入門
攻撃者権限が通常、彼らがバックドアに移植された後、サーバーを取得するには、現在の権利を維持するためにバックドア技術の一部を使用して、サーバーを取得する場合は、その後、次回は、攻撃者がより便利に入ります
目的
攻撃が発見できたので、特権を維持するためにバックドアを残すことが必要であるので、目標の喪失につながる、連続制御の目的を見つけたウェブシェルをクリアされる前にポストを取得するかもしれません
取得システムログインアカウントのパスワード
窓収集システムのログインアカウントのパスワード
Windowsのシステムアカウントのパスワードの保管場所:
C:\ WINDOWS \ System32に\ CONFIG \ SAM
窓のパスワード認証の原則:
オンWindowsシステムでは、ハッシュ暗号化後のSAM(セキュリティアカウントマネージャ、セキュリティアカウント管理)メカニズム、ユーザーアカウントとパスワードを使用して、ユーザーアカウントのセキュリティ管理は、SAMデータベースに格納されています。
Cに保存されたSAMデータベース:\ WINDOWS \ SYSTEM32 \ CONFIG \ SAMのファイルは、ユーザーがシステムにログインしたときに、私たちが最初にログインする前に経由確認し、SAMファイルに保存されているアカウント情報と比較されなければなりません。SAMファイルシステムは、直接ではなく内容を読むことができない、それをコピーまたは削除、保護を提供します。
SAMファイルの暗号化:
1.LMの暗号化:Windows2003の前に、Win2003のシステムを含む
2.NTLMの暗号化:Windowsシステム2003年以降
LMとNTLMハッシュ暗号化をベースにしていますが、そのセキュリティ・メカニズムとセキュリティ強度に違いがある、LMパスワードハッシュされていますセキュリティが比較的貧弱です。非常に少数の人々があったものの前Windows2kへのシステムの古いバージョンを使用しますが、下位互換性を維持するために、デフォルトでは、システムは、まだユーザパスワードは、SAMデータベースに保存されているこれら2つのメカニズムを使用して暗号化されます。
差:
0のLM暗号化、14パスワードまで、パスワードが14未満であれば、以下いくつかのパディングではなく、全ては、その後、一緒にスプライシング、暗号化された各グループにおいて7、大文字に変換され、次いで、2つのグループに分けそれは本質的に、究極のLMハッシュ、DES暗号化です。
NTLMの暗号化、最初のUnicodeエンコーディングにユーザパスワード、その後、暗号化された一方向ハッシュMD4標準。
それは長いNTLM暗号化されたパスワードを使用することができますので、LMは、多くの異なる敏感でなく、より小さく、より簡単に割れたブロックにパスワードなしでできるように、NTLMの暗号化セキュリティ暗号化よりも低いです。純粋な環境でのNTLMだから、あなたが暗号化蘭Managerをオフにする必要があります
SAMファイルの内容を取得します:
サム・パスワードを取得する方法
1.非フリー版のツール:wce.exe、QuarksPwDump.exe、Pwdump7.exe、gethash.exe、mimikatz
2.無料版:
2.1エクスポートレジストリハッシュ:
コマンドを
reg save hklm\sam C:\hash\sam.hive
reg save hklm\system C:\hash\system.hiveエクスポートされたファイルのダウンロード後、亀裂の使用Pwdump7
2.2エクスポートSAMファイル
、シャドウコピー(一般的に数万ユーザーを持つドメインコントローラの場合)
2.3他の方法の
procdump(またはlsadump)+ mimikatz
PowerShellの+ mimikatz
のPowerShell + getpasshash
PowerShellの+その他のツール
クラックは、パスワード
オンラインが割れ1.
http://www.objectif-securite.ch/en/ophcrack.php
http://cmd5.com
https://somd5.com
2.ローカルクラック(ブルートフォース)
カイン:LM暗号化
NTLMを暗号化:ophcrack +レインボーテーブル(レインボーテーブルをダウンロードします。http://ophcrack.sourceforge.net/tables.php)
注
パスワードが14より大きい場合、Windowsは自動的にNTLMを使用して暗号化されます1.LMのみ未満格納または14文字のパスワードハッシュに等しくすることができる、唯一の対応NTLMハッシュが利用可能で、LM-パスワードがいっぱいになります0ディスプレイ。
通常の状況のハッシュ下で2をエクスポートに使用するツールは、対応するLMとNTLM値を持ち、この手段パスワード<= 14の数は、その後、値LMがあることを、LMは、古いバージョンでは、外に加えて、0 LMを参照してください。それは14の上にaad3b435b51404eeaad3b435b51404eeパスワードを開始することで、空白や表示桁数を表し
WIN2K3がシステムWIN2K3無効LMの暗号化、利用NTLM暗号化した後、WIN2K3 LM暗号化はデフォルトで有効に含む前3
4.LMウェイの暗号化対応するNTLMハッシュ値が存在します
例1:ローカルハッシュ値ツールQuarksPwDump.exeの輸出を殺すために非フリー
ms15-051x64.exe(EXP)包丁仮想端末入力コマンドを使用する1.が成功する権利を言及します:
C:\Windows\Temp\ms15-051x64.exe "C:\Windows\Temp\QuarksPwDump.exe --dump-hash-local"
2.AFFFEBA176210FAD4628F0524BFE1942がパスワードである、あなたはCMD5亀裂後に取得することができます
例2:クリアテキストでmimikatzクロールアカウントのパスワードを使用します
注:ユーザーのパスワードをつかむことができ上陸しました
原則:
クラックへのパスワード情報から直接LSASS.EXEのプロセスを取得し、亀裂べき網羅的ではない方法ではなく、直接、逆計算アルゴリズムから
lsass.exeをローカルセキュリティ機関サービスのためのシステムプロセスです
\ WINDOWS \一時\の下で:ターゲットマシンのCにアップロード包丁mimikatzを使用して1
2. ms15-051x64.exe(EXP)包丁仮想端末入力コマンドが成功する権利を言及します:
C:\Windows\Temp\ms15-051x64.exe "C:\Windows\Temp\mimikatz.exe privilege::debug sekurlsa::logonpasswords exit"
inux、UNIX収集システムのログインアカウントのパスワード
システムアカウントパスワードの保管場所:
パスワード:の/ etc / shadowのアカウント:/ etc / passwdファイル
の/ etc /シャドウ
例:ルート:$ 1 $ Bg1H / 4mz $ X89TqH7tpi9dX1B9j5YsF :. 14838:0:99999:7 :::
$ 1が1である場合、MD5暗号化し、暗号化は、6であり、SHA256を使用して、5 SHA512を使用して追加します
亀裂:
ザ・リッパージョン
他の方法は、継続的に更新さ.........................
