當前位置:
首頁 > 新聞 > 滲透技巧——Windows中Credential Manager的信息獲取

滲透技巧——Windows中Credential Manager的信息獲取

0x00 前言

在後滲透階段,獲得許可權後需要搜集目標系統的信息。信息越全面,越有助於進一步的滲透。

對於Windows系統,Credential Manager中包含十分重要的信息。

這其中具體包含什麼類型的信息,獲取的方法有哪些呢?本文將要一一介紹

0x01 簡介

本文將要介紹以下內容:

·Credential Manager中不同類型的憑據

·不同憑據的明文口令獲取方法

·實際測試

0x02 Credential Manager簡介

Credential Manager,中文翻譯為憑據管理器,用來存儲憑據(例如網站登錄和主機遠程連接的用戶名密碼)

如果用戶選擇存儲憑據,那麼當用戶再次使用對應的操作,系統會自動填入憑據,實現自動登錄

憑據保存在特定的位置,被稱作為保管庫(vault)(位於%localappdata%/MicrosoftVault)

憑據類別:

包含兩種,分別為Domain Credentials和Generic Credentials

Domain Credentials:

只有本地Local Security Authority (LSA)能夠對其讀寫

也就是說,普通許可權無法讀取Domain Credentials類型的明文口令

Generic Credentials:

能夠被用戶進程讀寫

也就是說,普通許可權可以讀取Generic Credentials類型的明文口令

參考資料:

https://msdn.microsoft.com/en-us/library/aa380517.aspx

0x03 實際測試

測試1:

測試系統: Win7

訪問文件共享\192.168.62.130

如下圖

填入正確的用戶名密碼,選中記住我的憑據

下次再訪問時,就不需要再次輸入用戶名密碼

通過控制面板能夠找到添加的憑據,位置為控制面板-用戶帳戶和家庭安全-憑據管理器

如下圖

密碼被加密,無法直接查看

註:

文件共享的憑據類型默認為Domain Credentials

測試2:

測試系統: Win8

使用IE瀏覽器訪問網站 https://github.com/,登錄成功後選擇記錄用戶名密碼

通過控制面板訪問憑據管理器,如下圖

註:

Win8開始,憑據管理器的頁面進行了改版(同Win7不同),添加了Web憑據

顯示憑據密碼需要填入當前用戶名口令,如下圖

註:

IE瀏覽器的憑據類型默認為Generic Credentials

測試3:

測試系統: Win7

通過控制面板添加普通憑據,Internet地址或網路地址為Generi1,用戶名為test1,密碼為pass1,如下圖

通過控制面板無法獲得該普通憑據的明文口令

0x04 導出Credentials中的明文口令

1、獲得系統憑據的基本信息

工具: vaultcmd(windows系統自帶)

常用命令:

列出保管庫(vault)列表:

vaultcmd /list

註:

不同類型的憑據保存在不同的保管庫(vault)下

列出保管庫(vault)概要,憑據名稱和GUID:

vaultcmd /listschema

註:

GUID對應路徑%localappdata%/MicrosoftVault下的文件,如下圖

列出名為」Web Credentials」的保管庫(vault)下的所有憑據信息:

vaultcmd /listcreds:"Web Credentials"

註:

如果是中文操作系統,可將名稱替換為對應的GUID,命令如下

列出GUID為的保管庫(vault)下的所有憑據:

vaultcmd /listcreds:

列出GUID為的保管庫(vault)的屬性,包括文件位置、包含的憑據數量、保護方法:

vaultcmd /listproperties:

2、獲得Domain Credentials的明文口令

工具: mimikatz

參數:

sekurlsa::logonpasswords

對應前面的測試1,在credman位置顯示,如下圖

註:

mimikatz不僅能導出Domain Credentials的明文口令,也能導出普通憑據(Generic Credentials)類型的明文口令,但無法導出IE瀏覽器保存的Generic Credentials類型的明文口令

3、獲得Generic Credentials的明文口令

(1) IE瀏覽器保存的Generic Credentials

工具: Get-VaultCredential.ps1

下載地址:

https://github.com/PowerShellMafia/PowerSploit/blob/master/Exfiltration/Get-VaultCredential.ps1

對應前面的測試2,Win8系統成功導出明文口令,如下圖

註:

該腳本也能獲得名為Windows Credential的保管庫(vault)下面的憑據信息,但無法獲得憑據的明文口令

補充:

Win7系統下的憑據管理器同Win8有區別,多了一個選項,指定程序使用此密碼時提示我提供許可權,如下圖

當選中時,使用powershell腳本讀取明文口令時會彈框提示(無法繞過),如下圖

(2) 其他類型的普通票據

工具: Invoke-WCMDump.ps1

下載地址:

https://github.com/peewpw/Invoke-WCMDump/blob/master/Invoke-WCMDump.ps1

對應測試3,普通用戶許可權即可,能夠導出普通票據的明文口令,如下圖

註:

該腳本還能導出Domain Credentials的信息(不包括明文口令)

0x05 小結

本文介紹了不同類型的票據(Credential)明文口令的獲取方法,測試多個工具,幫助大家更好理解這部分內容


喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 嘶吼RoarTalk 的精彩文章:

IoT安全之設備安全性亟需提高
谷歌、Facebook等公司不願分享用戶數據,英國政府用高稅收威脅
安卓惡意軟體檢測:系統調用日誌+機器學習演算法
以溯源為目的蜜罐系統建設
如何使用MitmAP創建一個惡意接入點

TAG:嘶吼RoarTalk |