当攻击者设法获得对系统的访问权限后,他的首要任务就是搜索整个系统,以发现本地管理员帐户的凭据,这将使他能够完全获得系统的控制权。当然,这是Windows系统中提升特权的最简单方法,本文的目的是研究这些凭据可能存在的一些常见位置,以帮助完成此过程。
Windows 文件
管理员通常使用Windows部署服务来创建Windows操作系统的映像并通过网络将该映像部署到各种系统中。这称为无人参与安装。无人参与安装的问题在于,本地管理员密码以明文形式或以Base-64编码形式存储在各个位置。这些位置是:
C:/unattend.xml C:/Windows/Panther/Unattend.xml C:/Windows/Panther/Unattend/Unattend.xml C:/Windows/system32/sysprep.inf C:/Windows/system32/sysprep/sysprep.xml
有一个Metasploit模块可以通过无人参与的安装来发现凭证:
post/windows/gather/enum_unattend
如果系统运行的是IIS服务器,则应检查web.config文件,因为它可能包含明文形式的管理员密码。该文件的位置通常在以下目录中:
C:/Windows/Microsoft.NET/Framework64/v4.0.30319/Config/web.config C:/inetpub/wwwroot/web.config
带有管理员凭据的web.config文件的示例如下所示:
<?xml version="1.0" encoding="UTF-8"?> <configuration> <system.web> <authentication mode="Windows"> <forms> <credentials passwordFormat="Clear"> <user name="Admin" password="Admin" /> </credentials> </forms> </authentication> </system.web> </configuration>
还可以通过组策略检索本地管理员密码。包含密码的Groups.xml文件在本地缓存,或者可以从域控制器获取,因为每个域用户都对该文件具有读取权限。密码采用加密形式,但是Microsoft已发布了密钥,可以对其进行解密。
C:/ProgramData/Microsoft/Group Policy/History/????/Machine/Preferences/Groups/Groups.xml //????/SYSVOL//Policies/????/MACHINE/Preferences/Groups/Groups.xml
除Group.xml文件外,cpassword属性还可以在其他策略首选项文件中找到,例如:
Services/Services.xml ScheduledTasks/ScheduledTasks.xml Printers/Printers.xml Drives/Drives.xml DataSources/DataSources.xml
Commands
除了手动浏览系统中的所有文件,还可以运行以下命令来发现包含单词password的文件:
findstr /si password *.txt findstr /si password *.xml findstr /si password *.ini
另外,从C盘执行以下命令将返回可能存储提升凭据的文件的位置:
C:/> dir /b /s unattend.xml C:/> dir /b /s web.config C:/> dir /b /s sysprep.inf C:/> dir /b /s sysprep.xml C:/> dir /b /s *pass* C:/> dir /b /s vnc.ini
第三方软件
McAfee
运行McAfee的大多数Windows系统密码都以加密方式存储在SiteList.xml文件中:
%AllUsersProfile%Application Data/McAfee/Common Framework/SiteList.xml
VNC
有时候,管理员比较喜欢使用VNC软件而不是Windows Terminal Services来进行系统的远程管理。密码已加密,但是有各种工具可以对其进行解密。
UltraVNC
passwd=5FAEBBD0EF0A2413
RealVNC
在RealVNC中,哈希密码位于以下注册表项中:
reg query HKEY_LOCAL_MACHINE/SOFTWARE/RealVNC/WinVNC4 /v password
Putty明文代理凭据可在以下目录中找到:
reg query" HKCU/Software/SimonTatham/PuTTY/Sessions"
Registry
可以查询注册表,因为在某些情况下可能包含凭据
reg query HKLM /f password /t REG_SZ /s reg query HKCU /f password /t REG_SZ /s
Windows自动登录:
reg query "HKLM/SOFTWARE/Microsoft/Windows NT/Currentversion/Winlogon"
SNMP参数:
reg query "HKLM/SYSTEM/Current/ControlSet/Services/SNMP"
PowerSploit
PowerSploit工具可以用来发现存储的凭证。它支持以下模块,这些模块将检查各种文件和注册表中的加密凭据或纯文本凭据:
Get-UnattendedInstallFile Get-Webconfig Get-ApplicationHost Get-SiteListPassword Get-CachedGPPPassword Get-RegistryAutoLogon免责声明:本站某些文章、信息、图片、软件等来源于互联网,由本网整理发表,希望传递更多信息和学习之目的,并不意味赞同起观点或证实其内容的真实性以及非法用途。 如设计、版权等问题,请立即联系管理员,我们会给予更改或删除相关文章,保证您的权利。
江苏省扬州市 1F
学习了,大神牛逼
浙江省嘉兴市 2F
大神可以给加个联系方式吗? 我qq 1109450752