隨著win10在華的裝機(jī)量超過(guò)1億，今天我們就來(lái)講講Win 10系統(tǒng)中hash以及明文密碼提取。我相信很多人過(guò)去幾周都在虛擬環(huán)境中體驗(yàn)著Win 10系統(tǒng)。

而我的主要目的是為了研究系統(tǒng)升級(jí)對(duì)于我的標(biāo)準(zhǔn)工具有何影響。本文中，我將就Win 10系統(tǒng)中hash以及明文密碼提取的一些發(fā)現(xiàn)進(jìn)行分享。

Win 10：I WANT YOU

我們都知道windows密碼hash的價(jià)值，以及我們通過(guò)hash傳遞攻擊測(cè)試而獲得的無(wú)窮樂(lè)趣。如果你尚未意識(shí)到這一點(diǎn)，請(qǐng)?jiān)试S我強(qiáng)烈推薦你進(jìn)行一下嘗試。現(xiàn)在，我更喜歡無(wú)論在什么條件下只要能獲取到實(shí)際密碼，即使是hash也足夠了。

我把常用的一些工具在Win 10中使用，看看效果究竟如何：

·mimkatz 2.0

·wce 1.42 beta

·fgdump 2.10

所有測(cè)試均在Win 10 Pro x64中執(zhí)行。

mimikatz 2.0 alpha x64 輸出

wce 1.42beta x64 輸出

fgdump 2.1.0 輸出

結(jié)果

·mimkatz 2.0

我們可以抓取到hash，但沒(méi)有明文密碼

·wce 1.42 beta

似乎沒(méi)有抓取到，無(wú)論是hash還是明文密碼

·fgdump 2.10

果然抓取到hash

一般來(lái)說(shuō)，這樣的結(jié)果并不是太糟糕。有hash之后，我們同樣可以破解它然后用來(lái)進(jìn)行hash傳遞攻擊測(cè)試……但是，沒(méi)有直接抓取到明文密碼?不要這樣吧!

遇見(jiàn)神器RWMC

我決定在網(wǎng)上閑逛一下，又去咨詢了一些朋友看是否有什么有趣的工具能夠拿到Win 10中的明文密碼。于是，我發(fā)現(xiàn)了由Pierre-Alexandre Braeken創(chuàng)造的、被稱為“PowerMemory”的一組工具。其中最令人興奮的是一個(gè)被稱為“Reveal Windows Memory Credentials”(RWMC)的Powershell腳本。

我從github中找到了RWMC，然后在我的測(cè)試虛擬機(jī)上運(yùn)行。

注釋：你必須先執(zhí)行Powershell的“Set-ExecutionPolicy Unrestricted-force”，才能執(zhí)行腳本。

下面這張截圖演示了如何使用RWMC從一臺(tái)本地Windows 10 Pro x64的機(jī)器抓取明文密碼，盡管這里并不該與其他Windows操作系統(tǒng)有所不同。

運(yùn)行RWMC

有趣的是，該工具建議建立一個(gè)注冊(cè)表密碼然后重啟。我看了一下腳本，有如下發(fā)現(xiàn)：

在這里我們看到一個(gè)用于為WDigest提供者明文存儲(chǔ)憑證的注冊(cè)表，被設(shè)置為1。我沒(méi)有在這個(gè)Win 10 Pro中的設(shè)置進(jìn)行任何破壞，因此在Windows 10中UseLogonCredential必須默認(rèn)設(shè)置為0。跟進(jìn)這個(gè)問(wèn)題后發(fā)現(xiàn)似乎至少回到Win 8.1情況都是如此。

讓我們?cè)谛薷倪^(guò)注冊(cè)表并重啟之后，再次嘗試一下RWMC。

情況有所好轉(zhuǎn)，我們獲得的結(jié)果如圖所示：

太棒了!完全可以運(yùn)行，甚至可以說(shuō)任務(wù)完成得非常出色!RWMC還有其他許多功能，例如遠(yuǎn)程抓取密碼以及找回dump密碼。更多信息可以從這里獲得。

如果注冊(cè)表設(shè)置無(wú)法啟用，我就不得不進(jìn)行重啟。這相當(dāng)不方便，但是我還沒(méi)能在我有限的測(cè)試中找到一種有效的方法解決這一問(wèn)題。

但是現(xiàn)在注冊(cè)表設(shè)置可以啟用，讓我們?cè)俅伍_(kāi)啟mimikatz來(lái)看看會(huì)發(fā)生什么：

現(xiàn)在我們終于得到了我們想要的。Mimikatz現(xiàn)在抓取hash不存在任何問(wèn)題。而有趣的是，WCE在我的測(cè)試中仍然失敗。

結(jié)果終于(或多或少)正常了：

·mimikatz

UseLogonCredentials列表設(shè)置可用

·RWMC

UseLogonCredentials列表設(shè)置可用

·WCE

在我的快速檢測(cè)中，似乎并沒(méi)有什么用

·fgdump

如預(yù)期，注冊(cè)表并不需要調(diào)整，但又不與WDigest進(jìn)行交互

有趣的是Windows Defender(微軟自帶防護(hù)軟件)確實(shí)就這些工具的執(zhí)行進(jìn)行了“抱怨”，但是并沒(méi)有阻止它們的運(yùn)行。

ice

收藏 海報(bào)分享