红队备忘录 - Windows凭证获取

2019年11月21日14:13:03 1 43,832

当攻击者设法获得对系统的访问权限后,他的首要任务就是搜索整个系统,以发现本地管理员帐户的凭据,这将使他能够完全获得系统的控制权。当然,这是Windows系统中提升特权的最简单方法,本文的目的是研究这些凭据可能存在的一些常见位置,以帮助完成此过程。

Windows 文件
管理员通常使用Windows部署服务来创建Windows操作系统的映像并通过网络将该映像部署到各种系统中。这称为无人参与安装。无人参与安装的问题在于,本地管理员密码以明文形式或以Base-64编码形式存储在各个位置。这些位置是:

C:/unattend.xml C:/Windows/Panther/Unattend.xml 
C:/Windows/Panther/Unattend/Unattend.xml 
C:/Windows/system32/sysprep.inf 
C:/Windows/system32/sysprep/sysprep.xml

有一个Metasploit模块可以通过无人参与的安装来发现凭证:

post/windows/gather/enum_unattend

如果系统运行的是IIS服务器,则应检查web.config文件,因为它可能包含明文形式的管理员密码。该文件的位置通常在以下目录中:

C:/Windows/Microsoft.NET/Framework64/v4.0.30319/Config/web.config 
C:/inetpub/wwwroot/web.config

带有管理员凭据的web.config文件的示例如下所示:

<?xml version="1.0" encoding="UTF-8"?> <configuration> <system.web> <authentication mode="Windows"> <forms> <credentials passwordFormat="Clear"> <user name="Admin" password="Admin" /> </credentials> </forms> </authentication> </system.web> </configuration>

还可以通过组策略检索本地管理员密码。包含密码的Groups.xml文件在本地缓存,或者可以从域控制器获取,因为每个域用户都对该文件具有读取权限。密码采用加密形式,但是Microsoft已发布了密钥,可以对其进行解密。

C:/ProgramData/Microsoft/Group Policy/History/????/Machine/Preferences/Groups/Groups.xml //????/SYSVOL//Policies/????/MACHINE/Preferences/Groups/Groups.xml

除Group.xml文件外,cpassword属性还可以在其他策略首选项文件中找到,例如:

Services/Services.xml ScheduledTasks/ScheduledTasks.xml Printers/Printers.xml Drives/Drives.xml DataSources/DataSources.xml

Commands
除了手动浏览系统中的所有文件,还可以运行以下命令来发现包含单词password的文件:

findstr /si password *.txt findstr /si password *.xml findstr /si password *.ini

另外,从C盘执行以下命令将返回可能存储提升凭据的文件的位置:

C:/> dir /b /s unattend.xml C:/> dir /b /s web.config C:/> dir /b /s sysprep.inf C:/> dir /b /s sysprep.xml C:/> dir /b /s *pass* C:/> dir /b /s vnc.ini

第三方软件
McAfee
运行McAfee的大多数Windows系统密码都以加密方式存储在SiteList.xml文件中:

%AllUsersProfile%Application Data/McAfee/Common Framework/SiteList.xml

VNC
有时候,管理员比较喜欢使用VNC软件而不是Windows Terminal Services来进行系统的远程管理。密码已加密,但是有各种工具可以对其进行解密。

UltraVNC

passwd=5FAEBBD0EF0A2413

RealVNC
在RealVNC中,哈希密码位于以下注册表项中:

reg query HKEY_LOCAL_MACHINE/SOFTWARE/RealVNC/WinVNC4 /v password

Putty明文代理凭据可在以下目录中找到:

reg query" HKCU/Software/SimonTatham/PuTTY/Sessions"

Registry
可以查询注册表,因为在某些情况下可能包含凭据

reg query HKLM /f password /t REG_SZ /s reg query HKCU /f password /t REG_SZ /s

Windows自动登录:

reg query "HKLM/SOFTWARE/Microsoft/Windows NT/Currentversion/Winlogon"

SNMP参数:

reg query "HKLM/SYSTEM/Current/ControlSet/Services/SNMP"

PowerSploit
PowerSploit工具可以用来发现存储的凭证。它支持以下模块,这些模块将检查各种文件和注册表中的加密凭据或纯文本凭据:

Get-UnattendedInstallFile Get-Webconfig Get-ApplicationHost Get-SiteListPassword Get-CachedGPPPassword Get-RegistryAutoLogon

http://www.oniont.cn/index.php/archives/292.html

高性能云服务器2折起

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen:

目前评论:1   其中:访客  1   博主  0

    • avatar Alvin丶 1

      学习了,大神牛逼