零、緒論:mimikatz簡介
mimikatz是一款出色的內網滲透工具,可以抓取windows主機的明文密碼、NTLMhash值或者kerberos對應的緩存憑據。mimikatz的使用在獲取權限后可以上傳到目標主機上,或者在msf上直接加載。
Mimikatz Commands
=================
Command Description
------- -----------
kerberos Attempt to retrieve kerberos creds
livessp Attempt to retrieve livessp creds
mimikatz_command Run a custom command
msv Attempt to retrieve msv creds (hashes)
ssp Attempt to retrieve ssp creds
tspkg Attempt to retrieve tspkg creds
wdigest Attempt to retrieve wdigest creds
一、防御措施一:關閉程序調試權限
debug:privilege玩過mimkatz肯定對這條命令記憶猶新,獲取程序調試的權限,一般這個權限在administrator的權限種,但實際上如果不是程序員,這個權限沒有必要,可以關閉,但域中的機器,此方法無效,因為OU組策略的優先級最高,而這個權限在ou組權限中沒有定義,無法配置。
附錄:windows 策略優先級從高到低
OU Policy->Domain Policy->Site Policy->Local Policy
二、防御措施二:WDigest協議禁用
在winserver2008之前,該協議配置項默認啟用,會在lsass.exe進程中保存明文密碼用於http認證,需要打補丁KB2871997來配置禁用,winserver2008和以后版本默認禁用。緩存未知如下注冊表鍵值,0為不緩存,1為緩存
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\WDigest
三、防御措施三:不緩存域憑證
簡單DDC的背景簡介
Domain Cached Credentials 簡稱 DDC,也叫 mscache。有兩個版本,XP/2003 年代的叫第一代,Vasta/2008 之后的是第二代。緩存位置如下:
HKEY_LOCAL_MACHINE\SECURITY\Cache
不緩存憑證的話,當然也就抓不到平局了。
配置項
四、其他措施或注意事項
受保護用戶組:
受保護的用戶組會強迫本地管理員賬號強行走kerberos認證,這是在winserver2012之后新加入的,winserver2008以及之前版本需要打補丁KN2871997。
受限管理員模式
在win8.1/winserver2012r2引入,之前需要打補丁KN2871997和KB2973351。該模式存在問題,可以直接利用當前緩存登錄,攻擊手法RDP-PTH
mimikatz# sekurlsa::pth /user:bobac /domain:172.16.204.139 /ntlm:hash-value "/run:mstsc.exe /restrictedadmin"