出發(fā)地:正途(微信:xazlsec)

前幾天看到一個(gè)外國(guó)人關(guān)于mimikatz辯護(hù)的文章。感覺寫作思路不錯(cuò)，但是內(nèi)容有點(diǎn)不足。國(guó)內(nèi)也有一個(gè)翻譯，但是只是根據(jù)錯(cuò)誤翻譯的，于是我就生出了那篇優(yōu)秀的文章，翻譯轉(zhuǎn)載，還加了一些其他的內(nèi)容。本文只是參考。如果這篇文章有錯(cuò)誤，請(qǐng)吐出來。

Mimikatz是內(nèi)部網(wǎng)滲透中非常有用的工具。它可能允許攻擊者從內(nèi)存中獲取明文密碼。大家都知道這個(gè)工具很強(qiáng)大，微軟當(dāng)然也知道，所以做了一些安全防護(hù)機(jī)制，讓mimikatz抓不到密碼。然而，在win2008之前的系統(tǒng)上仍然可以捕獲密碼。一般只要有本地管理員權(quán)限，就可以從內(nèi)存中抓取密碼。通常掌握密碼后，就可以橫向移動(dòng)，提取權(quán)限。

調(diào)試權(quán)限

在windows中，調(diào)試權(quán)限可以用來調(diào)試進(jìn)程，甚至內(nèi)核。對(duì)于mimikatz來說，一般來說，如果他想讀取內(nèi)存，他必須獲得調(diào)試權(quán)限，然后打開進(jìn)程。默認(rèn)情況下，本地管理員組被授予此權(quán)限。但是，除非管理員是程序員，否則一般不應(yīng)該使用這個(gè)權(quán)限。

默認(rèn)情況下，本地安全策略授予管理員組權(quán)限。

但是，此項(xiàng)中未定義域默認(rèn)組策略。

根據(jù)windows策略的有效性級(jí)別，最終擁有該權(quán)限的是管理員組。

補(bǔ)充有效性級(jí)別:

默認(rèn)情況下，當(dāng)多個(gè)策略不沖突時(shí)，合并多個(gè)策略；如有沖突，適用->更高優(yōu)先級(jí)，優(yōu)先級(jí)由低到高依次為本地策略->:站點(diǎn)策略->:域策略->:ou策略不同配置對(duì)mimikatz的影響

默認(rèn)情況下，成功獲得調(diào)試權(quán)限。

將具有調(diào)試權(quán)限的組設(shè)置為空。注銷并再次登錄。

運(yùn)行mimikatz未能獲得調(diào)試權(quán)限。

WDigest

WDigest協(xié)議早在xp時(shí)代就已經(jīng)推出了。當(dāng)時(shí)，該協(xié)議被設(shè)計(jì)為在lsass中存儲(chǔ)明文密碼，用于http認(rèn)證。默認(rèn)情況下，在win2008之前啟用默認(rèn)值。然后攻擊者可以從中獲得明文。

但是在win2008之后的系統(tǒng)上，默認(rèn)情況下是關(guān)閉的。如果win2008之前的系統(tǒng)使用KB2871997修補(bǔ)，則可以啟用或禁用WDigest，并配置以下鍵值:

HKEY _本地_機(jī)器系統(tǒng)當(dāng)前控制控制安全提供程序摘要

UseLogonCredential值設(shè)置為0，wdigest不會(huì)在內(nèi)存中緩存憑據(jù)；當(dāng)UseLogonCredential值設(shè)置為1時(shí)，WDigest會(huì)將憑據(jù)緩存在內(nèi)存中。

不同構(gòu)型對(duì)mimikatz的影響

啟用緩存并直接抓取明文很舒服。

關(guān)閉緩存后，重新啟動(dòng)，然后catch，但沒有捕獲到任何內(nèi)容。

憑據(jù)緩存

域緩存憑據(jù)被稱為DDC，也稱為mscache。有兩個(gè)版本，XP/2003叫第一代，Vasta/2008叫第二代。

加入域后，計(jì)算機(jī)必須通過kerberos進(jìn)行身份驗(yàn)證，域控制器必須參與kerberos身份驗(yàn)證。但是如果域成員暫時(shí)無法訪問域控制器，是否可以不進(jìn)行身份驗(yàn)證？域憑據(jù)緩存就是為了解決這個(gè)問題。如果您暫時(shí)無法訪問域控制，windows將嘗試使用本地緩存的證書進(jìn)行身份驗(yàn)證，默認(rèn)緩存是十個(gè)。

緩存位置(默認(rèn)本地管理員無權(quán)訪問):

HKEY _本地_機(jī)器安全緩存

如果修改的組策略緩存數(shù)量為0，則表示沒有緩存。

不同構(gòu)型對(duì)mimikatz的影響

默認(rèn)配置緩存為10。登錄本地管理員，授予系統(tǒng)權(quán)限，然后運(yùn)行mimikatz，成功捕獲mscachev2。

將緩存號(hào)設(shè)置為0，停止域控制，然后登錄到域帳戶。域成員發(fā)現(xiàn)他們無法登錄。

登錄本地管理員賬號(hào)，解壓到系統(tǒng)，然后一無所獲。

受保護(hù)用戶組

受保護(hù)的用戶組可用于使具有高權(quán)限的用戶(如本地管理員)僅通過kerberos進(jìn)行身份驗(yàn)證(比率為6)。這是win2012之后引入的新安全組(win2008之前的系統(tǒng)會(huì)打KB2871997的補(bǔ)丁來增加這個(gè)安全組)。為了防止明文存儲(chǔ)在內(nèi)存中和ntlm哈希被泄露(因?yàn)樗峭ㄟ^kerberos驗(yàn)證的，所以不會(huì)泄露net ntlm哈希)。這種配置比較簡(jiǎn)單。只需將你要保護(hù)的用戶添加到該組即可(由于本機(jī)硬件限制，無法復(fù)制。如果你運(yùn)行一個(gè)win2016，然后運(yùn)行一個(gè)win10，你不能得到卡)。

受限管理模式

受限管理員模式是一種安全措施，可防止您的帳戶暴露在目標(biāo)系統(tǒng)中。win8.1/win2012r2推出(記得r2)。Win7/win2008需要鍵入KB2871997和KB2973351才能使用此功能。該功能的使用需要客戶端和服務(wù)器之間的協(xié)作。在服務(wù)器端打開的方法是在注冊(cè)表中添加以下鍵值。

REG ADD " HKLMSystemCurrentContractContolsA "/v disableRestrictedMin/t REG _ DWORD/d 00000000/f

右鍵->關(guān)于，檢查客戶端的版本是否是rdp8.1

潛在風(fēng)險(xiǎn)-RDP PTH

受限管理員模式可以使用當(dāng)前登錄憑據(jù)直接登錄，因此“始終需要憑據(jù)”的檢查一定不能選中。

sekulsa::PTH/user:& lt；用戶名>。/domain:& lt；comptername或ip>。/NTLM:& lt；ntlm哈希>。"/run:mstsc . exe/restricted dadmin "

計(jì)算機(jī)名或ip可用于域位置。(獲得調(diào)試權(quán)限需要管理員權(quán)限)

一路下來，還行。

已成功將管理員置于域控制中。

順便看看包裹。似乎只有RDP的交通。

總結(jié)

1.禁止調(diào)試權(quán)限對(duì)獲取系統(tǒng)的攻擊者沒有影響。

2.WDigest默認(rèn)是禁用的，但是我們手動(dòng)打開，挖坑，等人跳。

3.目前來看，mscache似乎只能用hashcat來破解，可以通過破解明文來重用。

4.受保護(hù)用戶組需要重新學(xué)習(xí)，并等待計(jì)算機(jī)配置完畢。

5.受限管理模式下的pth攻擊只能應(yīng)用于特定版本，還有很多限制。如果內(nèi)網(wǎng)受到嚴(yán)格限制(135和445的流量被禁止)，這是一個(gè)突破。

參考數(shù)據(jù)

https://labs.portcullis.co.uk/tools/freerdp-pth/

https://blogs . TechNet . Microsoft . com/kfalde/2013/08/14/restricted-admin-mode-for-RDP-in-windows-8-1-2012-R2/

http://wwwtt 0401 . blog . 163 . com/blog/static/36149306201201011402020272/

https://medium . com/blue-team/preventing-mimikatz-attachments-ed 283 e 7 ebdd 5

●697號(hào)，直接輸入該條的編號(hào)

Web開發(fā)