Jak zrzucić plik SAM systemu Windows podczas działania systemu?

Wykorzystałem maszyny testowe przy użyciu metasploit i udało mi się uzyskać skróty z pliku SAM; Próbowałem uruchomić polecenia, SYSTEMaby je uzyskać, ale nie jestem w stanie tego zrobić. Jaka jest bardziej przenośna metoda wyodrębniania skrótów z pliku SAM?

To nie jest problem z uprawnieniami - system Windows utrzymuje wyłączną blokadę pliku SAM (który, o ile wiem, jest standardowym zachowaniem załadowanych gałęzi rejestru), więc żaden inny proces nie może go otworzyć.

Jednak najnowsze wersje systemu Windows mają funkcję o nazwie „Volume Shadow Copy”, która została zaprojektowana do tworzenia migawek całego woluminu tylko do odczytu, głównie do tworzenia kopii zapasowych. Blokady plików mają zapewnić spójność danych, więc nie są konieczne, jeśli zostanie wykonana migawka całego systemu plików. Oznacza to, że można utworzyć migawkę C:, zamontować ją, skopiować SAMplik, a następnie odrzucić migawkę.

To, jak dokładnie to zrobić, zależy od wersji systemu Windows: XP potrzebuje zewnętrznego programu, Vista i 7 vssadmin create shadow, a Server 2008 ma diskshadowpolecenie. Strona Bezpieczne wyrzucanie skrótów z kontrolerów domeny na żywo zawiera więcej szczegółów na temat tego procesu, a także instrukcje i skrypty.

Alternatywnie istnieją narzędzia, samdumpktóre nadużywają procesu LSASS z różnych kierunków w celu wyodrębnienia wszystkich skrótów haseł bezpośrednio z pamięci. Mogą być znacznie szybsze niż migawki VSS, ale wiążą się z większym ryzykiem awarii systemu.

Wreszcie Google przedstawia ten fragment kodu, którego użyteczności nie mogę ocenić, ponieważ sam nigdy nie użyłem metasploitu:

meterpreter> use priv
meterpreter> hashdump

Istnieje prostsze rozwiązanie, które nie wymaga zarządzania woluminami w tle ani korzystania z zewnętrznych narzędzi. Możesz po prostu skopiować SAM i SYSTEM za pomocą regpolecenia dostarczonego przez Microsoft (testowane na Windows 7 i Windows Server 2008):

reg save hklm\sam c:\sam
reg save hklm\system c:\system

(ostatni parametr to lokalizacja, w której chcesz skopiować plik)

Następnie możesz wyodrębnić skróty w systemie Linux za pomocą pakietu samdump2 (dostępnego w Debianie:) apt-get install samdump2:

$ samdump2 system sam
Administrator:500:aad3b435b51404eeaad3b435b51404ee:c0e2874fb130015aec4070975e2c6071:::
*disabled* Guest:501:aad3b435b51404eeaad3b435b51404ee:d0c0896b73e0d1316aeccf93159d7ec0:::

Edycja: postanowiłem edytować po wielu latach porzucenia.

Plik SAM systemu Windows jest zablokowany przed kopiowaniem / odczytem w przeciwieństwie /etc/shadow do systemów Linux. Zamiast tego obejście tego narzędzia spowoduje wyodrębnienie skrótów z pamięci.

Istnieją sposoby obejścia tego, które omówię poniżej:

Mimikatz

Uruchom mimikatz z sekurlsa::logonpasswords.

fgdump

Podobna funkcjonalność jak mimikatz. Uruchom go, a skróty zostaną zrzucone do plików lokalnych.

hashdump

Wbudowany w licznik metrów; wyodrębnia skróty z pamięci.

Rejestr

Możliwe jest również wyodrębnienie z rejestru (jeśli masz SYSTEMdostęp):

1. reg save hklm\sam %tmp%/sam.reg i reg save hklm\system %tmp%/system.reg
2. Skopiuj pliki, a następnie uruchom: samdump2 system sam

Kopie zapasowe

Plik SAM można również przechowywać w lokalizacji kopii zapasowej: C:\Windows\Repair\SAM

Powinienem również wspomnieć, że narzędzia będą wymagały co najmniej Administratoruprawnień; i większość nie otrzyma wszystkich skrótów, chyba że SYSTEMuzyskany zostanie dostęp.

Metoda Obscuresec pozwala przezwyciężyć trudności lokalnie na dowolnym komputerze z systemem Windows PowerShell 1.0. Pomija niektóre cele, które znam, ale hej, niezła robota! (dziękuję Chris).

Uwaga: Do przeprowadzenia takiej operacji zawsze potrzebne są uprawnienia administratora

Możesz użyć

http://gallery.technet.microsoft.com/scriptcenter/Get-PasswordFile-4bee091d

lub z innego źródła (nowsze mogę dodać)

https://github.com/obscuresec/PowerShell/blob/master/Get-PasswordFile

Zalecana lektura:

• http://blogs.technet.com/b/heyscriptingguy/archive/2013/07/12/using-the-windows-api-and-copy-rawitem-to-access-sensitive-password-files.aspx
• http://github.com/obscuresec/PowerShell/blob/master/Get-PasswordFile
• http://gallery.technet.microsoft.com/scriptcenter/Copy-RawItem-Reflection-38fae6d4
• http://gallery.technet.microsoft.com/scriptcenter/Get-PasswordFile-4bee091d
• http://blog.cyberis.co.uk/2011/09/remote-windows-sam-retrieval-with.html

Do przechwytywania zdalnych systemów ule SAM i SYSTEM używaj wyżej wymienionych w połączeniu z

• http://gallery.technet.microsoft.com/scriptcenter/GetRemoteSAM-b9eee22f

Chciałbym określić dodatkową metodę, która nie jest tutaj opisana, ponieważ wiele czasu w Red Teaming / Penetration Testing najbardziej oczywiste sposoby nie są dostępne (odmowa, są monitorowane przez Blue Team itp.) I miło jest znać wszystkie dostępne techniki.

Jedno z obejścia uzyskiwania dostępu do plików, które system obsługuje (nie można kopiować / usuwać jak zwykle), vssshadow.exeopisano powyżej.

Po drugie - esentutil.exe.

Dokładne polecenie, aby pobrać kopię pliku z uchwytem:

esentutl.exe /y /vss c:\windows\ntds\ntds.dit /d c:\folder\ntds.dit

Dotyczy to SAM, SYSTEMU, BEZPIECZEŃSTWA, NTDS.DIT ​​itp.

PS Jest esentutl.pyw pakiecie impacket: https://github.com/SecureAuthCorp/impacket/blob/master/examples/esentutl.py

Obraz PSS esentutl PoC