Zine.net online

Witaj na Zine.net online Zaloguj się | Rejestracja | Pomoc
w Szukaj

mgrzeg.net - Admin on Rails :)

Odzyskiwanie haseł zalogowanych użytkowników z pamięci lsass

W standardowej instalacji Windows 7 (a także Windows 8 oraz wersjach serwerowych, nie wspominając o wcześniejszych edycjach Windows) podczas logowania do systemu nasze hasło przechodzi w postaci jawnej przez kilka authentication i security packages (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SecurityPackages) oraz zostaje przez nie zapisane w pamięci procesu w postaci zaszyfrowanej i pozostaje tam przez cały czas życia sesji użytkownika. I oczywiście nic nie stoi na przeszkodzie, żeby te hasła odczytać i odszyfrować - lsass zrobi to grzecznie za nas. A jedyne, do czego musimy mieć dostęp (do odczytu), to pamięć procesu lsass.exe - możemy skorzystać bezpośrednio z pamięci fizycznej w działającym systemie, lub zapisanej na dysku w postaci zrzutu (tu możemy plik skopiować na inną maszynę z tym samym systemem i tam odczytać). A jako że pisałem już o zabawach z LSASS wielokrotnie i opisywałem cały mechanizm w szczegółach, to podam tylko dwa linki:

- Prezentacja Pauli Januszkiewicz na TechEd 2013
- Mimikatz by Benjamin Delpy

A więc dbajcie o swoje dumpy i dostęp do pamięci lsass, bo hasełka tylko czekają na odpowiedni moment, żeby się zaprezentować w pełnej krasie ;)

EDIT: Na tegorocznym MTS (1 dzień konferencji, między 14.00 a 15.00) Paula poprowadzi wspomnianą prezentację poświęconą hasłom, więc jest jeszcze okazja porozmawiać o pass-the-hash z odpowiednią osobą :) Ja również będę na tej sesji i z ogromną przyjemnością obejrzę całą prezentację 'na żywca' :)

Opublikowane 5 września 2013 13:12 przez mgrzeg
Filed under: ,

Powiadamianie o komentarzach

Jeżeli chciałbyś otrzymywać email gdy ta wypowiedź zostanie zaktualizowana, to zarejestruj się tutaj

Subskrybuj komentarze za pomocą RSS

Komentarze:

 

gt said:

Nie bądź taki skromny i napisz jasno, że i do prezentacji Pauli i do Mimikatza dołożyłeś naprawdę niemało od siebie. :)

września 5, 2013 16:18
 

mgrzeg said:

@gt: oj tam, oj tam, mojego udziału jest tyle, co kot napłakał :) Ale fakt - brakuje czegoś w tekście i czas to dopisać :)

września 5, 2013 16:54

Co o tym myślisz?

(wymagane) 
(opcjonalne)
(wymagane) 

  
Wprowadź kod: (wymagane)
Wyślij

Subskrypcje

W oparciu o Community Server (Personal Edition), Telligent Systems