J'ai exploité des machines à tester à l'aide de Metasploit et a été capable d'obtenir les hachages du fichier SAM; J'ai essayé des commandes en cours d'exécution comme SYSTEM
pour les obtenir mais je suis incapable de le faire. Quelle est une méthode plus portable pour extraire les hachages du fichier SAM?
EDIT: J'ai décidé de modifier après de nombreuses années d'abandon.
Le fichier Windows Sam est verrouillé de la copie/lecture contrairement à/etc/shadow
sur les systèmes Linux. Au lieu de cela, pour contourner ces outils extraire des hachages de la mémoire.
Il y a des moyens de contourner cela que je vais couvrir ci-dessous:
Exécuter Mimikatz avec sekurlsa::logonpasswords
.
Fonctionnalité similaire comme Mimikatz. Exécutez-le et les hachages seront largués dans des fichiers locaux.
Intégré à Meterpreter; extrait les hachages de la mémoire.
Il est également possible d'extraire du registre (si vous avez SYSTEM
Accès):
reg save hklm\sam %tmp%/sam.reg
et reg save hklm\system %tmp%/system.reg
samdump2 system sam
Le fichier SAM peut également être stocké dans un emplacement de sauvegarde: C:\Windows\Repair\SAM
Je devrais également mentionner que les outils nécessiteront au minimum Administrator
privilèges; Et la plupart ne recevront pas tous les hatus sauf si SYSTEM
l'accès est atteint.
Ce n'est pas un problème d'autorisation - Windows conserve un verrou exclusif sur le fichier SAM (qui, autant que je sache, est un comportement standard pour les ruches de registre chargées), il est donc impossible pour tout autre processus de l'ouvrir.
Toutefois, les versions Windows récentes ont une fonctionnalité appelée "Volume Shadow Copy", qui est conçue pour créer des instantanés en lecture seule du volume total, principalement pour les sauvegardes. Les verrouillons de fichiers sont là pour assurer la cohérence des données. Ils sont donc inutiles si un instantané de l'ensemble du système de fichiers est effectué. Cela signifie qu'il est possible de créer un instantané de C:
, montez-le, copiez votre fichier SAM
, puis jetez l'instantané.
Comment faire exactement cela dépend de votre version Windows: XP a besoin d'un programme externe, Vista et 7 ont vssadmin create shadow
et Server 2008 possède la commande diskshadow
. La page Dumping en toute sécurité des hayes de contrôleurs de domaine en direct a plus de détails sur ce processus, ainsi que des instructions et des scripts.
Alternativement, il existe des outils tels que samdump
qui abusent le processus LSASS à partir de différentes directions afin d'extraire tout le mot de passe directement à partir de la mémoire. Ils pourraient être beaucoup plus rapides que les instantanés VSS, mais ont un risque plus élevé de casser le système.
Enfin, Google fait ressortir cet extrait, dont l'utilité que je ne peux pas évaluer ne jamais avoir utilisé métasploit-moi-même:
meterpreter> use priv
meterpreter> hashdump
Il existe une solution plus simple qui n'a pas besoin de gérer les volumes d'ombre ou d'utiliser des outils externes. Vous pouvez simplement copier Sam et System avec la commande reg
fournie par Microsoft (Testée sous Windows 7 et Windows Server 2008):
reg save hklm\sam c:\sam
reg save hklm\system c:\system
(Le dernier paramètre est l'emplacement où vous souhaitez copier le fichier)
Vous pouvez ensuite extraire les hayes sur un système Linux avec paquet Samdump2 (disponible sur Debian: apt-get install samdump2
):
$ samdump2 system sam
Administrator:500:aad3b435b51404eeaad3b435b51404ee:c0e2874fb130015aec4070975e2c6071:::
*disabled* Guest:501:aad3b435b51404eeaad3b435b51404ee:d0c0896b73e0d1316aeccf93159d7ec0:::
Voudrais spécifier une méthode supplémentaire non décrite ici, plus de temps dans les tests de coéquilibre rouge/pénétration des moyens les plus évidents ne sont pas accessibles (refusés, sont surveillés par l'équipe bleue, etc.) et il est agréable de connaître toutes les techniques disponibles.
Une solution de contournement d'accès à des fichiers, quel système a des poignées (ne peut pas copier/supprimer comme d'habitude), est vssshadow.exe
dit ci-dessus.
Seconde - esentutil.exe
.
Commande exacte à prendre une copie du fichier avec la poignée:
esentutl.exe /y /vss c:\windows\ntds\ntds.dit /d c:\folder\ntds.dit
Ceci s'applique à Sam, System, Sécurité, NTDS.DIT, etc.
P.s. Il y a esentutl.py
Dans l'emballage de l'humanie: https://github.com/secureAuthcorp/impacket/blob/master/examples/esentutl.py
P.S.S. Esentutl poc image