सिस्टम चलने के दौरान Windows SAM फ़ाइल को कैसे डंप करें?

मैंने मेटास्प्लोइट का उपयोग करके परीक्षण मशीनों का शोषण किया है और एसएएम फ़ाइल से हैश प्राप्त करने में सक्षम था; मैंने SYSTEMउन्हें प्राप्त करने के लिए कमांड चलाने की कोशिश की है, लेकिन ऐसा करने में असमर्थ हूं। एसएएम फ़ाइल से हैश निकालने के लिए एक अधिक पोर्टेबल विधि क्या है?

यह एक अनुमति मुद्दा नहीं है - विंडोज एसएएम फ़ाइल पर एक विशेष लॉक रखता है (जो, जहां तक ​​मुझे पता है, लोड रजिस्ट्री पित्ती के लिए मानक व्यवहार है), इसलिए इसे खोलना किसी भी अन्य प्रक्रिया के लिए असंभव है।

हालाँकि, हाल के विंडोज संस्करणों में "वॉल्यूम शैडो कॉपी" नाम की एक सुविधा है, जिसे संपूर्ण वॉल्यूम के केवल-पढ़ने के लिए स्नैपशॉट बनाने के लिए डिज़ाइन किया गया है, ज्यादातर बैकअप के लिए। डेटा की स्थिरता सुनिश्चित करने के लिए फ़ाइल लॉक हैं, इसलिए यदि वे पूरे फाइल सिस्टम का एक स्नैपशॉट बना दिया जाए तो वे अनावश्यक हैं। इसका मतलब है कि स्नैपशॉट बनाना संभव है C:, इसे माउंट करें, अपनी SAMफ़ाइल की प्रतिलिपि बनाएँ, फिर स्नैपशॉट को छोड़ दें।

यह कैसे करना ठीक है यह आपके विंडोज संस्करण पर निर्भर करता है: एक्सपी को एक बाहरी प्रोग्राम, विस्टा और 7 की आवश्यकता होती है vssadmin create shadow, और सर्वर 2008 में diskshadowकमांड होती है। लाइव डोमेन नियंत्रकों से सुरक्षित रूप से डंपिंग पृष्ठ पृष्ठ में इस प्रक्रिया पर अधिक विवरण हैं, साथ ही निर्देश और स्क्रिप्ट भी हैं।

वैकल्पिक रूप से, ऐसे उपकरण हैं, samdumpजो सभी पासवर्ड हैश को सीधे मेमोरी से निकालने के लिए विभिन्न दिशाओं से LSASS प्रक्रिया का दुरुपयोग करते हैं। वे वीएसएस स्नैपशॉट्स की तुलना में बहुत तेज हो सकते हैं, लेकिन सिस्टम के दुर्घटनाग्रस्त होने का अधिक खतरा है।

अंत में, Google इस स्निपेट को बाहर निकालता है, जिसकी उपयोगिता मैं कभी नहीं समझ सकता हूं कि उसने स्वयं मेटासैप्लोइट का उपयोग नहीं किया है:

meterpreter> use priv
meterpreter> hashdump

वहाँ एक सरल समाधान है जो छाया संस्करणों का प्रबंधन या बाहरी उपकरणों का उपयोग करने की आवश्यकता नहीं है। आप केवल SAM और सिस्टम को regMicrosoft द्वारा प्रदान की गई कमांड के साथ कॉपी कर सकते हैं (विंडोज 7 और विंडोज सर्वर 2008 पर परीक्षण किया गया है):

reg save hklm\sam c:\sam
reg save hklm\system c:\system

(अंतिम पैरामीटर वह स्थान है जहाँ आप फ़ाइल की प्रतिलिपि बनाना चाहते हैं)

फिर आप पैकेज samdump2 (डेबियन पर उपलब्ध apt-get install samdump2) के साथ एक लिनक्स सिस्टम पर हैश को निकाल सकते हैं :

$ samdump2 system sam
Administrator:500:aad3b435b51404eeaad3b435b51404ee:c0e2874fb130015aec4070975e2c6071:::
*disabled* Guest:501:aad3b435b51404eeaad3b435b51404ee:d0c0896b73e0d1316aeccf93159d7ec0:::

संपादित करें: मैंने कई वर्षों के त्याग के बाद संपादित करने का फैसला किया।

Windows SAM फ़ाइल को /etc/shadow लिनक्स सिस्टम पर इसके विपरीत कॉपी / रीडिंग से लॉक किया गया है। इसके बजाय, इस टूल को प्राप्त करने के लिए मेमोरी से हैश निकालेंगे।

इसको प्राप्त करने के तरीके हैं जिन्हें मैं नीचे कवर करूँगा:

Mimikatz

के साथ mimikatz चलाएं sekurlsa::logonpasswords।

fgdump

Mimikatz के समान कार्यक्षमता। इसे चलाएं, और स्थानीय फ़ाइलों को हैश डंप किया जाएगा।

hashdump

मीटरप्रेटर में निर्मित; मेमोरी से अर्क निकलता है।

रजिस्ट्री

रजिस्ट्री से निकालना संभव है (यदि आपके पास SYSTEMपहुंच है):

1. reg save hklm\sam %tmp%/sam.reg तथा reg save hklm\system %tmp%/system.reg
2. फ़ाइलों की प्रतिलिपि बनाएँ, और फिर चलाएँ: samdump2 system sam

बैकअप

एसएएम फ़ाइल को बैकअप स्थान पर भी संग्रहीत किया जा सकता है: C:\Windows\Repair\SAM

मुझे यह भी उल्लेख करना चाहिए कि उपकरण न्यूनतम आवश्यकता वाले Administratorविशेषाधिकारों पर होंगे; और जब तक SYSTEMपहुंच प्राप्त नहीं हो जाती, तब तक सभी को सभी हैश नहीं मिलेंगे ।

ऑबसेक्रेसी विधि किसी भी विंडो पॉवरशेल 1.0 सक्षम मशीन पर स्थानीय रूप से आपके अंतर को खत्म कर देती है। मुझे पता है कुछ लक्ष्यों को छोड़ देता है, लेकिन हे, अच्छा काम! (धन्यवाद क्रिस)।

नोट: इस तरह के ऑपरेशन को करने के लिए व्यवस्थापक विशेषाधिकारों की हमेशा आवश्यकता होती है

आप उपयोग कर सकते हैं

http://gallery.technet.microsoft.com/scriptcenter/Get-PasswordFile-4bee091d

या किसी अन्य स्रोत से (हाल ही में मैं जोड़ सकता हूं)

https://github.com/obscuresec/PowerShell/blob/master/Get-PasswordFile

पढ़ने की सलाह दी:

• http://blogs.technet.com/b/heyscriptingguy/archive/2013/07/12/using-the-windows-api-and-copy-rawitem-to-access-sensitive-password-files.aspx
• http://github.com/obscuresec/PowerShell/blob/master/Get-PasswordFile
• http://gallery.technet.microsoft.com/scriptcenter/Copy-RawItem-Reflection-38fae6d4
• http://gallery.technet.microsoft.com/scriptcenter/Get-PasswordFile-4bee091d
• http://blog.cyberis.co.uk/2011/09/remote-windows-sam-retrieval-with.html

रिमोट सिस्टम हड़पने के लिए एसएएम और सिस्टम पित्ती के साथ संयोजन के रूप में उपर्युक्त का उपयोग करते हैं

• http://gallery.technet.microsoft.com/scriptcenter/GetRemoteSAM-b9eee22f

अतिरिक्त विधि निर्दिष्ट करना चाहेंगे जो यहां वर्णित नहीं है, क्योंकि रेड टीमिंग / पेनेट्रेशन परीक्षण में बहुत अधिक समय तक स्पष्ट तरीके सुलभ नहीं हैं (इनकार किया गया है, ब्लू टीम द्वारा निगरानी की जाती है, आदि) और सभी उपलब्ध तकनीकों को जानना अच्छा है।

फ़ाइलों तक पहुँचने का एक तरीका है, जिस सिस्टम पर हैंडल है (सामान्य रूप से कॉपी / निकाल नहीं सकते हैं), vssshadow.exeऊपर बताया गया है।

दूसरा - esentutil.exe।

हैंडल के साथ फाइल की कॉपी लेने के लिए सटीक कमांड:

esentutl.exe /y /vss c:\windows\ntds\ntds.dit /d c:\folder\ntds.dit

यह एसएएम, सिस्टम, सुरक्षा, NTDS.DIT ​​आदि पर लागू होता है।

PS esentutl.pyइम्पैक्ट के पैकेज में है: https://github.com/SecureAuthCorp/impacket/blob/master/examples/esentutl.py

PSS esentutl PoC की छवि