mimikatz kerberous 如何返回純文字憑據?
我有以下環境: -
DC:- Windows server 2008
受害者:Windows 7
攻擊者:Windows 10
現在我以某種方式破壞了 Windows 7,然後我在 Meterpreter 中載入了 mimikatz。然後,當我鍵入 Kerberos 時,它會以純文字形式返回 Kerberos 憑據。
我很驚訝它如何以純文字形式返回憑據?.而且我也在尋找一種加密它們的方法。
這是預期的結果。這有幾個來源:
http://woshub.com/how-to-get-plain-text-passwords-of-windows-users/
例如,用於支持 SSO(單點登錄)的 HTTP Digest Authentication 需要使用者密碼及其雜湊值。加密的使用者密碼(密碼,而不是雜湊)儲存在作業系統記憶體中,更具體地說,儲存在 LSASS.EXE 程序記憶體中。問題是密碼加密是使用標準 Win32 函式 LsaProtectMemory 和 LsaUnprotectMemory 實現的,它們用於加密/解密某個記憶體區域。法國開發者mimikatz 的一個工具允許您從記憶體中獲取加密數據,使用LsaUnprotectMemory 函式對其進行解密,並顯示系統中授權的所有使用者帳戶及其密碼(已解密,以純文字形式!)。
由於 Windows 對記憶體中的大多數憑據 (LSASS) 進行加密,因此它們應該受到保護,但它是一種可逆加密(儘管憑據是明文形式的)。加密與 LsaProtectMemory 一起使用,並與 LsaUnprotectMemory 一起解密。
NT5 加密類型:RC4 & DESx
NT6 加密類型:3DES & AES
模仿能力:
從 LSASS(Windows 本地安全帳戶數據庫)轉儲憑據
$$ sekurlsa module $$MSV1.0:雜湊和鍵(dpapi) Kerberos 密碼、電子密鑰、票證和 PIN
還有一些背景資料:
如果使用者在機器上執行了鍵盤互動式登錄(無論是本地登錄到他/她的工作站還是使用 RDP 到遠端工作站),LSASS 會儲存明文密碼是眾所周知的安全風險。
您可以使用組策略或系統資料庫 (
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\WDigest\UseLogonCredential = 0
) 強制禁用此功能,但它可能會破壞某些兼容性。如果您的伺服器 (2008) 和客戶端 (Win 7) 已完全修補,還有使用
protected users
AD 組的方法,它會為包含的使用者禁用此“功能”。