寻找活动目录中使用可逆加密存储密码的账户
密码安全问题一直都受到个人和企业的关注。对于个人而言,或许仅仅只是个人隐私的被公开,而对于企业而言则可能会是灾难性的。为了避免出现这种情况,越来越多的企业都开始使用一些不可逆,且强度高的加密算法来加密其账户密码。但一些安全意识薄弱的企业或个人,仍在使用可逆加密存储其账户密码。一旦使用可逆加密,即使你的密码设置的非常长也可以被攻击者轻易的破解。
说到破解,Hashcat绝对是我的首选工。我可以一边开着Hashcat,一边做其它的事情。可能只需几分钟,几个小时或短短的几天,Hashcat就能为我得到我想要的一切!
Hashcat的工作原理也很简单。首先,它会获取潜在的密码(例如Autumn2018)并计算其哈希值。然后,Hashcat将新计算的代表Autumn2018的哈希值,与你给出的哈希值列表进行比较。如果找到一个或多个匹配项,则表示这些帐户使用的密码为Autumn2018。
好了,话不多说!下面进入我们的正题。
这一切都始于从域控中提取哈希值。通常我们需要先将权限提升为域管并登录到域控才能获取到这些文件。但在某些特殊情况下,可能会存在一个可供较低权限帐户访问的备份文件,该文件包含Active Directory(AD)数据库。
由于当前的AD数据库出于活动运行状态,因此我们无法复制该文件(使用时会被系统锁定)。为此,我创建了一个VSS快照并将ntds.dit文件与包含提取哈希所需的BOOTKEY的SYSTEM注册表hive一起复制。我通常使用内置的ntdsutil命令来执行此操作,如下所示:
然后,我们可以使用Impacket secretsdump Python脚本来从数据库中提取哈希值。
secretsdump.py -system SYSTEM -ntds ntds.dit LOCAL -outputfile breakme
我原本只想获取包含NTLM哈希值的*.NTDS文件。但在测试中我意外的发现,脚本还会输出了扩展名为“.CLEARTEXT”的文件。
secretsdump脚本使用outputfile参数指定,将所有哈希写入前缀为“breakme”的文件。在这个过程中我们发现了NTLM哈希,cleartext哈希,以及Kerberos 密钥。在“CLEARTEXT”文件中包含了相关用户的明文密码,其中包括几个长度为128个字符的密码!
说实话,做了这么多的测试任务这是我头一次碰到这种情况。文件中包含的用户账户和相应的密码一目了然,没有任何的加密保护措施!我立即检查了其中的一些账户(呵呵~其中竟有一个域管理员的账户),经过验证域管的账户密码为真实可用密码!经过一番调查,我了解到至少有几种不同的机制会强制存储明文凭据。
注:Cleartext(明文)并不意味着密码就是按原样存储。它们一般会使用RC4加密形式存储。而用于加密和解密的密钥是SYSKEY,它被存储在注册表中,可以由域管理员提取。这意味着哈希值可逆为明文,因此我们称它为“可逆加密”。
对于使用可逆加密存储密码的帐户,Active Directory用户和计算机(ADUC)中的帐户属性,会显示使用可逆加密存储密码的复选框。如下所示:
你可以使用以下PowerShell命令,来查询AD活动目录中UserAccountControl属性中设置了可逆加密标志的任何用户:
Get-ADUser -Filter ‘useraccountcontrol -band 128’ -Properties useraccountcontrol | Format-Table name, samaccountname,useraccountcontrol
那么,为什么要支持这种不安全的可逆加密存储呢?答案是为了满足某些应用程序的需要。因此,微软为需要知道用户密码值的应用程序提供了一种机制,就是强制存储可逆加密的密码,以便对用户进行身份验证。我所知道的需要可逆加密的应用程序是MS CHAP, SASL Digest身份验证,需要对Windows域进行身份验证的旧版MacOS主机。也很可能还有其他一些我不知道的,第三方应用程序也需要用到。
以下是微软关于该设置的最佳实践提示:
即使它需要域管理员使用上面的方法,从Active Directory数据库中提取哈希值,也意味着DA(或被盗取的DA帐户)可以轻松地学习其他用户的密码。这违反了不可否认原则。不可否认性的目的是为解决有关事件或行为是否发生过纠纷,而对涉及被声称事件或行为不可辩驳的证据进行收集、维护和使其可用并且证实。
密码安全问题一直都受到个人和企业的关注。对于个人而言,或许仅仅只是个人隐私的被公开,而对于企业而言则可能会是灾难性的。为了避免出现这种情况,越来越多的企业都开始使用一些不可逆,且强度高的加密算法来加密其账户密码。但一些安全意识薄弱的企业或个人,仍在使用可逆加密存储其账户密码。一旦使用可逆加密,即使你的密码设置的非常长也可以被攻击者轻易的破解。
说到破解,Hashcat绝对是我的首选工。我可以一边开着Hashcat,一边做其它的事情。可能只需几分钟,几个小时或短短的几天,Hashcat就能为我得到我想要的一切!
Hashcat的工作原理也很简单。首先,它会获取潜在的密码(例如Autumn2018)并计算其哈希值。然后,Hashcat将新计算的代表Autumn2018的哈希值,与你给出的哈希值列表进行比较。如果找到一个或多个匹配项,则表示这些帐户使用的密码为Autumn2018。
www.wnhack.com
好了,话不多说!下面进入我们的正题。
这一切都始于从域控中提取哈希值。通常我们需要先将权限提升为域管并登录到域控才能获取到这些文件。但在某些特殊情况下,可能会存在一个可供较低权限帐户访问的备份文件,该文件包含Active Directory(AD)数据库。
由于当前的AD数据库出于活动运行状态,因此我们无法复制该文件(使用时会被系统锁定)。为此,我创建了一个VSS快照并将ntds.dit文件与包含提取哈希所需的BOOTKEY的SYSTEM注册表hive一起复制。我通常使用内置的ntdsutil命令来执行此操作,如下所示:
然后,我们可以使用Impacket secretsdump Python脚本来从数据库中提取哈希值。
secretsdump.py -system SYSTEM -ntds ntds.dit LOCAL -outputfile breakme
我原本只想获取包含NTLM哈希值的*.NTDS文件。但在测试中我意外的发现,脚本还会输出了扩展名为“.CLEARTEXT”的文件。 本文来自无奈人生安全网
secretsdump脚本使用outputfile参数指定,将所有哈希写入前缀为“breakme”的文件。在这个过程中我们发现了NTLM哈希,cleartext哈希,以及Kerberos 密钥。在“CLEARTEXT”文件中包含了相关用户的明文密码,其中包括几个长度为128个字符的密码!
说实话,做了这么多的测试任务这是我头一次碰到这种情况。文件中包含的用户账户和相应的密码一目了然,没有任何的加密保护措施!我立即检查了其中的一些账户(呵呵~其中竟有一个域管理员的账户),经过验证域管的账户密码为真实可用密码!经过一番调查,我了解到至少有几种不同的机制会强制存储明文凭据。
注:Cleartext(明文)并不意味着密码就是按原样存储。它们一般会使用RC4加密形式存储。而用于加密和解密的密钥是SYSKEY,它被存储在注册表中,可以由域管理员提取。这意味着哈希值可逆为明文,因此我们称它为“可逆加密”。
对于使用可逆加密存储密码的帐户,Active Directory用户和计算机(ADUC)中的帐户属性,会显示使用可逆加密存储密码的复选框。如下所示:
你可以使用以下PowerShell命令,来查询AD活动目录中UserAccountControl属性中设置了可逆加密标志的任何用户:
Get-ADUser -Filter ‘useraccountcontrol -band 128’ -Properties useraccountcontrol | Format-Table name, samaccountname,useraccountcontrol
那么,为什么要支持这种不安全的可逆加密存储呢?答案是为了满足某些应用程序的需要。因此,微软为需要知道用户密码值的应用程序提供了一种机制,就是强制存储可逆加密的密码,以便对用户进行身份验证。我所知道的需要可逆加密的应用程序是MS CHAP, SASL Digest身份验证,需要对Windows域进行身份验证的旧版MacOS主机。也很可能还有其他一些我不知道的,第三方应用程序也需要用到。 copyright 无奈人生
以下是微软关于该设置的最佳实践提示:
即使它需要域管理员使用上面的方法,从Active Directory数据库中提取哈希值,也意味着DA(或被盗取的DA帐户)可以轻松地学习其他用户的密码。这违反了不可否认原则。不可否认性的目的是为解决有关事件或行为是否发生过纠纷,而对涉及被声称事件或行为不可辩驳的证据进行收集、维护和使其可用并且证实。
本文来自无奈人生安全网