滲透技巧——Windows中Credential Manager的信息獲取
0x00 前言
在後滲透階段,獲得許可權後需要搜集目標系統的信息。信息越全面,越有助於進一步的滲透。
對於Windows系統,Credential Manager中包含十分重要的信息。
這其中具體包含什麼類型的信息,獲取的方法有哪些呢?本文將要一一介紹
0x01 簡介
本文將要介紹以下內容:
·Credential Manager中不同類型的憑據
·不同憑據的明文口令獲取方法
·實際測試
0x02 Credential Manager簡介
Credential Manager,中文翻譯為憑據管理器,用來存儲憑據(例如網站登錄和主機遠程連接的用戶名密碼)
如果用戶選擇存儲憑據,那麼當用戶再次使用對應的操作,系統會自動填入憑據,實現自動登錄
憑據保存在特定的位置,被稱作為保管庫(vault)(位於%localappdata%/MicrosoftVault)
憑據類別:
包含兩種,分別為Domain Credentials和Generic Credentials
Domain Credentials:
只有本地Local Security Authority (LSA)能夠對其讀寫
也就是說,普通許可權無法讀取Domain Credentials類型的明文口令
Generic Credentials:
能夠被用戶進程讀寫
也就是說,普通許可權可以讀取Generic Credentials類型的明文口令
參考資料:
https://msdn.microsoft.com/en-us/library/aa380517.aspx
0x03 實際測試
測試1:
測試系統: Win7
訪問文件共享192.168.62.130
如下圖
填入正確的用戶名密碼,選中記住我的憑據
下次再訪問時,就不需要再次輸入用戶名密碼
通過控制面板能夠找到添加的憑據,位置為控制面板-用戶帳戶和家庭安全-憑據管理器
如下圖
密碼被加密,無法直接查看
註:
文件共享的憑據類型默認為Domain Credentials
測試2:
測試系統: Win8
使用IE瀏覽器訪問網站 https://github.com/,登錄成功後選擇記錄用戶名密碼
通過控制面板訪問憑據管理器,如下圖
註:
Win8開始,憑據管理器的頁面進行了改版(同Win7不同),添加了Web憑據
顯示憑據密碼需要填入當前用戶名口令,如下圖
註:
IE瀏覽器的憑據類型默認為Generic Credentials
測試3:
測試系統: Win7
通過控制面板添加普通憑據,Internet地址或網路地址為Generi1,用戶名為test1,密碼為pass1,如下圖
通過控制面板無法獲得該普通憑據的明文口令
0x04 導出Credentials中的明文口令
1、獲得系統憑據的基本信息
工具: vaultcmd(windows系統自帶)
常用命令:
列出保管庫(vault)列表:
vaultcmd /listn
註:
不同類型的憑據保存在不同的保管庫(vault)下
列出保管庫(vault)概要,憑據名稱和GUID:
vaultcmd /listscheman
註:
GUID對應路徑%localappdata%/MicrosoftVault{GUID}下的文件,如下圖
列出名為」Web Credentials」的保管庫(vault)下的所有憑據信息:
vaultcmd /listcreds:"Web Credentials"n
註:
如果是中文操作系統,可將名稱替換為對應的GUID,命令如下
列出GUID為{4BF4C442-9B8A-41A0-B380-DD4A704DDB28}的保管庫(vault)下的所有憑據:
vaultcmd /listcreds:{4BF4C442-9B8A-41A0-B380-DD4A704DDB28}n
列出GUID為{4BF4C442-9B8A-41A0-B380-DD4A704DDB28}的保管庫(vault)的屬性,包括文件位置、包含的憑據數量、保護方法:
vaultcmd /listproperties:{4BF4C442-9B8A-41A0-B380-DD4A704DDB28}n
2、獲得Domain Credentials的明文口令
工具: mimikatz
參數:
sekurlsa::logonpasswordsn
對應前面的測試1,在credman位置顯示,如下圖
註:
mimikatz不僅能導出Domain Credentials的明文口令,也能導出普通憑據(Generic Credentials)類型的明文口令,但無法導出IE瀏覽器保存的Generic Credentials類型的明文口令
3、獲得Generic Credentials的明文口令
(1) IE瀏覽器保存的Generic Credentials
工具: Get-VaultCredential.ps1
下載地址:
https://github.com/PowerShellMafia/PowerSploit/blob/master/Exfiltration/Get-VaultCredential.ps1
對應前面的測試2,Win8系統成功導出明文口令,如下圖
註:
該腳本也能獲得名為Windows Credential的保管庫(vault)下面的憑據信息,但無法獲得憑據的明文口令
補充:
Win7系統下的憑據管理器同Win8有區別,多了一個選項,指定程序使用此密碼時提示我提供許可權,如下圖
當選中時,使用powershell腳本讀取明文口令時會彈框提示(無法繞過),如下圖
(2) 其他類型的普通票據
工具: Invoke-WCMDump.ps1
下載地址:
https://github.com/peewpw/Invoke-WCMDump/blob/master/Invoke-WCMDump.ps1
對應測試3,普通用戶許可權即可,能夠導出普通票據的明文口令,如下圖
註:
該腳本還能導出Domain Credentials的信息(不包括明文口令)
0x05 小結
本文介紹了不同類型的票據(Credential)明文口令的獲取方法,測試多個工具,幫助大家更好理解這部分內容
本文為 3gstudent 原創稿件, 授權嘶吼獨家發布,如若轉載,請註明原文地址: http://www.4hou.com/technology/9397.html 更多內容請關注「嘶吼專業版」——Pro4hou
推薦閱讀:
※絕密追蹤:利用像素圖片收集攻擊目標信息
※Poking holes in information hiding · Week 10
※獨立觀點:小米科技物流訂單數據」泄露」究竟誰之過
※這個小伙因WannaCry勒索軟體一夜成名,獲得一年免費披薩
※曾入侵CIA和FBI的黑客組織「Crackas With Attitude」成員獲刑5年
TAG:信息安全 |