翻译Windows Red Team凭据访问4

翻译Windows Red Team凭据访问4
2023-3-27 09:28:39 Author: 网络安全交流圈(查看原文) 阅读量:13 收藏

证书& 访问技术

凭据访问包括窃取帐户名和密码等凭据的技术。用于获取凭据的技术包括：键盘记录或凭证转储。使用合法凭据可以给予对手访问系统，使其更难被检测到，并提供创建更多帐户以帮助实现其目标的机会。

凭据访问策略下概述的技术为我们提供了一种清晰而有条理的方法，可以从目标系统的内存中提取凭据和散列。

以下是我们将探索的关键技术和子技术列表：

正在转储SAM数据库。
从内存中提取明文密码和NTLM哈希。
转储LSA机密

情景

我们的目标是在获得初始立足点后从目标系统的内存中提取凭据和哈希。在本例中，我们将了解如何使用Mimikatz提取凭据和哈希。

注意：我们将研究如何在Empire中使用Mimikatz，然而，同样的技术也可以在meterpreter或其他侦听器中复制，因为Mimikatz语法是通用的。

Meterpreter是一个Metasploit有效载荷，它为攻击者提供了一个交互式shell，可用于运行命令、导航文件系统以及向目标系统下载或上传文件。

使用Mimikatz进行凭据访问

Mimikatz是一个Windows后期开发工具，由Benjamin Delpy（@gentilkiwi）编写。它允许从内存中提取明文凭证、从本地SAM/NTDS.dit数据库提取密码散列、高级Kerberos功能等。

SAM（安全帐户管理器）数据库是Windows系统上的一个数据库文件，用于存储用户的密码，可用于本地和远程验证用户。

Mimikatz代码库位于https://github.com/gentilkiwi/mimikatz/，还有一个扩展的wiki位于https://github.com/gentilkiwi/mimikatz/wiki。

为了从目标系统的内存中提取明文密码和散列，我们需要一个具有更高权限的帝国特工。

从内存中提取明文密码和哈希

Empire使用由JosephBialek编写的PowerSploit的Invoke-Mimikatz函数的改编版本，在PowerShell中执行Mimikatz功能，而无需接触磁盘。

PowerSploit是PowerShell模块的集合，可用于在评估的所有阶段帮助渗透测试人员。

Empire可以通过PowerSploit的Invoke-Mimikatz模块利用几乎所有的Mimikatz功能。

我们可以按照下面概述的过程在目标代理上调用Mimikatz提示符。

1、这个过程的第一步是与您的高完整性代理进行交互，这可以通过在Empire客户端中运行以下命令来完成：

 interact <AGENT-ID>/<NAME>

2、下一步是在代理shell上调用Mimikatz，这可以通过运行以下命令来完成：

 mimikatz

3、这将在目标系统上调用Mimikatz，您应该能够与Mimikatz提示符交互。

在我们了解如何使用Mimikatz从内存中转储明文凭据之前，您应该确认您具有利用各种Mimikatz功能所需的权限，这可以通过在Mimikatz提示符下运行以下命令来完成：

privilege::debug

如果您有正确的权限，您应该会收到消息“Privilege '20' OK”，如下面的屏幕截图所示。

4、现在，我们可以通过在Mimikatz提示符中运行以下命令，使用Mimikatz从内存中提取明文密码：

sekurlsa::logonpasswords

如果成功，Mimikatz将输出用户帐户和服务帐户的明文密码列表，如以下屏幕截图所示。

在此方案中，我们能够获得Administrator用户的明文密码以及NTLM哈希。

NTLM是Windows用于存储密码的默认哈希格式。
转储SAM数据库
我们还可以转储SAM（安全帐户管理器）数据库的内容与Mimikatz，这个过程也将需要一个代理与管理员权限。

安全帐户管理器（SAM）是现代Windows系统上使用的数据库文件，用于存储用户帐户密码。它可用于对本地和远程用户进行身份验证。

我们可以通过在Mimikatz提示符下运行以下命令，将SAM数据库的内容转储到目标系统上：

lsadump::sam

如果成功，Mimikatz将输出SAM数据库的内容，如以下屏幕截图所示。

如上一个屏幕快照中突出显示的，SAM数据库包含用户帐户及其各自的NTLM哈希。

LSA秘密

Mimikatz也有能力转储LSA秘密，LSA秘密是Windows上本地安全机构（LSA）使用的存储位置。您可以在此处了解有关LSA及其工作原理的更多信息：https://networkencyclopedia.com/local—security—authority—lsa/
本地安全机构的目的是管理系统的本地安全策略，因此，它通常将存储与用户帐户有关的数据，例如用户登录、用户的认证及其LSA秘密等。应注意，此技术还需要具有提升特权的代理。

我们可以通过在Mimikatz提示符中运行以下命令将LSA Secrets转储到目标系统上：

lsadump::secrets

如果成功，Mimikatz将在目标系统上输出LSA秘密，如下图所示。

到目前为止，我们已经能够为系统上的所有用户和服务帐户提取明文凭据以及NTLM散列。当我们探索横向移动技术以及如何使用我们能够提取的凭证和散列合法地对目标系统进行身份验证时，这些凭证和散列将派上用场。


团队业务范围
1. 《漏洞扫描服务》
2. 《渗透测试服务》
3. 《互联网暴露面服务》
4. 《APP安全测试服务》
5. 《代码审计服务》
6.《CTF\WEB\内网培训业务》
7. 《应急响应服务》
8. 《实战攻防演习服务》
9. 《钓鱼邮件测试服务》
团队时刻保持专业和热情，并且致力于提供卓越的服务，让每一位客户都能感受到我们的用心与专业。无论您遇到什么问题或需求，我们都会全心全意地为您解决，让您享受到最优质的服务体验。(业务需要请关注公众号微信联系)

点击下方名片关注公众号

文章来源: http://mp.weixin.qq.com/s?__biz=MzI1MDk3NDc5Mg==&mid=2247484459&idx=1&sn=f7b94eec367eb3e7614982e04a2665a9&chksm=e9fb430cde8cca1a0282a88ea053ef8e77b50a126f36722b1569560e96b4512e3c7e1668a711#rd
如有侵权请联系:admin#unsafe.sh