|
|
|
联系客服020-83701501

Windows server 2012 用户hash抓取方法研究(本地+域)

联系在线客服,可以获得免费在线咨询服务。 QQ咨询 我要预约
Windows server 2012 用户hash抓取门径研究(本地+域)

为避免文章太长,这里就不贴出具体测试进程了。经由我的测试,发现本地用户hash抓取的门径中,如下几种体例是可行的:

注册表导出+cain

Pwdump7.exe

QuarksPwDump.exe

mimikatz.exe

这几种体例都梗概抓到本地用户hash,个中mimikatz.exe只能抓到登岸过的账户的hash值,

已经抓取不到明文的密码了,然而,有一些成生理的器械,间接上图:

Windows server 2012 用户hash抓取方法研究(本地+域)

卖力看图,梗概发现,wdigest的内容为n.a. ,也即是不有抓取到明文密码。看来微软还是有一点改进的,注入lsass.exe进程已经抓不到明文了。

然而,重点是!!!LM hash被抓进去了,并且美满是精确的!!!

当密码长度小于等于14位,只要有lm hash底子上但凡秒破,我见过良多图谋员的密码底子不有14位长。从vista开端就已经不糊口生涯生活lm hash了,然而没想到2012里还能抓到lm……

尔后wce.exe gethashes.exe gsecdump.exe抓取本地用户hash都成功了,个中wce更让人无语

执行后会导致管事器间接重启

Windows server 2012 用户hash抓取方法研究(本地+域)

无非我却是专程发现psexec启用system权限的门径对于2012还是实用的

域用户hash抓取测试

在捏造机中搭建好域,域管教器即是这台windows server 2012,别的再参加一台windows server 2003的成员呆滞作为测试。

域中添加AdminUser, User1用户,个中AdminUser是域图谋员,再加之本地用户Administrator在安顿域时会主动添加成域图谋员,以是总共是3个有功用户,2个域图谋员。

起首测试在2003的成员呆滞上登岸域用户时的情况,梗概用mimikatz和各种器械间接抓取明文,这个和曩昔的情况一样,就不贴图了。

在windows server 2012上用mimikatz间接抓取域登岸用户hash,测试腐化

Windows server 2012 用户hash抓取方法研究(本地+域)

接上去是重头戏,如何抓取所有域用户的hash

gethashes.exe 和gsecdump.exe都间接悲剧,这意味着想要轻量级的抓取所有域用户hash已经很难了。

在线抓取成功,没要领只能祭出最终武器:离线抓取!

第一种要领: vssown.vbs + libesedb + NtdsXtract

具体来因参考这里:http://pauldotcom.com/2011/11/safely-dumping-hashes-from-liv.html

起首用vssown.vbs把域数据库ntds.dit和SYSTEM文件复制一份,尔后把复制文件下载回本地,再行使libesedb分解ntds.dit文件,开头用NtdsXtract阐发出用户hash音讯,

这类门径除了能获取用户当前密码hash外,还能获取历史密码hash值,能给社工带来更多的协助。除此以外还能获取良多其余的音讯,比喻所有合计机列表,垄断零碎等等糊口生涯生活在域数据库中的数据。

具体的垄断进程就间接上图了,不明显梗概去看那篇英文的文章

无非有一点须要寄望,那篇文章过后vssown.vbs有更新过,在创建shadow copy时须要指定盘符,不然会有个下标越界的过错,这是为了随便当域数据库糊口生涯生活在D盘时的情况。

Windows server 2012 用户hash抓取方法研究(本地+域)

尔后把ntds.dit和SYSTEM这两个文件下载回本地,放到BT5外表提取hash:

Windows server 2012 用户hash抓取方法研究(本地+域)

sdaggg

梗概看到腐化的提取了域外表所有效户的密码hash

在现实渗入时须要寄望的标题问题:

域的数据库依照域的范围大小不一,我见过最大的有5G,所如下载回本地时保举缩短后再下载

提取hash时最佳导出到文件中,间接在背面加 >filename.txt

第二种要领:ntdsutil.exe + QuarksPwDump.exe

Ntdsutil.exe 是域管教器自带的域数据库图谋器械。从windows server 2008 开端就有了。

这个门径在QuarksPwDump.exe顺叙的Readme.txt外表有具体的解说(windows 2008阿谁,实用于windows server 2012)。按倒叙运行如下命令,不必带#号

Default
123456789 #ntdsutil#snapshot#activate instance ntds#create#mount {GUID}#copy c:\MOUNT_POINT\WINDOWS\NTDS\NTDS.dit c:\NTDS_saved.dit#unmount {GUID}#quit#quit

上图:

pp1

尔后用QuarksPwDump.exe导出hash值,运行命令:

Default
1 QuarksPwDump.exe --dump-hash-domain --ntds-file c:\ntds.dit

pp2

寄望:我发现切实作者忘了一个倒叙,是删除快照音讯,如果域图谋员是行使这个器械进行图谋的话,会很繁冗发现有人创建过快照,以是在quit早年理当执行delete {GUID}命令

以上即是两种比较分量级的抓取hash的门径了。第一种门径我每每用,从2003-2012通杀,无意候会碰着vssown.vbs堕落,一般是在windows 2008 R2上面堕落比较多,这时辰改用vssadmin.exe就OK的,vssadmin.exe的用法、坚守和vssown.vbs差未几,vssadmin.exe在2008 R2中自带。

具体独霸门径参考:http://technet.microsoft.com/en-us/library/cc754968%28v=ws.10%29.aspx

第二种也梗概通杀2003到2012,然而2003外表比较麻烦,须要在图形界面中手动备份数据库才行,2008 和 2012则梗概在命令行下搞定。别的用vssown.vbs复制进去的ntds.dit数据库不能用QuarksPwDump抓取。

补救:cmd shell下的抓取体例

后头讲了两种抓取所有域用户hash的门径,然而但凡在交互的图形化界面中进行的。现实的渗入中,最佳不要用mstsc登录域管教器,

很或者上面装有监控远程桌面登灌音讯的各种器械。更现实的情况理当是我们从一台成员管事器上通过远程的cmd shell抓取域用户音讯。

我一般用psexec封锁一个远程cmdshell,如果不有域图谋员密码明文,就用wce进行hash注入,再用psexec即梗概了。

第一种门径主如果vssown.vbs的垄断,不有任何交互式的命令须要执行,以是不有甚么特其余,在psexec上面间接垄断即可

第二种门径中ntdsutil.exe的命令是交互式的,须要一步步输出,而psexec封锁的shell是没要领这么做的,会间接卡死在那。

因而我尝试了下把命令写在一同,就像用netsh配置网络音讯时一样,发现是梗概用的,只无非有空格之处用引号就好了。

以是ntdsutil的命令即梗概写成

Default
12345 ntdsutil  snapshot  "activate  instance  ntds"  create  quit  quitntdsutil  snapshot  "mount {GUID}"  quit  quitcopy  MOUNT_POINT\windows\NTDS\ntds.dit  c:\ntds.ditntdsutil  snapshot  "unmount {GUID}"  quit  quitntdsutil  snapshot  "delete {GUID}"  quit  quit

接上去即是导出hash,执行:

Default
1 QuarksPwDump.exe --dump-hash-domain --ntds-file c:\ntds.dit

具体的进程如下:

pp3

pp4

总结:

测试了这么多,最大的收获理当是mimikatz还能抓到lm hash。切实还是有良多器械梗概抓到hash的,等候wce的更新,他的hash注入坚守还是很实用的。

别的我发现无意候psexec在染指后,远程管事器的psexec的管事并无被删除,这点相称挫伤,并且psexec会安顿管事,很繁冗被图谋员发现。

现实上psexec梗概用wmi远程执行命令代替,然而不绝不有去研究阿谁,如果哪位大牛领会,望不吝见教。

91RI.ORG注,表面梗概参考这篇文章:《内网渗入:行使WMI代替psexec(WMIEXEC.vbs)》

开头,吐槽下windows server 2012烂到掉渣的用户体验,用起来跟翔一样……

附件:windows server 2012 用户hash抓取门径研究(本地 域).pdf

补救下各器械的下载地址:

http://code.谷歌.com/p/quarkspwdump/

http://ptscripts.谷歌code.com/svn/trunk/windows/vssown.vbs

http://sourceforge.net/projects/libesedb/

http://www.ntdsxtract.com/downloads/ntdsxtract/ntdsxtract_v1_0.zip

[via@t00ls]

数安新闻+更多

证书相关+更多