web-dev-qa-db-fra.com

Comment vider le fichier Windows Sam pendant que le système est en cours d'exécution?

J'ai exploité des machines à tester à l'aide de Metasploit et a été capable d'obtenir les hachages du fichier SAM; J'ai essayé des commandes en cours d'exécution comme SYSTEM pour les obtenir mais je suis incapable de le faire. Quelle est une méthode plus portable pour extraire les hachages du fichier SAM?

windowssecuritypasswords
14
user100059

EDIT: J'ai décidé de modifier après de nombreuses années d'abandon.

Le fichier Windows Sam est verrouillé de la copie/lecture contrairement à/etc/shadow sur les systèmes Linux. Au lieu de cela, pour contourner ces outils extraire des hachages de la mémoire.

Il y a des moyens de contourner cela que je vais couvrir ci-dessous:

Mimikatz

Exécuter Mimikatz avec sekurlsa::logonpasswords.

fgdump

Fonctionnalité similaire comme Mimikatz. Exécutez-le et les hachages seront largués dans des fichiers locaux.

hashdump

Intégré à Meterpreter; extrait les hachages de la mémoire.

Enregistrement

Il est également possible d'extraire du registre (si vous avez SYSTEM Accès):

  1. reg save hklm\sam %tmp%/sam.reg et reg save hklm\system %tmp%/system.reg
  2. Copiez les fichiers, puis exécutez: samdump2 system sam

Sauvegardes

Le fichier SAM peut également être stocké dans un emplacement de sauvegarde: C:\Windows\Repair\SAM

Je devrais également mentionner que les outils nécessiteront au minimum Administrator privilèges; Et la plupart ne recevront pas tous les hatus sauf si SYSTEM l'accès est atteint.

5
user100059

Ce n'est pas un problème d'autorisation - Windows conserve un verrou exclusif sur le fichier SAM (qui, autant que je sache, est un comportement standard pour les ruches de registre chargées), il est donc impossible pour tout autre processus de l'ouvrir.

Toutefois, les versions Windows récentes ont une fonctionnalité appelée "Volume Shadow Copy", qui est conçue pour créer des instantanés en lecture seule du volume total, principalement pour les sauvegardes. Les verrouillons de fichiers sont là pour assurer la cohérence des données. Ils sont donc inutiles si un instantané de l'ensemble du système de fichiers est effectué. Cela signifie qu'il est possible de créer un instantané de C:, montez-le, copiez votre fichier SAM, puis jetez l'instantané.

Comment faire exactement cela dépend de votre version Windows: XP a besoin d'un programme externe, Vista et 7 ont vssadmin create shadow et Server 2008 possède la commande diskshadow. La page Dumping en toute sécurité des hayes de contrôleurs de domaine en direct a plus de détails sur ce processus, ainsi que des instructions et des scripts.

Alternativement, il existe des outils tels que samdump qui abusent le processus LSASS à partir de différentes directions afin d'extraire tout le mot de passe directement à partir de la mémoire. Ils pourraient être beaucoup plus rapides que les instantanés VSS, mais ont un risque plus élevé de casser le système.

Enfin, Google fait ressortir cet extrait, dont l'utilité que je ne peux pas évaluer ne jamais avoir utilisé métasploit-moi-même:

meterpreter> use priv
meterpreter> hashdump
12
user1686

Il existe une solution plus simple qui n'a pas besoin de gérer les volumes d'ombre ou d'utiliser des outils externes. Vous pouvez simplement copier Sam et System avec la commande reg fournie par Microsoft (Testée sous Windows 7 et Windows Server 2008):

reg save hklm\sam c:\sam
reg save hklm\system c:\system

(Le dernier paramètre est l'emplacement où vous souhaitez copier le fichier)

Vous pouvez ensuite extraire les hayes sur un système Linux avec paquet Samdump2 (disponible sur Debian: apt-get install samdump2):

$ samdump2 system sam
Administrator:500:aad3b435b51404eeaad3b435b51404ee:c0e2874fb130015aec4070975e2c6071:::
*disabled* Guest:501:aad3b435b51404eeaad3b435b51404ee:d0c0896b73e0d1316aeccf93159d7ec0:::
12
vmarquet

Voudrais spécifier une méthode supplémentaire non décrite ici, plus de temps dans les tests de coéquilibre rouge/pénétration des moyens les plus évidents ne sont pas accessibles (refusés, sont surveillés par l'équipe bleue, etc.) et il est agréable de connaître toutes les techniques disponibles.

Une solution de contournement d'accès à des fichiers, quel système a des poignées (ne peut pas copier/supprimer comme d'habitude), est vssshadow.exe dit ci-dessus.

Seconde - esentutil.exe.

Commande exacte à prendre une copie du fichier avec la poignée:

esentutl.exe /y /vss c:\windows\ntds\ntds.dit /d c:\folder\ntds.dit

Ceci s'applique à Sam, System, Sécurité, NTDS.DIT, etc.

P.s. Il y a esentutl.py Dans l'emballage de l'humanie: https://github.com/secureAuthcorp/impacket/blob/master/examples/esentutl.py

P.S.S. Esentutl poc image

1
dtrizna