Jak zrzucić plik SAM systemu Windows podczas działania systemu?

14

Wykorzystałem maszyny testowe przy użyciu metasploit i udało mi się uzyskać skróty z pliku SAM; Próbowałem uruchomić polecenia, SYSTEMaby je uzyskać, ale nie jestem w stanie tego zrobić. Jaka jest bardziej przenośna metoda wyodrębniania skrótów z pliku SAM?

windows  security  passwords 

Odpowiedzi:

12

To nie jest problem z uprawnieniami - system Windows utrzymuje wyłączną blokadę pliku SAM (który, o ile wiem, jest standardowym zachowaniem załadowanych gałęzi rejestru), więc żaden inny proces nie może go otworzyć.

Jednak najnowsze wersje systemu Windows mają funkcję o nazwie „Volume Shadow Copy”, która została zaprojektowana do tworzenia migawek całego woluminu tylko do odczytu, głównie do tworzenia kopii zapasowych. Blokady plików mają zapewnić spójność danych, więc nie są konieczne, jeśli zostanie wykonana migawka całego systemu plików. Oznacza to, że można utworzyć migawkę C:, zamontować ją, skopiować SAMplik, a następnie odrzucić migawkę.

To, jak dokładnie to zrobić, zależy od wersji systemu Windows: XP potrzebuje zewnętrznego programu, Vista i 7 vssadmin create shadow, a Server 2008 ma diskshadowpolecenie. Strona Bezpieczne wyrzucanie skrótów z kontrolerów domeny na żywo zawiera więcej szczegółów na temat tego procesu, a także instrukcje i skrypty.

Alternatywnie istnieją narzędzia, samdumpktóre nadużywają procesu LSASS z różnych kierunków w celu wyodrębnienia wszystkich skrótów haseł bezpośrednio z pamięci. Mogą być znacznie szybsze niż migawki VSS, ale wiążą się z większym ryzykiem awarii systemu.

Wreszcie Google przedstawia ten fragment kodu, którego użyteczności nie mogę ocenić, ponieważ sam nigdy nie użyłem metasploitu:

meterpreter> use priv
meterpreter> hashdump
użytkownik1686
źródło
Jaka jest różnica między plikami SAM \ SYSTEM a podkluczami rejestru SAM \ SYSTEM (odnoszę się do odpowiedzi vmarquet )? Czy zawartość jest taka sama?
GordonAitchJay
1
Tak, te pliki faktycznie znajdują się w bazie danych rejestru - plik „SYSTEM” przechowuje dane HKLM \ SYSTEM. (Mam na myśli, że musi być gdzieś zapisany , prawda?) Możesz HKLM\SYSTEM\CurrentControlSet\Control\HiveListsprawdzić, które podklucze odpowiadają danym plikom.
user1686
12

Istnieje prostsze rozwiązanie, które nie wymaga zarządzania woluminami w tle ani korzystania z zewnętrznych narzędzi. Możesz po prostu skopiować SAM i SYSTEM za pomocą regpolecenia dostarczonego przez Microsoft (testowane na Windows 7 i Windows Server 2008):

reg save hklm\sam c:\sam
reg save hklm\system c:\system

(ostatni parametr to lokalizacja, w której chcesz skopiować plik)

Następnie możesz wyodrębnić skróty w systemie Linux za pomocą pakietu samdump2 (dostępnego w Debianie:) apt-get install samdump2:

$ samdump2 system sam
Administrator:500:aad3b435b51404eeaad3b435b51404ee:c0e2874fb130015aec4070975e2c6071:::
*disabled* Guest:501:aad3b435b51404eeaad3b435b51404ee:d0c0896b73e0d1316aeccf93159d7ec0:::
vmarquet
źródło
na których smakach systemu Windows działa (a raczej na jakich nie działa)? Próbowałem powiedzieć z witryny MSDN, ale nie wyświetla go (przynajmniej nie widziałem)
n00b
po prostu zrzuca lokalne konta. aby uzyskać kredyty domeny z pamięci podręcznej, musisz również uzyskać BEZPIECZEŃSTWO z rejestru. następnie możesz uruchomić: python /usr/share/doc/python-impacket/examples/secretsdump.py -sam SAM -bezpieczeństwo BEZPIECZEŃSTWO -system SYSTEM LOKALNY, aby zrzucić wszystkie buforowane poświadczenia.
n00b
5

Edycja: postanowiłem edytować po wielu latach porzucenia.

Plik SAM systemu Windows jest zablokowany przed kopiowaniem / odczytem w przeciwieństwie /etc/shadow do systemów Linux. Zamiast tego obejście tego narzędzia spowoduje wyodrębnienie skrótów z pamięci.

Istnieją sposoby obejścia tego, które omówię poniżej:

Mimikatz

Uruchom mimikatz z sekurlsa::logonpasswords.

fgdump

Podobna funkcjonalność jak mimikatz. Uruchom go, a skróty zostaną zrzucone do plików lokalnych.

hashdump

Wbudowany w licznik metrów; wyodrębnia skróty z pamięci.

Rejestr

Możliwe jest również wyodrębnienie z rejestru (jeśli masz SYSTEMdostęp):

  1. reg save hklm\sam %tmp%/sam.reg i reg save hklm\system %tmp%/system.reg
  2. Skopiuj pliki, a następnie uruchom: samdump2 system sam

Kopie zapasowe

Plik SAM można również przechowywać w lokalizacji kopii zapasowej: C:\Windows\Repair\SAM

Powinienem również wspomnieć, że narzędzia będą wymagały co najmniej Administratoruprawnień; i większość nie otrzyma wszystkich skrótów, chyba że SYSTEMuzyskany zostanie dostęp.

Może źle zrozumiałem, ale w jaki sposób narzędzia takie Mimikatzlub fgdumpbardziej przenośne niż C&A lub inne? O ile wiem, są to narzędzia innych firm, które nie są dostarczane z systemem Windows i muszą być ładowane osobno. Ponadto, z mojej własnej ciekawości, jaki jest przypadek użycia narzędzi do odrzucania skrótów, gdy istnieją takie narzędzia jak Ophcrack?
Hashim,
Czy mimikatz może być używany do łamania lokalnych skrótów w wyłączonym systemie za pomocą dysku rozruchowego, czy jest przeznaczony tylko do uruchamiania w włączonym systemie?
Hashim,
1

Metoda Obscuresec pozwala przezwyciężyć trudności lokalnie na dowolnym komputerze z systemem Windows PowerShell 1.0. Pomija niektóre cele, które znam, ale hej, niezła robota! (dziękuję Chris).

Uwaga: Do przeprowadzenia takiej operacji zawsze potrzebne są uprawnienia administratora

Możesz użyć

http://gallery.technet.microsoft.com/scriptcenter/Get-PasswordFile-4bee091d

lub z innego źródła (nowsze mogę dodać)

https://github.com/obscuresec/PowerShell/blob/master/Get-PasswordFile

Zalecana lektura:

Do przechwytywania zdalnych systemów ule SAM i SYSTEM używaj wyżej wymienionych w połączeniu z

Marco Vaz
źródło
1

Chciałbym określić dodatkową metodę, która nie jest tutaj opisana, ponieważ wiele czasu w Red Teaming / Penetration Testing najbardziej oczywiste sposoby nie są dostępne (odmowa, są monitorowane przez Blue Team itp.) I miło jest znać wszystkie dostępne techniki.

Jedno z obejścia uzyskiwania dostępu do plików, które system obsługuje (nie można kopiować / usuwać jak zwykle), vssshadow.exeopisano powyżej.

Po drugie - esentutil.exe.

Dokładne polecenie, aby pobrać kopię pliku z uchwytem:

esentutl.exe /y /vss c:\windows\ntds\ntds.dit /d c:\folder\ntds.dit

Dotyczy to SAM, SYSTEMU, BEZPIECZEŃSTWA, NTDS.DIT ​​itp.

PS Jest esentutl.pyw pakiecie impacket: https://github.com/SecureAuthCorp/impacket/blob/master/examples/esentutl.py

Obraz PSS esentutl PoC

dtrizna
źródło
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.