Windows-Server-2008

mimikatz kerberous 如何返回純文字憑據?

  • December 14, 2018

我有以下環境: -

DC:- Windows server 2008

受害者:Windows 7

攻擊者:Windows 10

現在我以某種方式破壞了 Windows 7,然後我在 Meterpreter 中載入了 mimikatz。然後,當我鍵入 Kerberos 時,它會以純文字形式返回 Kerberos 憑據。

我很驚訝它如何以純文字形式返回憑據?.而且我也在尋找一種加密它們的方法。

這是預期的結果。這有幾個來源:

http://woshub.com/how-to-get-plain-text-passwords-of-windows-users/

例如,用於支持 SSO(單點登錄)的 HTTP Digest Authentication 需要使用者密碼及其雜湊值。加密的使用者密碼(密碼,而不是雜湊)儲存在作業系統記憶體中,更具體地說,儲存在 LSASS.EXE 程序記憶體中。問題是密碼加密是使用標準 Win32 函式 LsaProtectMemory 和 LsaUnprotectMemory 實現的,它們用於加密/解密某個記憶體區域。法國開發者mimikatz 的一個工具允許您從記憶體中獲取加密數據,使用LsaUnprotectMemory 函式對其進行解密,並顯示系統中授權的所有使用者帳戶及其密碼(已解密,以純文字形式!)。

https://adsecurity.org/?p=556

由於 Windows 對記憶體中的大多數憑據 (LSASS) 進行加密,因此它們應該受到保護,但它是一種可逆加密(儘管憑據是明文形式的)。加密與 LsaProtectMemory 一起使用,並與 LsaUnprotectMemory 一起解密。

NT5 加密類型:RC4 & DESx

NT6 加密類型:3DES & AES

模仿能力:

從 LSASS(Windows 本地安全帳戶數據庫)轉儲憑據

$$ sekurlsa module $$MSV1.0:雜湊和鍵(dpapi) Kerberos 密碼、電子密鑰、票證和 PIN

還有一些背景資料:

https://security.stackexchange.com/questions/38695/preventing-lsass-from-storing-clear-text-passwords-in-kerberos-environment

如果使用者在機器上執行了鍵盤互動式登錄(無論是本地登錄到他/她的工作站還是使用 RDP 到遠端工作站),LSASS 會儲存明文密碼是眾所周知的安全風險。

您可以使用組策略或系統資料庫 ( HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\WDigest\UseLogonCredential = 0) 強制禁用此功能,但它可能會破壞某些兼容性。

如果您的伺服器 (2008) 和客戶端 (Win 7) 已完全修補,還有使用protected usersAD 組的方法,它會為包含的使用者禁用此“功能”。

引用自:https://serverfault.com/questions/944315