DPAPI - Extracting Passwords
RootedCON ni tukio muhimu zaidi la usalama wa mtandao nchini Hispania na moja ya muhimu zaidi barani Ulaya. Kwa ** lengo la kukuza maarifa ya kiufundi**, kongamano hili ni mahali pa kukutana kwa wataalamu wa teknolojia na usalama wa mtandao katika kila nidhamu.
Ni Nini DPAPI
Kiolesura cha Ulinzi wa Data (DPAPI) kinatumika hasa ndani ya mfumo wa uendeshaji wa Windows kwa encryption ya symmetric ya private keys asymmetric, ikichangia siri za mtumiaji au mfumo kama chanzo kikuu cha entropy. Mbinu hii inasaidia encryption kwa watengenezaji kwa kuwaruhusu kuchimba data kwa kutumia ufunguo uliochimbwa kutoka kwa siri za kuingia za mtumiaji au, kwa encryption ya mfumo, siri za uthibitishaji wa kikoa cha mfumo, hivyo kuepuka haja ya watengenezaji kusimamia ulinzi wa ufunguo wa encryption wenyewe.
Data Iliyolindwa na DPAPI
Miongoni mwa data ya kibinafsi iliyolindwa na DPAPI ni pamoja na:
Nywila za Internet Explorer na Google Chrome na data ya kujaza moja kwa moja
Nywila za barua pepe na akaunti za FTP za ndani kwa programu kama Outlook na Windows Mail
Nywila za folda zilizoshirikiwa, rasilimali, mitandao ya wireless, na Vault ya Windows, ikiwa ni pamoja na ufunguo wa encryption
Nywila za uhusiano wa desktop za mbali, .NET Passport, na private keys kwa madhumuni mbalimbali ya encryption na uthibitishaji
Nywila za mtandao zinazosimamiwa na Meneja wa uthibitishaji na data ya kibinafsi katika programu zinazotumia CryptProtectData, kama vile Skype, MSN messenger, na zinginezo
Orodha ya Vault
Faili za Kibali
Faili za kibali zilizolindwa zinaweza kupatikana katika:
Pata habari za siri kutumia mimikatz dpapi::cred
, kwenye jibu unaweza kupata habari muhimu kama data iliyofichwa na guidMasterKey.
Unaweza kutumia moduli ya mimikatz dpapi::cred
na /masterkey
sahihi kufichua:
Funguo za Mwalimu
Funguo za DPAPI zinazotumika kwa kuchakata funguo za RSA za mtumiaji hufungwa chini ya saraka %APPDATA%\Microsoft\Protect\{SID}
, ambapo {SID} ni Kitambulisho cha Usalama wa mtumiaji huyo. Funguo za DPAPI zimehifadhiwa kwenye faili ile ile na funguo ya mwalimu inayolinda funguo za kibinafsi za watumiaji. Kawaida ni data ya kubahatisha ya baiti 64. (Tambua kuwa saraka hii imehifadhiwa hivyo huwezi kuorodhesha kutumia dir
kutoka kwa cmd, lakini unaweza kuorodhesha kutumia PS).
Hii ndio jinsi seti ya funguo za Mwalimu wa mtumiaji itakavyoonekana:
Kawaida kila funguo la mwalimu ni funguo iliyofichwa kwa usawa ambayo inaweza kufichua maudhui mengine. Kwa hivyo, kuchimba Funguo la Mwalimu lililofichwa ni jambo la kuvutia ili kufichua baadaye maudhui mengine yaliyofichwa nayo.
Chimba funguo la mwalimu & fichua
Angalia chapisho https://www.ired.team/offensive-security/credential-access-and-credential-dumping/reading-dpapi-encrypted-secrets-with-mimikatz-and-c++ kwa mfano wa jinsi ya kuchimba funguo la mwalimu na kulifichua.
SharpDPAPI
SharpDPAPI ni C# port ya baadhi ya utendaji wa DPAPI kutoka kwa @gentilkiwi's Mimikatz mradi.
HEKATOMB
HEKATOMB ni chombo kinachotumia kiotomatiki kuchimba watumiaji wote na kompyuta kutoka kwenye saraka ya LDAP na kuchimba funguo za chelezo za kudhibiti uwanja kupitia RPC. Hatua itatatua anwani zote za IP za kompyuta na kutekeleza smbclient kwenye kompyuta zote kupata vijidudu vya DPAPI vya watumiaji wote na kufichua kila kitu kwa funguo la chelezo la uwanja.
python3 hekatomb.py -hashes :ed0052e5a66b1c8e942cc9481a50d56 DOMAIN.local/administrator@10.0.0.1 -debug -dnstcp
Ukiwa na orodha ya kompyuta zilizochimbwa kutoka LDAP unaweza kupata kila mtandao wa sehemu hata kama hukujua!
"Kwa sababu haki za Msimamizi wa Uwanja hazitoshi. Wachimbue wote."
DonPAPI
DonPAPI inaweza kudondosha siri zilizolindwa na DPAPI kiotomatiki.
Marejeo
RootedCON ni tukio muhimu zaidi la usalama wa mtandao nchini Hispania na moja ya muhimu zaidi barani Ulaya. Kwa ** lengo la kukuza maarifa ya kiufundi**, kongamano hili ni mahali pa mkutano wa joto kwa wataalamu wa teknolojia na usalama wa mtandao katika kila nidhamu.
Last updated