В этой статье говорится об атаке на домен с помощью Domain Cache Credential и упоминаются различные методы извлечения хэшей паролей за счет использования данных пользователей.
Содержание
- Domain Cache credential
- Metasploit
- Impacket
- Mimikatz
- PowerShell Empire
- Koadic
- Скрипт Python
Domain Cache credential (DCC2)
Microsoft Windows хранит информацию о данных для входа предыдущих пользователей локально, чтобы они могли зайти в систему, если сервер регистрации будет недоступен во время последующих попыток входа. Это процесс известен как Domain Cache credential (DCC), но, на самом деле, он также еще называется MS CACHE или mscash hash. Система сортирует хэши паролей пользователей, чтобы невозможно было выполнить атаки pass-the-hash. Используется алгоритм MS CACHE для генерации хэшей пароля, которые хранятся локально в реестре Windows. По умолчанию сохраняются последние 10 хэшей.
Существует две версии MS CASH/MS CACHE или DCC:
- MSCACHEV1 или DCC1, применяемые до появления Vista Server 2003
- MSCACHEV2 или DCC2, применяемые после появления Vista Server 2003
Пошаговый разбор действий
Metasploit
Metasploit помогает пентестеру извлечь сохраненные хэши путем использования MSCACHE, где они хранятся. Этот модуль использует реестр для извлечения сохраненных хэшей домена, которые были кэшированы в результате настройки объектов групповой политики (GPO). По умолчанию в Windows хранятся последние десять успешных входов в систему.
use post/windows/gather/cachedump
set session 2
exploit
В результате сбрасываются хэши паролей, и информация будет извлечена из DCC2/MSCACHE, как показано на картинке ниже.
Impacket
Этот хэш может быть извлечен с помощью библиотек Python Impacket, где внутри реестра хранятся необходимые системные и защитные файлы. С помощью следующей команды можно заполучить эти файлы из реестра и сохранить их на локальном компьютере.
reg save hklm\system c:\system
reg save hklm\security c:\secuirt
Далее скопировать системные файлы безопасности на тот компьютер, где установлен Impacket. В данном случае их скопировали на Kali Linux и вводятся следующие команды для извлечения хэшей DCC2/MSCACHE:
python secretsdump.py -security -system system LOCAL
Ура! Хэши DCC2/MSCACHEv2 получены.
Mimikatz
Как известно, Mimikatz является одним из лучших инструментов тестирования для проникновения и сброса учетных данных Windows. Таким образом, можно получить хэши DCC2 / MSCACHEv2 с помощью Mimikatz, установив ее на скомпрометированный хост и выполнив следующую команду:
privilege::debug
token::elevate
lsadump::cache
И вновь хэши MSCACHEv2 появятся на экране.
PowerShell Empire
Переходим к следующему способу: PowerShell Empire оснащен модулем, который извлекает хэши MSCACHEV2 из внутреннего реестра скомпрометированной машины. Итак, стоит загрузить и запустить Empire на локальной машине и скомпрометировать хост-машину всего один раз, чтобы воспользоваться модулем Empire Post, а затем нужно ввести следующие команды:
usemodule credentails/mimikatz/cache
set agent <agent_id>
execute
И снова хэши MSCACHEv2 будут на экране.
Koadic
Точно так же, как PowerShell Empire, есть возможность использовать Koadic для извлечения хэшей DCC2. Прочитать больше о нем можно здесь. Запускается следующий модуль для получения хэшей:
use mimikatz_dotnet2js
set MIMICMD lsadump::cache
Опять хэши MSCACHEv2 показаны на экране.
Скрипт Python
Как и Impacket, пользователь может скачать скрипт MSCACHEV2 python для извлечения сохраненных хэшей. Это можно сделать с помощью github, а затем применить данные о системных файлах безопасности.
python mscache.py –security /root/Desktop/security –system /root/Desktop/system
И вновь хэши MSCACHEv2 будут на экране.
Взлом DCC 2 или MACHACHE2/MSCASH2
Давно известно, что эти хэши не используются в атаках pass-the-hash, поэтому не стоит использовать программу John the Ripper, чтобы получить их.
john --format=mscasch2 --wordlist=/usr/share/wordlists/rockyou.txt mhash
В результате пароль получен в виде определенного текста для данного хэш-файла. Поэтому не нужно путать хэши DCC2 с хэшами mscachev2/mscash — это, по сути, одно и то же. Можно использовать вышеописанный метод в обоих случаях.
Автор переведённой статьи: Raj Chandel, директор отдела по написанию статей по хакерству. Он известный «проповедник» безопасности. В его работах исследуются новые способы как наступательных, так и оборонительных средств безопасности, а также уделяется внимание компьютерной безопасности, эксплуатации Linux и Windows, беспроводной безопасности, компьютерной криминалистике, защите и эксплуатации веб-приложений, тестированию проникновения в сеть. Будучи энтузиастом в сфере информационной безопасности, Raj Chandel рад поделиться своими знаниями со всеми заинтересованными хакерами.