Test makinelerini metasploit kullanarak sömürdüm ve SAM dosyasından karmaları alabildim; SYSTEMOnları almak için komutları çalıştıran denedim ama bunu yapamıyorum. SAM dosyasından karmaları ayıklamak için daha taşınabilir bir yöntem nedir?
Test makinelerini metasploit kullanarak sömürdüm ve SAM dosyasından karmaları alabildim; SYSTEMOnları almak için komutları çalıştıran denedim ama bunu yapamıyorum. SAM dosyasından karmaları ayıklamak için daha taşınabilir bir yöntem nedir?
Yanıtlar:
Bu bir izin sorunu değildir - Windows SAM dosyasında (bildiğim kadarıyla yüklü kayıt defteri kovanları için standart davranış olan) özel bir kilit tutar, bu nedenle başka bir işlemin açması imkansızdır.
Ancak, son Windows sürümlerinde, çoğunlukla yedeklemeler için tüm birimin salt okunur anlık görüntülerini oluşturmak üzere tasarlanmış "Birim Gölge Kopyası" adlı bir özellik vardır. Dosya kilitleri veri tutarlılığını sağlamak için vardır, bu nedenle tüm dosya sisteminin anlık görüntüsü alınırsa gereksizdir. Bu, anlık görüntü oluşturmanın C:, bağlamanın, SAMdosyanızı kopyalamanın ve anlık görüntüyü atmanın mümkün olduğu anlamına gelir .
Bunun tam olarak nasıl yapılacağı Windows sürümünüze bağlıdır: XP'nin Vista ve 7 için harici bir programa ihtiyacı vssadmin create shadowvardır ve Server 2008'in diskshadowkomutu vardır. Canlı Etki Alanı Denetleyicilerinden Güvenli Karışımların Boşaltılması sayfasında , bu işlemle ilgili daha fazla ayrıntı, talimatlar ve komut dosyaları bulunur.
Alternatif olarak, samdumptüm şifre karmaları doğrudan bellekten ayıklamak için LSASS işlemini çeşitli yönlerden kötüye kullanan araçlar da vardır . VSS anlık görüntülerinden çok daha hızlı olabilirler, ancak sistemi çökme riski daha yüksektir.
Son olarak, Google, yararlılığını kendim hiç metasploit kullanmamış olarak değerlendiremediğim bu snippet'i getiriyor:
meterpreter> use priv
meterpreter> hashdump
HKLM\SYSTEM\CurrentControlSet\Control\HiveListHangi alt anahtarların hangi dosyalara karşılık geldiğini görebilirsiniz.
Gölge birimlerini yönetmek veya harici araçlar kullanmak zorunda olmayan daha basit bir çözüm var. SAM ve SYSTEM'i regmicrosoft tarafından sağlanan komutla kopyalayabilirsiniz (Windows 7 ve Windows Server 2008'de test edilmiştir):
reg save hklm\sam c:\sam
reg save hklm\system c:\system
(son parametre dosyayı kopyalamak istediğiniz konumdur)
Daha sonra hasd'leri samdump2 (Debian'da mevcut:) paketiyle bir Linux sisteminde ayıklayabilirsiniz apt-get install samdump2:
$ samdump2 system sam
Administrator:500:aad3b435b51404eeaad3b435b51404ee:c0e2874fb130015aec4070975e2c6071:::
*disabled* Guest:501:aad3b435b51404eeaad3b435b51404ee:d0c0896b73e0d1316aeccf93159d7ec0:::
Edit: Yıllarca terk edildikten sonra düzenlemeye karar verdim.
Windows SAM dosyasının /etc/shadow Linux sistemlerinden farklı olarak kopyalanması / okunması engellenir . Bunun yerine, bu araçları dolaşmak hash'leri bellekten ayıklayacaktır.
Aşağıda ele alacağım bunun üstesinden gelmenin yolları vardır:
Mimikatz ile çalıştırın sekurlsa::logonpasswords.
Mimikatz ile benzer işlevsellik. Çalıştırın ve karma yerel dosyalara dökülecek.
Sayaç içine yerleştirilmiş; karmaları bellekten ayıklar.
Kayıt defterinden ayıklamak da mümkündür ( SYSTEMerişiminiz varsa ):
reg save hklm\sam %tmp%/sam.reg ve reg save hklm\system %tmp%/system.regsamdump2 system samSAM dosyası ayrıca bir yedekleme konumuna kaydedilebilir: C:\Windows\Repair\SAM
Ayrıca, araçların en azından Administratorayrıcalık gerektireceğini de belirtmeliyim ; ve çoğu SYSTEMerişim sağlanmadıkça tüm karmaları alamaz .
Mimikatzveya fgdumpdaha taşınabilir veya bunlardan daha farklı? Bunların hepsinin, Windows ile birlikte gelmeyen ve ayrı olarak yüklenmesi gereken üçüncü taraf araçları olduğunu söyleyebildiğim kadarıyla. Ayrıca, kendi merakım için, Ophcrack gibi araçlar olduğunda karma damping araçları için kullanım durumu nedir?
Obscuresec yöntemi, herhangi bir windows powershell 1.0 özellikli makinede yerel olarak zorluklarınızın üstesinden gelir. Bildiğim bazı hedefler çıkıyor, ama hey, iyi iş çıkardın! (teşekkürler Chris).
Not: Böyle bir işlemi gerçekleştirmek için her zaman yönetici ayrıcalıkları gerekir
Kullanabilirsin
http://gallery.technet.microsoft.com/scriptcenter/Get-PasswordFile-4bee091d
veya başka bir kaynaktan (daha yeni ekleyebilirim)
https://github.com/obscuresec/PowerShell/blob/master/Get-PasswordFile
Tavsiye edilen okuma:
Uzak sistemleri yakalamak için SAM ve SYSTEM kovanları aşağıdakilerle bağlantılı olarak yukarıda belirtilenleri kullanın
Burada açıklanmayan ek bir yöntem belirtmek isteriz, çünkü Kırmızı Takım / Penetrasyon Testinde çok fazla zaman en açık yollara erişilemez (reddedilir, Mavi Takım tarafından izlenir, vb.) Ve mevcut tüm teknikleri bilmek güzeldir.
Sistemin tutamaçlarına sahip (her zamanki gibi kopyalayamaz / kaldıramaz) dosyalara erişmenin geçici çözümlerinden biri vssshadow.exeyukarıda açıklanmıştır.
İkinci - esentutil.exe.
Saplı dosyanın bir kopyasını almak için tam komut:
esentutl.exe /y /vss c:\windows\ntds\ntds.dit /d c:\folder\ntds.dit
Bu SAM, SİSTEM, GÜVENLİK, NTDS.DIT vb. İçin geçerlidir.
PS esentutl.pyImpacket paketinde:
https://github.com/SecureAuthCorp/impacket/blob/master/examples/esentutl.py