoja na habari nyingine, data ifuatayo inachimbwa: akaunti za mtumiaji na mashine pamoja na hashes zao, alama za UAC, muda wa kuingia mwisho na mabadiliko ya nywila, maelezo ya akaunti, majina, UPN, SPN, vikundi na uanachama wa kurekursi, muundo wa vitengo vya shirika na uanachama, domain za kuaminika na aina za uaminifu, mwelekeo na sifa...
Lazagne
Pakua faili ya binary kutoka hapa. Unaweza kutumia faili hii ya binary kuchimbua siri kutoka programu mbalimbali.
Zana nyingine za kuchukua siri kutoka kwa SAM na LSASS
Windows credentials Editor (WCE)
Zana hii inaweza kutumika kuchukua siri kutoka kwa kumbukumbu. Pakua kutoka: http://www.ampliasecurity.com/research/windows-credentials-editor/
fgdump
Chukua siri kutoka kwa faili ya SAM
PwDump
Chukua siri za kuingia kutoka kwenye faili ya SAM
PwDump7
Pakua kutoka: http://www.tarasco.org/security/pwdump_7 na tu itekeleze na nywila zitachimbuliwa.
Ulinzi
Last updated