В этой статье пойдет речь о дампинге паролей Windows. Читатели также узнают о различных способах, с помощью которых можно сбрасывать пароли в Windows, если система является частью локальной рабочей группы.
Механизм хранения паролей
Механизм хранения паролей, начиная с создания ОС Windows, был интересен с точки зрения исследования безопасности системы. Более того, его реализация часто подвергалась критике со стороны специалистов этой сферы. Тем не менее, каждая новая версия Windows, похоже, пыталась решить эту проблему, но все еще нельзя сказать, что механизм хранения паролей Windows является одним из лучших, которые существуют в мире.
Данная статья станет кратким справочным руководством по всем механизмам дампинга паролей. Прежде чем начать, следует отметить, что на рынке есть много инструментов, которые могут помочь пользователю в этом, но ниже представлены только проверенные опытом и временем программы.
Дампинг пароля для входа в систему Windows из файла SAM
Файл SAM (Security Account Manager) — это файл базы данных Windows XP и более поздний версий, в котором хранятся пароли пользователей. Их можно использовать для аутентификации локальных и удаленных пользователей. Пароли пользователей хранятся в хешированном формате в кусте реестра (либо в виде LM-хэша, либо в виде NTLM-хэша). Его можно найти здесь: %SystemRoot%/system32/config/SAM.
Протокол LM отключен в Windows Vista и более поздних версиях по умолчанию, поскольку было доказано, что он является скомпрометированным протоколом. Технически файл SAM не может быть скопирован или перемещен во время работы Windows, так как ядро Windows получает и сохраняет неповторимую блокировку файловой системы в файле SAM и не снимет блокировку до тех пор, пока система не будет выключена. Однако копия SAM может быть получена с помощью различных методов, которые подробно описаны в этой статье.
Дампинг учетных данных | SAM
Пользователь будет использовать mimikatz, чтобы произвести дампинг файла SAM. Читатели могут скачать эту программу, перейдя по ссылке. Нужно запустить ее от имени администратора, а затем выполнить следующие команды:
privilege::debug
token::elevate
lsadump::sam
Пользователь видит, что сбрасываются различные хэши, среди которых также указаны учетные данные нужного ему пользователя.
В данном случае нужный пользователь – это raj, а пароль от Windows – 123. Пользователь успешно получил хэш NTLM и может взломать его с помощью различных инструментов взлома паролей, таких как john или hashcat.
Пользуясь онлайн взломщиком NTLM, пользователь способен успешно взломать только что полученный хэш NTLM.
Следует отметить, что пароли даже после того, как они хэшируются, не сохраняются в том виде, в каком они есть изначально. Они дважды шифруются с помощью куста реестра SAM. Части ключей шифрования остаются в кусте системного реестра.
В Windows 7 используется шифрование RC4, которое уже устарело. Следовательно, Mimikatz применяется для сброса хэшей в открытом текстовом файле. Однако с тех пор, как вышло обновление Windows 10 Anniversary Update v1607, Microsoft использует шифр AES-128 для шифрования данных. Этот апдейт сделал многие инструменты сброса паролей также устаревшими. Уже достаточное количество инструментов были обновлены для решения данной проблемы, как и сам Mimikatz. Однако он иногда не может предоставить пользователю четкий текстовый дамп паролей и хэши.
Дампинг сети Windows, RDP и браузера с помощью диспетчера учетных данных
Диспетчер учетных данных Windows — это место, где хранятся пароли от Edge и самой Windows. Любые пароли сетевого протокола, OneDrive, RDP, логина находятся также здесь. Более того, эти пароли можно легко взломать. В данной статье пользователь будет применять в основном mimikatz. Он может получить доступ к диспетчеру учетных данных, перейдя по следующему пути: Панель управления → Учетные записи пользователей→ Диспетчер учетных данных. Ниже на картинке читатели могут увидеть, что учетные данные для страницы Facebook хранятся в системе и их легко можно просмотреть.
Дампинг учетных данных | Диспетчер учетных данных Windows
Сохраненные пароли для входа в систему будут видны следующим образом:
Пользователь может сбросить эти учетные данные с помощью специальных команд для mimikatz:
privilege::debug
sekurlsa::credman
Теперь читатели могут увидеть, что для пользователя harshit подходит пароль 1234.
Помимо этого, пользователь способен использовать lazagne, еще один полезный инструмент, который можно скачать, если перейти по этой ссылке.
Чтобы запустить lazagne, следует ввести следующую команду:
lazagne.exe all
Терминал также может содержать сохраненный пароль RDP. Чтобы просмотреть сохраненные пароли RDP, следует обратить свое внимание на приведенный ниже скриншот:
Что провести дампинг сохраненных паролей RDP, пользователь применяет NirSoft’s Network Password Recovery. Эту программу можно скачать здесь.
Отлично! Успешный дампинг паролей RDP осуществлен.
Дампинг паролей для автоматического входа в систему Windows
Windows имеет специальную функцию, которая позволяет пользователям произвести автоматический вход в систему. Хотя эта функция очень удобна, ее недостаток заключается в том, что она также может быть сброшена. Для начала нужно настроить автоматический вход в Windows, а затем попробовать сбросить его. Чтобы добраться до меню, которое может помочь в этом, следует вести в строке запроса следующее:
control userpasswords2
После успешного выполнения команды перед пользователем появится следующее окно:
Чтобы включить автоматический вход в учетную запись, он просто снимает первый флажок, который был по умолчанию установлен.
Когда пользователь нажмет на кнопку «Применить», он увидит окно, в котором ему придется еще раз ввести пароль. После заполнения этих данных нужно перезапустить компьютер, чтобы убедиться, что автоматический вход теперь работает.
Теперь, чтобы сбросить пароль для автоматического входа в систему, пользователь будет использовать приложение, разработанное компанией NirSoft под названием Network Password Recovery. Его можно скачать здесь.
Пользователь запускает приложение. Все готово к дампингу.
Обратите внимание, что программа сбросила учетные данные только текущего пользователя, поскольку одновременно только один пользователь может быть автоматически зарегистрирован.
Дампинг паролей Windows с помощью процессов LSASS
LSASS (Local Security Authority Subsystem Service) — это процесс в операционных системах Microsoft Windows, который отвечает за применение политики безопасности в системе. Он проверяет вход пользователей в компьютер или на сервер Windows, обрабатывает изменения паролей и создает маркеры доступа. Он также записывает данные в журнал безопасности Windows. Когда пользователь пытается локально войти в систему, введя имя пользователя и его пароль в диалоговом окне входа в систему, процесс входа вызывает LSA, который передает учетные данные пользователя менеджеру учетных записей безопасности (SAM). Последний же управляет информацией об учетной записи, хранящейся в локальной базе данных SAM.
SAM сравнивает учетные данные пользователя с информацией об учетной записи в своей базе данных, чтобы понять, имеет ли пользователь право получить доступ к системе. Если он находит информацию об учетной записи пользователя в базе данных SAM, SAM аутентифицирует пользователя. Он создает сеанс входа в систему и возвращает идентификатор безопасности пользователя (SID) и SID глобальных групп, членом которых и является сам пользователь в LSA.
Затем LSA предоставляет пользователю маркер доступа, содержащий индивидуальные и групповые идентификаторы SID – они позволяют пользователю получить доступ к ресурсам, для которых у него есть разрешения.
Интересно, что LSA может быть сброшен, а пароли могут быть извлечены из текущего сеанса. Чтобы продемонстрировать это, пользователь сначала узнает, как создать LSAdump вручную.
Ему нужно перейти в Диспетчер задач и найти там файл lsass.exе. Он щелкнет правой кнопкой мыши, чтобы создать файл дампа.
Дампинг учетных данных | Local Security Authority (LSA|LSASS.EXE)
Можно сохранить этот файл дампа в любом месте. В данном случае пользователь сохранил его во временном каталоге, но пока он выполняет команду, следует скопировать его в C:\users\raj\Desktop\lsass.DMP.
Теперь, пользователь откроет Mimikatz и введет следующие команды:
privilege::debug
sekurlsa::minidump C:\Users\raj\Desktop\lsass.DMP
sekurlsa::logonpasswords
И, конечно же, он получает хэшированный пароль из файла дампа LSA.
Еще один способ произвести дамп хэшей от LSA является метод Patch. Чтобы осуществить его, нужно выполнить следующие команды:
privilege::debug
lsadump::lsa /patch
Этот хэш такой же, как и ранее полученный пользователем, когда он использовал метод 1. Следовательно, пароль – это 123.
Дампинг паролей Windows с помощью протокола WDigest
WDigest – это протокол вызова/ответа дайджест-аутентификации, который в основном использовался в Windows Server 2003 для LDAP и веб-аутентификации. Он применяет обмен HTTP и SSL для осуществления аутентификации. Работает это следующим образом:
- Клиент → (запрашивает доступ) → Сервер аутентификации
- Сервер аутентификации → (получает запрос) → Клиент
- Клиент → (шифрует свой ответ ключом, полученным из пароля) → Сервер аутентификации
- Сервера аутентификации → (сравнивает ответ с сохраненным ответом) → Определяет, ввел ли клиент правильный пароль или нет
Чтобы сбросить пароли с помощью этого метода нужно запустить Mimikatz от имени администратора и ввести следующие команды:
privilege::debug
sekurlsa::wdigest
Следует отметить, что WDigest появился в Windows 7 и по умолчанию был отключен в Windows 10, но не удален полностью. Итак, чтобы выполнить эту практическую работу на машине с ОС Windows 10, сначала нужно активировать WDigest. Пользователь может сделать это двумя способами:
Метод командной строки
reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1
gpupdate /force
Метод ввода данных вручную
Чтобы осуществить это, придется перейти по следующему пути в кусте реестра:
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\Wdigest
Пользователь щелкнет правой кнопкой мыши, потом выберет «Создать» → «Добавить D-слово» → «UseLogonCredential».
Затем он изменит ключ и установит его значение равное 1.
После этого необходимо обновить групповую политику:
gpupdate /force
Пользователь перезапустит компьютер.
После успешной перезагрузки, запустив Mimikatz и выполнив следующие команды, пользователь получит другой результат:
privilege::debug
sekurlsa::wdigest
Дампинг паролей Wi-Fi в Windows с помощью netsh
Все пароли от сетей Wi-Fi с соответствующим SSID хранятся в XML-файле в указанном месте:
C:\ProgramData\Microsoft\Wlansvc\Profiles\Interfaces\***
Netsh — это утилита сценариев командной строки, которая позволяет отображать или изменять сетевую конфигурацию компьютера, работающего в данный момент. Команды Netsh можно активировать, вводя их в командной строке Netsh. Они могут использоваться в пакетных файлах или сценариях. Пароль от беспроводной сети может быть сброшен с помощью различных методов.
Дампинг учетных данных | Wi-Fi
Чтобы получить список SSID, к которым было подключено устройство, используется следующая команда:
netsh wlan show profiles
И в результате ввода приведенной выше команды можно увидеть названия сетей Wi-Fi, к которым система была подключена в прошлом или подключена сейчас (Meterpreter, Linuxlab). Это продемонстрировано на изображении выше.
Далее, чтобы узнать пароли любого из упомянутых SSID, следует использовать следующую команду:
netsh wlan show profile name=<SSID Name> key=clear
Ввод приведенной выше команды предоставит вам все доступные пароли. Это четко видно на изображении.
Автор переведенной статьи: Harshit Rajpal.
Важно! Информация исключительно в учебных целях. Пожалуйста, соблюдайте законодательство и не применяйте данную информацию в незаконных целях.
ЧИТАТЬ ВСЕ СТАТЬИ НА САЙТЕ | ПОДПИСЫВАЙТЕСЬ НА НАШ TELEGRAM КАНАЛ
