Дампинг паролей | Windows

Дата: 07.12.2020. Автор: Игорь Б. Категории: Статьи по информационной безопасности
Дампинг паролей | Windows

В этой статье пойдет речь о дампинге паролей Windows. Читатели также узнают о различных способах, с помощью которых можно сбрасывать пароли в Windows, если система является частью локальной рабочей группы.

Механизм хранения паролей

Механизм хранения паролей, начиная с создания ОС Windows, был интересен с точки зрения исследования безопасности системы. Более того, его реализация часто подвергалась критике со стороны специалистов этой сферы. Тем не менее, каждая новая версия Windows, похоже, пыталась решить эту проблему, но все еще нельзя сказать, что механизм хранения паролей Windows является одним из лучших, которые существуют в мире.

Данная статья станет кратким справочным руководством по всем механизмам дампинга паролей. Прежде чем начать, следует отметить, что на рынке есть много инструментов, которые могут помочь пользователю в этом, но ниже представлены только проверенные опытом и временем программы.

Дампинг пароля для входа в систему Windows из файла SAM

Файл SAM (Security Account Manager) — это файл базы данных Windows XP и более поздний версий, в котором хранятся пароли пользователей. Их можно использовать для аутентификации локальных и удаленных пользователей. Пароли пользователей хранятся в хешированном формате в кусте реестра (либо в виде LM-хэша, либо в виде NTLM-хэша). Его можно найти здесь: %SystemRoot%/system32/config/SAM.

Протокол LM отключен в Windows Vista и более поздних версиях по умолчанию, поскольку было доказано, что он является скомпрометированным протоколом. Технически файл SAM не может быть скопирован или перемещен во время работы Windows, так как ядро Windows получает и сохраняет неповторимую блокировку файловой системы в файле SAM и не снимет блокировку до тех пор, пока система не будет выключена. Однако копия SAM может быть получена с помощью различных методов, которые подробно описаны в этой статье.

Дампинг учетных данных | SAM

Пользователь будет использовать mimikatz, чтобы произвести дампинг файла SAM. Читатели могут скачать эту программу, перейдя по ссылке. Нужно запустить ее от имени администратора, а затем выполнить следующие команды:

privilege::debug
token::elevate
lsadump::sam
Дампинг паролей | Windows

Пользователь видит, что сбрасываются различные хэши, среди которых также указаны учетные данные нужного ему пользователя.

В данном случае нужный пользователь – это raj, а пароль от Windows — 123. Пользователь успешно получил хэш NTLM и может взломать его с помощью различных инструментов взлома паролей, таких как john или hashcat.

Дампинг паролей | Windows

Пользуясь онлайн взломщиком NTLM, пользователь способен успешно взломать только что полученный хэш NTLM.

Дампинг паролей | Windows

Следует отметить, что пароли даже после того, как они хэшируются, не сохраняются в том виде, в каком они есть изначально. Они дважды шифруются с помощью куста реестра SAM. Части ключей шифрования остаются в кусте системного реестра.

В Windows 7 используется шифрование RC4, которое уже устарело. Следовательно, Mimikatz применяется для сброса хэшей в открытом текстовом файле. Однако с тех пор, как вышло обновление Windows 10 Anniversary Update v1607, Microsoft использует шифр AES-128 для шифрования данных. Этот апдейт сделал многие инструменты сброса паролей также устаревшими. Уже достаточное количество инструментов были обновлены для решения данной проблемы, как и сам Mimikatz. Однако он иногда не может предоставить пользователю четкий текстовый дамп паролей и хэши.

Дампинг сети Windows, RDP и браузера с помощью диспетчера учетных данных

Диспетчер учетных данных Windows — это место, где хранятся пароли от Edge и самой Windows. Любые пароли сетевого протокола, OneDrive, RDP, логина находятся также здесь. Более того, эти пароли можно легко взломать. В данной статье пользователь будет применять в основном mimikatz. Он может получить доступ к диспетчеру учетных данных, перейдя по следующему пути: Панель управления → Учетные записи пользователей→ Диспетчер учетных данных. Ниже на картинке читатели могут увидеть, что учетные данные для страницы Facebook хранятся в системе и их легко можно просмотреть.

Дампинг учетных данных | Диспетчер учетных данных Windows

Дампинг паролей | Windows

Сохраненные пароли для входа в систему будут видны следующим образом:

Дампинг паролей | Windows

Пользователь может сбросить эти учетные данные с помощью специальных команд для mimikatz:

privilege::debug
sekurlsa::credman

Теперь читатели могут увидеть, что для пользователя harshit подходит пароль 1234.

Дампинг паролей | Windows

Помимо этого, пользователь способен использовать lazagne, еще один полезный инструмент, который можно скачать, если перейти по этой ссылке.

Чтобы запустить lazagne, следует ввести следующую команду:

lazagne.exe all
Дампинг паролей | Windows

Терминал также может содержать сохраненный пароль RDP. Чтобы просмотреть сохраненные пароли RDP, следует обратить свое внимание на приведенный ниже скриншот:

Дампинг паролей | Windows

Что провести дампинг сохраненных паролей RDP, пользователь применяет NirSoft’s Network Password Recovery. Эту программу можно скачать здесь.

Дампинг паролей | Windows

Отлично! Успешный дампинг паролей RDP осуществлен.

Дампинг паролей для автоматического входа в систему Windows

Windows имеет специальную функцию, которая позволяет пользователям произвести автоматический вход в систему. Хотя эта функция очень удобна, ее недостаток заключается в том, что она также может быть сброшена. Для начала нужно настроить автоматический вход в Windows, а затем попробовать сбросить его. Чтобы добраться до меню, которое может помочь в этом, следует вести в строке запроса следующее:

control userpasswords2
Дампинг паролей | Windows

После успешного выполнения команды перед пользователем появится следующее окно:

Дампинг паролей | Windows

Чтобы включить автоматический вход в учетную запись, он просто снимает первый флажок, который был по умолчанию установлен.

Дампинг паролей | Windows

Когда пользователь нажмет на кнопку «Применить», он увидит окно, в котором ему придется еще раз ввести пароль. После заполнения этих данных нужно перезапустить компьютер, чтобы убедиться, что автоматический вход теперь работает.

Дампинг паролей | Windows

Теперь, чтобы сбросить пароль для автоматического входа в систему, пользователь будет использовать приложение, разработанное компанией NirSoft под названием Network Password Recovery. Его можно скачать здесь.

Пользователь запускает приложение. Все готово к дампингу.

Дампинг паролей | Windows

Обратите внимание, что программа сбросила учетные данные только текущего пользователя, поскольку одновременно только один пользователь может быть автоматически зарегистрирован.

Дампинг паролей Windows с помощью процессов LSASS

LSASS (Local Security Authority Subsystem Service) — это процесс в операционных системах Microsoft Windows, который отвечает за применение политики безопасности в системе. Он проверяет вход пользователей в компьютер или на сервер Windows, обрабатывает изменения паролей и создает маркеры доступа. Он также записывает данные в журнал безопасности Windows. Когда пользователь пытается локально войти в систему, введя имя пользователя и его пароль в диалоговом окне входа в систему, процесс входа вызывает LSA, который передает учетные данные пользователя менеджеру учетных записей безопасности (SAM). Последний же управляет информацией об учетной записи, хранящейся в локальной базе данных SAM.

SAM сравнивает учетные данные пользователя с информацией об учетной записи в своей базе данных, чтобы понять, имеет ли пользователь право получить доступ к системе. Если он находит информацию об учетной записи пользователя в базе данных SAM, SAM аутентифицирует пользователя. Он создает сеанс входа в систему и возвращает идентификатор безопасности пользователя (SID) и SID глобальных групп, членом которых и является сам пользователь в LSA.

Затем LSA предоставляет пользователю маркер доступа, содержащий индивидуальные и групповые идентификаторы SID — они позволяют пользователю получить доступ к ресурсам, для которых у него есть разрешения.

Интересно, что LSA может быть сброшен, а пароли могут быть извлечены из текущего сеанса. Чтобы продемонстрировать это, пользователь сначала узнает, как создать LSAdump вручную.

Ему нужно перейти в Диспетчер задач и найти там файл lsass.exе. Он щелкнет правой кнопкой мыши, чтобы создать файл дампа.

Дампинг учетных данных | Local Security Authority (LSA|LSASS.EXE)

Дампинг паролей | Windows

Можно сохранить этот файл дампа в любом месте. В данном случае пользователь сохранил его во временном каталоге, но пока он выполняет команду, следует скопировать его в C:\users\raj\Desktop\lsass.DMP.

Дампинг паролей | Windows

Теперь, пользователь откроет Mimikatz и введет следующие команды:

privilege::debug
sekurlsa::minidump C:\Users\raj\Desktop\lsass.DMP
sekurlsa::logonpasswords
Дампинг паролей | Windows

И, конечно же, он получает хэшированный пароль из файла дампа LSA.

Дампинг паролей | Windows

Еще один способ произвести дамп хэшей от LSA является метод Patch. Чтобы осуществить его, нужно выполнить следующие команды:

privilege::debug
lsadump::lsa /patch
Дампинг паролей | Windows

Этот хэш такой же, как и ранее полученный пользователем, когда он использовал метод 1. Следовательно, пароль – это 123.

Дампинг паролей Windows с помощью протокола WDigest

WDigest – это протокол вызова/ответа дайджест-аутентификации, который в основном использовался в Windows Server 2003 для LDAP и веб-аутентификации. Он применяет обмен HTTP и SSL для осуществления аутентификации. Работает это следующим образом:

  • Клиент → (запрашивает доступ) → Сервер аутентификации
  • Сервер аутентификации → (получает запрос) → Клиент
  • Клиент → (шифрует свой ответ ключом, полученным из пароля) → Сервер аутентификации
  • Сервера аутентификации → (сравнивает ответ с сохраненным ответом) → Определяет, ввел ли клиент правильный пароль или нет

Чтобы сбросить пароли с помощью этого метода нужно запустить Mimikatz от имени администратора и ввести следующие команды:

privilege::debug
sekurlsa::wdigest
Дампинг паролей | Windows

Следует отметить, что WDigest появился в Windows 7 и по умолчанию был отключен в Windows 10, но не удален полностью. Итак, чтобы выполнить эту практическую работу на машине с ОС Windows 10, сначала нужно активировать WDigest. Пользователь может сделать это двумя способами:

Метод командной строки

reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1
gpupdate /force

Метод ввода данных вручную

Чтобы осуществить это, придется перейти по следующему пути в кусте реестра:

HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\Wdigest

Пользователь щелкнет правой кнопкой мыши, потом выберет «Создать» → «Добавить D-слово» → «UseLogonCredential».

Затем он изменит ключ и установит его значение равное 1.

blank

После этого необходимо обновить групповую политику:

gpupdate /force

Пользователь перезапустит компьютер.

После успешной перезагрузки, запустив Mimikatz и выполнив следующие команды, пользователь получит другой результат:

privilege::debug
sekurlsa::wdigest
blank

Дампинг паролей Wi-Fi в Windows с помощью netsh

Все пароли от сетей Wi-Fi с соответствующим SSID хранятся в XML-файле в указанном месте:

C:\ProgramData\Microsoft\Wlansvc\Profiles\Interfaces\***

Netsh — это утилита сценариев командной строки, которая позволяет отображать или изменять сетевую конфигурацию компьютера, работающего в данный момент. Команды Netsh можно активировать, вводя их в командной строке Netsh. Они могут использоваться в пакетных файлах или сценариях. Пароль от беспроводной сети может быть сброшен с помощью различных методов.

Дампинг учетных данных | Wi-Fi

Чтобы получить список SSID, к которым было подключено устройство, используется следующая команда:

netsh wlan show profiles
blank

И в результате ввода приведенной выше команды можно увидеть названия сетей Wi-Fi, к которым система была подключена в прошлом или подключена сейчас (Meterpreter, Linuxlab). Это продемонстрировано на изображении выше.

Далее, чтобы узнать пароли любого из упомянутых SSID, следует использовать следующую команду:

netsh wlan show profile name=<SSID Name> key=clear
blank

Ввод приведенной выше команды предоставит вам все доступные пароли. Это четко видно на изображении.

Автор переведенной статьи: Harshit Rajpal.

Важно! Информация исключительно в учебных целях. Пожалуйста, соблюдайте законодательство и не применяйте данную информацию в незаконных целях.

Игорь Б

Об авторе Игорь Б

Автор на портале cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора Игорь Б

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *