introducción
Cuando el permiso atacante obtener el servidor, por lo general el uso de algunas de las técnicas de puerta trasera para mantener sus derechos actuales para conseguir el servidor una vez que se implantan en la puerta de atrás, entonces la próxima vez que acceda a un atacante más conveniente
propósito
Dado que el ataque podría ser descubierto, puede ser que sea para conseguir el cargo antes de ser limpiado WebShell encontrado, lo que lleva a la pérdida de objetivos, por lo que es necesario dejar la puerta de atrás para mantener los privilegios, el propósito del control continuo
Adquisición de inicio de sesión del sistema contraseña de la cuenta
ventanas sistema de adquisición de contraseña de la cuenta de inicio de sesión
ventanas ubicación del sistema de almacenamiento de contraseñas de cuenta:
C: \ Windows \ System32 \ config \ SAM
ventanas principio de autenticación de contraseña:
sistemas en Windows, gestión de seguridad para las cuentas de usuario, utilizando el mecanismo de cuentas SAM (Administrador de cuentas de seguridad, gestión de cuentas de seguridad) de usuario y contraseñas después de encriptación Hash, se almacenan en la base de datos SAM.
base de datos SAM almacenado en el directorio C: \ WINDOWS \ system32 \ config \ SAM archivo, cuando los usuarios inician sesión en el sistema, lo primero que debe ser comparada con la información de cuenta almacenada en el archivo SAM, verificar a través antes de inicio de sesión. sistema de archivos SAM para proporcionar protección, no copiar o borrar, no puede leer el contenido directamente.
: Cifrado de archivos SAM
cifrado 1.LM: Antes Windows2003, incluyendo el sistema Win2003
cifrado 2.NTLM: Windows sistema después de 2003
LM y NTLM cifrado Hash se basan, pero existen diferencias en sus mecanismos de seguridad y fuerzas de seguridad, los hashes de contraseñas LM la seguridad es relativamente pobre. Aunque ha habido muy pocas personas utilizan la antigua versión del sistema antes de Windows2K, pero con el fin de mantener la compatibilidad con versiones anteriores, por defecto, el sistema sigue las contraseñas de usuario se cifran utilizando estos dos mecanismos almacenados en la base de datos SAM.
Diferencia:
el cifrado LM, contraseña de hasta 14, si la contraseña es menos de 14, menos de algunos acolchado con 0, todo convierte a mayúsculas caracteres, y luego se divide en dos grupos, 7 en cada grupo codificado, entonces empalmados juntos, es el último de hash LM, esencialmente cifrado DES.
cifrado NTLM, contraseñas de usuario en primera codificación Unicode, entonces el estándar de hash MD4 unidireccional cifrado.
LM es mucho más bajo que el cifrado de seguridad de cifrado NTLM, ya que permite el uso de más largo NTLM contraseña encriptada, lo que permite diferentes sensibles, pero también sin la contraseña en el bloque más pequeño, más agrietada fácilmente. Así NTLM en un ambiente puro, debe desactivar el cifrado de LAN Manager
Obtiene el contenido del archivo SAM:
Sam manera de conseguir la contraseña
1. Herramientas versión no libre: wce.exe, QuarksPwDump.exe, Pwdump7.exe, gethash.exe, mimikatz
2. Versión libre:
hash de 2.1 Registro de Exportación:
comando
reg save hklm\sam C:\hash\sam.hive
reg save hklm\system C:\hash\system.hiveDespués de la descarga de archivos exportado, el uso de crack Pwdump7
2.2 Exportación Sam archivo de
copia de sombra (generalmente con decenas de miles de usuarios en un controlador de dominio cuando)
2.3 Otras formas
ProcDump (o lsadump) + mimikatz
Powershell + mimikatz
PowerShell + getpasshash
powershell + otras herramientas
Descifrar contraseñas
1. En línea agrietado
http://www.objectif-securite.ch/en/ophcrack.php
http://cmd5.com
https://somd5.com
2. local de la grieta (fuerza bruta)
de cifrado LM: Caín
NTLM ophcrack tablas (tablas + arco iris arco iris Descargar: http: //ophcrack.sourceforge.net/tables.php) cifrado
Nota
1.LM sólo puede almacenar inferior o igual a 14 caracteres hash de la contraseña, si la contraseña es mayor que 14, automáticamente serán cifrados mediante NTLM ventanas, sólo el correspondiente hash de NTLM está disponible, y el LM-contraseña estará lleno 0 pantalla.
Uso herramienta para exportar 2. En circunstancias normales de hash tiene un valor correspondiente LM y NTLM, esto significa que el número de contraseñas <= 14, entonces no habrá valor LM, 0s LM, además de fuera, en la antigua versión ver LM: representa el comienzo aad3b435b51404eeaad3b435b51404ee contraseña es dígitos en blanco o mostrar más de un 14
3. antes de win2k3 incluido el cifrado LM win2k3 activada de forma predeterminada, después de que el sistema de cifrado win2k3 discapacitados LM, NTLM cifrado uso
de encriptación manera 4.LM habrá un valor hash NTLM correspondientes
Ejemplo 1: Non-libre de matar QuarksPwDump.exe exportación la herramienta valor hash locales
1. El uso de comando de entrada de terminal virtual ms15-051x64.exe (exp) cuchillo de cocina menciona el derecho a tener éxito:
C:\Windows\Temp\ms15-051x64.exe "C:\Windows\Temp\QuarksPwDump.exe --dump-hash-local"
2.AFFFEBA176210FAD4628F0524BFE1942 es la contraseña, puede obtener después de la grieta CMD5
Ejemplo 2: Uso de mimikatz contraseña de la cuenta de rastreo en texto claro
Nota: Puede agarrar la contraseña de un usuario ha aterrizado
Principio:
obtener lsass.exe proceso directamente de la contraseña a la grieta, la grieta y la manera no debe exhaustiva, sino directamente del algoritmo de cálculo inverso
lsass.exe es un proceso del sistema para el servicio de autoridad de seguridad local
1. El uso de un cuchillo de cocina mimikatz cargados en la máquina de destino C: \ Windows \ Temp \ bajo
2. Uso ms15-051x64.exe (exp) cuchillo de cocina comando de entrada de terminal virtual menciona el derecho a tener éxito:
C:\Windows\Temp\ms15-051x64.exe "C:\Windows\Temp\mimikatz.exe privilege::debug sekurlsa::logonpasswords exit"
inux, Unix sistema de adquisición de contraseña de la cuenta de inicio de sesión
La cuenta de sistema de localización de almacenamiento de contraseñas:
Contraseña: / etc / cuenta virtual: / etc / passwd
/ Etc / shadow
Ejemplo: root: $ 1 $ Bg1H / 4mz $ X89TqH7tpi9dX1B9j5YsF :. 14 838: 0: 99999: 7 :::
cuando $ 1 es 1, md5 cifrado, el cifrado es 5, utilizando el SHA256, es 6, añadirse utilizando SHA512
El crack:
John en The Ripper
Otros métodos actualizan continuamente en .........................
