標籤:

滲透技巧——Windows中Credential Manager的信息獲取

0x00 前言

在後滲透階段,獲得許可權後需要搜集目標系統的信息。信息越全面,越有助於進一步的滲透。

對於Windows系統,Credential Manager中包含十分重要的信息。

這其中具體包含什麼類型的信息,獲取的方法有哪些呢?本文將要一一介紹

0x01 簡介

本文將要介紹以下內容:

·Credential Manager中不同類型的憑據

·不同憑據的明文口令獲取方法

·實際測試

0x02 Credential Manager簡介

Credential Manager,中文翻譯為憑據管理器,用來存儲憑據(例如網站登錄和主機遠程連接的用戶名密碼)

如果用戶選擇存儲憑據,那麼當用戶再次使用對應的操作,系統會自動填入憑據,實現自動登錄

憑據保存在特定的位置,被稱作為保管庫(vault)(位於%localappdata%/MicrosoftVault)

憑據類別:

包含兩種,分別為Domain Credentials和Generic Credentials

Domain Credentials:

只有本地Local Security Authority (LSA)能夠對其讀寫

也就是說,普通許可權無法讀取Domain Credentials類型的明文口令

Generic Credentials:

能夠被用戶進程讀寫

也就是說,普通許可權可以讀取Generic Credentials類型的明文口令

參考資料:

msdn.microsoft.com/en-u

0x03 實際測試

測試1:

測試系統: Win7

訪問文件共享192.168.62.130

如下圖

填入正確的用戶名密碼,選中記住我的憑據

下次再訪問時,就不需要再次輸入用戶名密碼

通過控制面板能夠找到添加的憑據,位置為控制面板-用戶帳戶和家庭安全-憑據管理器

如下圖

密碼被加密,無法直接查看

註:

文件共享的憑據類型默認為Domain Credentials

測試2:

測試系統: Win8

使用IE瀏覽器訪問網站 github.com/,登錄成功後選擇記錄用戶名密碼

通過控制面板訪問憑據管理器,如下圖

註:

Win8開始,憑據管理器的頁面進行了改版(同Win7不同),添加了Web憑據

顯示憑據密碼需要填入當前用戶名口令,如下圖

註:

IE瀏覽器的憑據類型默認為Generic Credentials

測試3:

測試系統: Win7

通過控制面板添加普通憑據,Internet地址或網路地址為Generi1,用戶名為test1,密碼為pass1,如下圖

通過控制面板無法獲得該普通憑據的明文口令

0x04 導出Credentials中的明文口令

1、獲得系統憑據的基本信息

工具: vaultcmd(windows系統自帶)

常用命令:

列出保管庫(vault)列表:

vaultcmd /listn

註:

不同類型的憑據保存在不同的保管庫(vault)下

列出保管庫(vault)概要,憑據名稱和GUID:

vaultcmd /listscheman

註:

GUID對應路徑%localappdata%/MicrosoftVault{GUID}下的文件,如下圖

列出名為」Web Credentials」的保管庫(vault)下的所有憑據信息:

vaultcmd /listcreds:"Web Credentials"n

註:

如果是中文操作系統,可將名稱替換為對應的GUID,命令如下

列出GUID為{4BF4C442-9B8A-41A0-B380-DD4A704DDB28}的保管庫(vault)下的所有憑據:

vaultcmd /listcreds:{4BF4C442-9B8A-41A0-B380-DD4A704DDB28}n

列出GUID為{4BF4C442-9B8A-41A0-B380-DD4A704DDB28}的保管庫(vault)的屬性,包括文件位置、包含的憑據數量、保護方法:

vaultcmd /listproperties:{4BF4C442-9B8A-41A0-B380-DD4A704DDB28}n

2、獲得Domain Credentials的明文口令

工具: mimikatz

參數:

sekurlsa::logonpasswordsn

對應前面的測試1,在credman位置顯示,如下圖

註:

mimikatz不僅能導出Domain Credentials的明文口令,也能導出普通憑據(Generic Credentials)類型的明文口令,但無法導出IE瀏覽器保存的Generic Credentials類型的明文口令

3、獲得Generic Credentials的明文口令

(1) IE瀏覽器保存的Generic Credentials

工具: Get-VaultCredential.ps1

下載地址:

github.com/PowerShellMa

對應前面的測試2,Win8系統成功導出明文口令,如下圖

註:

該腳本也能獲得名為Windows Credential的保管庫(vault)下面的憑據信息,但無法獲得憑據的明文口令

補充:

Win7系統下的憑據管理器同Win8有區別,多了一個選項,指定程序使用此密碼時提示我提供許可權,如下圖

當選中時,使用powershell腳本讀取明文口令時會彈框提示(無法繞過),如下圖

(2) 其他類型的普通票據

工具: Invoke-WCMDump.ps1

下載地址:

github.com/peewpw/Invok

對應測試3,普通用戶許可權即可,能夠導出普通票據的明文口令,如下圖

註:

該腳本還能導出Domain Credentials的信息(不包括明文口令)

0x05 小結

本文介紹了不同類型的票據(Credential)明文口令的獲取方法,測試多個工具,幫助大家更好理解這部分內容

本文為 3gstudent 原創稿件, 授權嘶吼獨家發布,如若轉載,請註明原文地址: 4hou.com/technology/939 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀:

絕密追蹤:利用像素圖片收集攻擊目標信息
Poking holes in information hiding · Week 10
獨立觀點:小米科技物流訂單數據」泄露」究竟誰之過
這個小伙因WannaCry勒索軟體一夜成名,獲得一年免費披薩
曾入侵CIA和FBI的黑客組織「Crackas With Attitude」成員獲刑5年

TAG:信息安全 |