Làm cách nào để loại bỏ tệp Windows SAM trong khi hệ thống đang chạy?

13

Tôi đã khai thác các máy kiểm tra bằng metasploit và có thể lấy các giá trị băm từ tệp SAM; Tôi đã thử chạy các lệnh như SYSTEMđể có được chúng nhưng không thể làm như vậy. Phương pháp di động hơn để trích xuất băm từ tệp SAM là gì?

windows  security  passwords 

Câu trả lời:

11

Đây không phải là vấn đề về quyền - Windows giữ một khóa độc quyền trên tệp SAM (theo như tôi biết, là hành vi tiêu chuẩn cho các tổ chức đăng ký được tải), do đó không thể có bất kỳ quy trình nào khác để mở tệp.

Tuy nhiên, các phiên bản Windows gần đây có một tính năng gọi là "Volume Shadow Copy", được thiết kế để tạo ảnh chụp nhanh chỉ đọc toàn bộ ổ đĩa, chủ yếu để sao lưu. Các khóa tệp ở đó để đảm bảo tính nhất quán của dữ liệu, vì vậy chúng không cần thiết nếu một ảnh chụp nhanh của toàn bộ hệ thống tệp được thực hiện. Điều này có nghĩa là có thể tạo ảnh chụp nhanh C:, gắn kết, sao chép SAMtệp của bạn , sau đó loại bỏ ảnh chụp nhanh.

Cách chính xác để thực hiện việc này tùy thuộc vào phiên bản Windows của bạn: XP cần một chương trình bên ngoài, Vista và 7 có vssadmin create shadowvà Server 2008 có diskshadowlệnh. Trang Bẻ khóa an toàn băm từ Bộ kiểm soát miền sống có nhiều chi tiết hơn về quy trình này, cũng như các hướng dẫn và tập lệnh.

Ngoài ra, có những công cụ như samdumplạm dụng quy trình LSASS từ nhiều hướng khác nhau để trích xuất tất cả băm mật khẩu trực tiếp từ bộ nhớ. Chúng có thể nhanh hơn nhiều so với ảnh chụp nhanh VSS, nhưng có nguy cơ bị sập hệ thống cao hơn.

Cuối cùng, Google đưa ra đoạn trích này, tính hữu dụng mà tôi không thể đánh giá được khi chưa bao giờ sử dụng metasploit:

meterpreter> use priv
meterpreter> hashdump
người dùng1686
nguồn
11

Có một giải pháp đơn giản hơn mà không cần quản lý khối lượng bóng hoặc sử dụng các công cụ bên ngoài. Bạn chỉ có thể sao chép SAM và HỆ THỐNG bằng reglệnh do microsoft cung cấp (đã thử nghiệm trên Windows 7 và Windows Server 2008):

reg save hklm\sam c:\sam
reg save hklm\system c:\system

(tham số cuối cùng là vị trí bạn muốn sao chép tệp)

Sau đó, bạn có thể trích xuất các giá trị băm trên hệ thống Linux với gói samdump2 (có sẵn trên Debian apt-get install samdump2:):

$ samdump2 system sam
Administrator:500:aad3b435b51404eeaad3b435b51404ee:c0e2874fb130015aec4070975e2c6071:::
*disabled* Guest:501:aad3b435b51404eeaad3b435b51404ee:d0c0896b73e0d1316aeccf93159d7ec0:::
vmarquet
nguồn
Những hương vị cửa sổ nào làm việc này (hoặc đúng hơn là không)? đã cố gắng nói từ trang web MSDN nhưng nó không liệt kê nó (ít nhất là tôi không thấy nó)
n00b
Điều này chỉ bỏ các tài khoản địa phương. để có được tín dụng tên miền được lưu trong bộ nhớ cache, bạn cũng cần nhận được BẢO MẬT từ sổ đăng ký. sau đó bạn có thể chạy: python /usr/share/doc/python-impacket/examples/secretsdump.py -sam SAM -securance AN NINH-HỆ THỐNG HỆ THỐNG ĐỊA PHƯƠNG để đổ tất cả các khoản tín dụng được lưu trữ.
n00b
5

Chỉnh sửa: Tôi quyết định chỉnh sửa sau nhiều năm từ bỏ.

Tệp Windows SAM bị khóa khi sao chép / đọc không giống như /etc/shadow trên các hệ thống Linux. Thay vào đó, để có được xung quanh công cụ này sẽ trích xuất băm từ bộ nhớ.

Có nhiều cách để khắc phục điều này mà tôi sẽ đề cập dưới đây:

Mimikatz

Chạy mimikatz với sekurlsa::logonpasswords.

fgdump

Chức năng tương tự như mimikatz. Chạy nó và băm sẽ được đổ vào các tệp cục bộ.

băm

Được xây dựng thành đồng hồ đo; trích xuất băm từ bộ nhớ.

Đăng ký

Cũng có thể trích xuất từ ​​sổ đăng ký (nếu bạn có SYSTEMquyền truy cập):

  1. reg save hklm\sam %tmp%/sam.regreg save hklm\system %tmp%/system.reg
  2. Sao chép các tệp và sau đó chạy: samdump2 system sam

Sao lưu

Tệp SAM cũng có thể được lưu trữ trong một vị trí sao lưu: C:\Windows\Repair\SAM

Tôi cũng nên đề cập rằng các công cụ sẽ ở mức tối thiểu yêu cầu Administratorđặc quyền; và hầu hết sẽ không nhận được tất cả băm trừ khi SYSTEMđạt được quyền truy cập.

Có thể tôi đã hiểu lầm, nhưng theo cách nào thì các công cụ như thế nào Mimikatzhoặc fgdumpcó khả năng di động hơn C & A hoặc khác với nó? Theo như tôi có thể nói với họ là tất cả các công cụ của bên thứ ba không được đóng gói với Windows và cần được tải riêng. Ngoài ra, vì sự tò mò của riêng tôi, trường hợp sử dụng cho các công cụ băm nhỏ khi các công cụ như Ophcrack tồn tại là gì?
Hashim
Mimikatz có thể được sử dụng để bẻ khóa băm cục bộ trên hệ thống tắt nguồn thông qua đĩa khởi động được không, hay nó chỉ được thiết kế để chạy trên hệ thống bật nguồn?
Hashim
1

Phương pháp Obscuresec khắc phục sự giả mạo của bạn cục bộ trên bất kỳ máy tính nào được kích hoạt Windows powershell 1.0. Rời khỏi một số mục tiêu tôi biết, nhưng hey, công việc tốt! (cảm ơn bạn Chris).

Lưu ý: Đặc quyền quản trị viên luôn cần thiết để thực hiện thao tác như vậy

Bạn đã có thể sử dụng

http://gallery.technet.microsoft.com/scriptcenter/Get-PasswordFile-4bee091d

hoặc từ một nguồn khác (gần đây tôi có thể thêm)

https://github.com/obscuresec/PowerShell/blob/master/Get-PasswordFile

Khuyên bạn nên đọc:

Để lấy các hệ thống từ xa, tổ ong SAM và HỆ THỐNG sử dụng kết hợp được đề cập ở trên cùng với

Marco Vaz
nguồn
1

Muốn chỉ định phương pháp bổ sung không được mô tả ở đây, vì có nhiều thời gian trong Red Teaming / Penetration tests, những cách rõ ràng nhất không thể truy cập được (bị từ chối, được giám sát bởi Blue Team, v.v.) và thật tuyệt khi biết tất cả các kỹ thuật có sẵn.

Một trong những cách giải quyết của việc truy cập các tệp mà hệ thống đã xử lý (không thể sao chép / xóa như bình thường), được vssshadow.exenói ở trên.

Thứ hai - esentutil.exe.

Lệnh chính xác để lấy một bản sao của tệp có xử lý:

esentutl.exe /y /vss c:\windows\ntds\ntds.dit /d c:\folder\ntds.dit

Điều này áp dụng cho SAM, HỆ THỐNG, BẢO MẬT, NTDS.DIT, v.v.

PS Có esentutl.pytrong gói của vợt: https://github.com/SecureAuthCorp/impacket/blob/master/examples/esentutl.py

Hình ảnh PSS esentutl PoC

dtrizna
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.